Page 33 - Cadre de garantie de la sécurité des services financiers numériques
P. 33

8�2  Menace: attaques ciblant les identifiants
            Cette catégorie globale regroupe les menaces conçues pour dérober ou altérer les identifiants des utilisateurs
            de systèmes de DFS et d'appareils mobiles.

             Entités affectées Risque et vulnérabilité     Mesures de contrôle
                           Le risque  d'accès non autorisé et de
                           piratage du compte de DFS d'un uti-
                           lisateur est dû aux vulnérabilités sui-
                           vantes:
                           -  Utilisation de mots de passe/ M9: Exiger des codes PIN/mots de passe plus longs et dif-
                             codes  PIN faibles au niveau appli- ficiles à deviner dans les applications d'argent mobile. Il
                             catif, ce qui rend ces identifiants  convient de faire preuve de prudence avant d'imposer l'uti-
                             vulnérables  aux attaques  par force  lisation de codes  PIN complexes; veillez à ce qu'une telle
                             brute (DS: authentification)   mesure s'accompagne de campagnes de sensibilisation à
                                                            l'intention des utilisateurs, car des codes PIN trop complexes
                                                            risquent d'être écrits ou saisis par d'autres personnes, ce qui
             Appareil mobile                                compromet la sécurité.
                           -  Utilisation de codes  PIN simples  M10: Utiliser des mécanismes d'authentification solides pour
                             pour accéder à l'appareil mobile (DS:  démontrer la propriété du périphérique. Étant donné que
                             authentification)              l'espace des clés des codes PIN les rend vulnérables à une
                                                            attaque par force brute, envisagez d'utiliser des codes  PIN
                                                            plus longs ou des codes PIN alphanumériques, tels que des
                                                            phrases de passe faciles à mémoriser.
                           Le risque de vol d'identifiants via des  M11: Les applications de DFS doivent être conçues pour véri-
                           attaques  par interception est  dû à la  fier le nom du serveur auquel elles se connectent.
                           vulnérabilité suivante:
                           -  Mauvaise configuration du serveur
                             (DS: authentification)
                           Le risque  de compromission des sys- M12: Imposer aux utilisateurs internes, aux commerçants, aux
                           tèmes de DFS est dû à la vulnérabilité  agents et aux utilisateurs externes un nombre limite de ten-
                           suivante:                        tatives de connexion pour l'accès aux systèmes de DFS (base
             Fournisseur de                                 de données, système d'exploitation, application).
             DFS           -  En l'absence d'un suivi des tenta-
                             tives de connexion, les systèmes sont
                             exposés aux attaques par force brute
                             (DS: contrôle des accès).




































                                                         Cadre de garantie de la sécurité des services financiers numériques  31
   28   29   30   31   32   33   34   35   36   37   38