8�3  Menace: attaques ciblant les systèmes et les plates-formes
            Il s'agit d'attaques qu'un adversaire peut mener à distance pour espionner ou modifier des informations sans
            identifiants internes ni accès privilégié.

             EntitÉs affectÉes Risque et vulnÉRABILITÉ     Mesures de contrÔle
                           Le risque d'espionnage et de vol à dis-
                           tance des identifiants sur les appareils
                           utilisateur est dû aux vulnérabilités sui-
             Utilisateur   vantes:
             mobile        -  Mises à jour par SMS binaires non  M13: Apprendre aux utilisateurs mobile de distinguer les mes-
                             vérifiées de la carte SIM (DS: authen- sages SMS binaires isolés auxquels ils peuvent faire confiance
                             tification)                    ou pas. Cela pourrait empêcher les mises à jour malveillantes
                                                            de la carte SIM.
                           -  Transmission non sécurisée des iden- M14: Les fournisseurs de DFS doivent transmettre à l'utilisa-
                             tifiants de l'utilisateur (DS: contrôle  teur ses identifiants de connexion de manière sécurisée, par
                             des accès)                     l'intermédiaire d'un canal distinct (hors bande).
                           Les risques liés à l'accès aux comptes,  M15: Utiliser la translation d'adresse réseau pour limiter l'ex-
             MNO           à la compromission des comptes et au  position de l'adresse  IP et des informations de routage du
                           déni de service sont dus à la vulnérabi- système de DFS à des adversaires externes.
                           lité suivante:
                           -  Exposition du réseau interne à des
                             adversaires externes (DS: contrôle
                             des accès)
                           Les risques liés à l'accès aux comptes,  M16: Mettre en place une zone démilitarisée pour créer une
                           à la compromission des comptes et au  séparation logique entre le système de DFS et l'ensemble des
                           déni de service sont dus à la vulnérabi- autres systèmes internes et externes, et empêcher les sys-
             Fournisseur de   lité suivante:                tèmes externes d'accéder directement aux systèmes de DFS
             DFS                                            internes.
                           -  Protection insuffisante des systèmes
                             internes contre des adversaires
                             externes (DS: contrôle des accès)


            8�4  Menace: attaques par exploitation de code
            Il s'agit d'attaques ciblant le code des applications de DFS.

             Entité affectée  Risque et vulnérabilité      Mesures de contrôle
                           Le risque de compromission des appli- M17: Vérifier la qualité de la conception et de la mise en œuvre
                           cations de DFS est dû à la vulnérabilité  des bibliothèques de sécurité proposées par les systèmes
                           suivante:                        d'exploitation,  et  s'assurer  que  les  suites  cryptographiques
             Fournisseur de   -  Dépendance de l'application de   prises en charge sont suffisamment solides.
             DFS             DFS  à  l'égard  des  bibliothèques  de
                             sécurité  mises  à  disposition  par  les
                             systèmes d'exploitation (DS: sécurité
                             des communications)























           32    Cadre de garantie de la sécurité des services financiers numériques