Page 39 - Cadre de garantie de la sécurité des services financiers numériques
P. 39
8�8 Menace: attaques par interception et d'ingénierie sociale
Ces deux types d'attaques sont regroupées, parce qu'elles impliquent toutes deux un adversaire qui s'interpose
activement dans la communication ou l'interaction (par exemple, entre un utilisateur et un appareil ou un MNO,
ou une interposition dans le cadre de la communication entre les parties).
Entité affectée Risques et vulnérabilités Mesures de contrôle
Le risque d'exposition et de modifica-
tion des données est dû aux vulnérabi-
lités suivantes:
- Applications non vérifiées et non M35: Il est important de sensibiliser les clients pour qu'ils
signées (DS: confidentialité, intégrité puissent télécharger leurs applications de DFS et y accéder
des données) par le biais de canaux officiels de publication des applica-
tions, afin de réduire le risque d'exécution d'applications
infectées par des logiciels malveillants.
Utilisateur - Éléments entrants non vérifiés tels M36: Les MNO et les fournisseurs de DFS doivent activement
mobile que des messages SMS non sollicités, mener des campagnes de sensibilisation afin d'informer les
des publicités dans les applications usagers et le personnel interne sur les messages malveillants,
ou des courriers électroniques (DS: les attaques par hameçonnage et les tentatives d'usurpation.
intégrité des données)
- Protection des identifiants insuffi- M37: Masquer les mots de passe et les codes PIN des utilisa-
sante (DS: contrôle des accès) teurs, sensibiliser activement les clients concernant le risque
d'espionnage par-dessus l'épaule et l'utilisation sécurisée des
codes PIN/mots de passe pour éviter l'espionnage par-dessus
l'épaule et l'écriture des mots de passe sur papier.
Le risque d'accès non autorisé aux M38: Cesser d'utiliser les algorithmes de chiffrement GSM
données utilisateur est dû à la vulnéra- A5/0, A5/1 et A5/2. Surveiller de près les résultats de la com-
bilité suivante: munauté de la sécurité et de la cryptographie concernant
- Faiblesse du chiffrement « over- la faisabilité et la facilité de compromettre A5/3 et A5/4, et
the-air » (DS: sécurité des commencer à envisager des chiffrements plus forts. Prévoir
communications) une stratégie de déploiement pour ces nouveaux algorithmes
MNO de chiffrement.
Le risque d'usurpation d'identité des M39: Les MNO doivent procéder à l'identification des lignes
utilisateurs est dû à la vulnérabilité sui- téléphoniques afin de détecter les communications usurpées
vante: et destinées à apparaître comme des appels ou des SMS pro-
- Faiblesse du filtrage par identifica- venant du fournisseur de DFS.
tion des lignes téléphoniques (DS:
sécurité des communications)
Le risque de piratage d'un compte M40: Exiger l'authentification et l'autorisation de l'utilisateur
utilisateur est dû à la vulnérabilité sui- pour les modifications de compte présentant un risque élevé
vante: ainsi que pour les transactions; exiger la saisie du code PIN ou
Fournisseur de du mot de passe avant toute transaction, y compris lorsque
DFS - Mesures de contrôle manquantes ou l'appareil de l'utilisateur est connecté.
inadéquates pour la configuration et
les autorisations des comptes (DS:
authentification)
Cadre de garantie de la sécurité des services financiers numériques 37
