Figure 9: Menaces pour les systèmes de DFS utilisant les technologies USSD, SMS, IVR, STK et NSDT









































            5�2  Menaces pour l'écosystème de DFS basé sur     L'utilisation de ces canaux présente d'autres
            des applications et des portefeuilles numériques   menaces et éléments (PDV, acquéreurs, fournisseurs
            Les  applications/portefeuilles  de  paiement  mobiles   de réseaux de paiement, émetteurs de cartes, four-
            permettent  l'utilisation  de  DFS  par  le  biais  d'appli-  nisseurs de paiements mobiles). Ces composants
            cations installées sur l'appareil mobile. La nature   permettent d'identifier les menaces suivantes pour
            des applications et canaux financiers utilisés     les écosystèmes de DFS utilisant des applications et
            dépendra des capacités de l'appareil. Par exemple,   portefeuilles mobiles (à savoir Android, iOS).
            Samsung  Pay et Apple  Pay sont uniquement utili-  Les acteurs de l'écosystème de DFS considérés sont
            sables  sur  les  appareils  des  marques  Samsung  et   les commerçants, les acquéreurs, les fournisseurs de
            Apple respectivement, alors que Google  Pay peut   services de paiement et les émetteurs comme des
            être utilisé sur tous les appareils Android. Enfin,   fournisseurs tiers (ces entités individuelles figurent
            les applications mobiles de paiement utilisant des   dans la présentation détaillée de l'écosystème de
            codes QR telles que WeChat Pay et Alipay peuvent   DFS à l'annexe  1). Bien que nous recensions ici les
            être utilisées sur l'ensemble des smartphones équi-  menaces générales auxquelles ces entités sont
            pés d'une caméra.                                  confrontées, les mesures d'atténuation spécifiques
               La communication des applications de paie-      pour faire face à ces menaces ne sont pas détaillées
            ment entre l'appareil/l'application et le fournisseur   dans le présent document. Nous vous recomman-
            du paiement se fait principalement par le biais des   dons de consulter la norme de sécurité de l’indus-
            réseaux  Wi-Fi, 3G et 4G. Un paiement peut égale-  trie des cartes de paiement (PCI-DSS) et le rapport
            ment être effectué à destination d'un appareil de   intitulé Cyber Resilience Oversight Expectations for
            PDV commerçant à l'aide de la transmission magné-  Financial Market Infrastructures  de la BCE pour en
                                                                                           3
            tique sécurisée, de la lecture d'un code QR ou de la   savoir plus sur les mesures d'atténuation.
            technologie NFC.





                                                         Cadre de garantie de la sécurité des services financiers numériques  21