Page 42 - Cadre de garantie de la sécurité des services financiers numériques
P. 42
8�10 Menace: attaques SIM
La menace générale est la capacité d'un attaquant à accéder sans autorisation à la carte SIM d'un utilisateur de
DFS. Les vulnérabilités se manifestent de différentes manières au niveau du MNO, du fournisseur de DFS et de
l'utilisateur mobile.
Entité affectée Risques et vulnérabilités Mesures de contrôle
Les risques de piratage de compte et M52: Les MNO doivent s'assurer qu'un processus de vérifi-
de transactions non autorisées sont dus cation de l'identité est mis en place avant de procéder à des
aux vulnérabilités suivantes: échanges de carte SIM.
- Mesures de contrôle insuffisantes M53: Le processus de vérification de l'identité doit s'appuyer
pour l'identification et la vérification à la fois sur quelque chose que l'utilisateur est, sur quelque
de l'utilisateur avant tout échange ou chose qu'il a et sur quelque chose qu'il sait. L'utilisateur
recyclage de carte SIM (DS: authenti- devra par exemple présenter une pièce d'identité valide,
fication) se soumettre à une vérification biométrique et fournir des
MNO informations sur son compte avant de pouvoir procéder à un
échange ou un remplacement de carte SIM.
M54: Les fournisseurs de DFS et de services de paiement
doivent être en mesure de détecter en temps réel l'échange
ou le remplacement d'une carte SIM associée à des DFS. Ils
doivent également procéder à des vérifications supplémen-
taires avant d'autoriser la nouvelle carte SIM à effectuer des
transactions de valeur élevée ou à apporter des modifica-
tions au compte de DFS.
Les risques de piratage de compte et M55: Le MNO doit sauvegarder et stocker de manière sécuri-
de transactions non autorisées sont dus sée les données de carte SIM telles que le numéro d'identité
aux vulnérabilités suivantes: internationale d'abonnement mobile (IMSI) et les valeurs de
- Mesures de contrôle insuffisantes clé secrète (valeurs Ki).
pour l'identification et la vérification M56: Il convient de mettre en place un processus de recy-
de l'utilisateur avant tout échange ou clage des numéros mobiles impliquant de communiquer
recyclage de carte SIM (DS: authenti- avec les fournisseurs de DFS sur le recyclage ou la résiliation
MNO fication) des numéros d'identification d'abonné mobile (MSIN) (dans
ce contexte, le recyclage désigne la réaffectation par le MNO
d'un MSIN à un nouvel utilisateur). Lorsqu'une carte SIM est
recyclée, le MNO signale un changement de numéro IMSI
pour le numéro de téléphone du compte correspondant.
Le fournisseur de DFS doit alors bloquer l'accès au compte
en attendant de vérifier que le nouveau propriétaire de la
carte SIM est bien le titulaire du compte.
Le risque d'accès non autorisé aux don- M57: En cas de perte ou de vol de leur appareil, les utilisa-
nées mobiles de l'utilisateur est dû à la teurs des DFS doivent avoir la possibilité de chiffrer leurs
Utilisateur vulnérabilité suivante: données et de les effacer à distance.
mobile
- Vol d'appareil mobile (DS: confiden-
tialité des données)
Le risque de perte d'accès aux comptes M58: Les fournisseurs de DFS doivent s'assurer que des pro-
et d'atteinte à la réputation est dû à la cédures sont mises en place pour détecter et éviter les cas
vulnérabilité suivante: suspects d'échange et de recyclage de carte SIM. Pour cela,
- Processus d'échange et de recyclage ils doivent suivre les étapes suivantes:
de carte SIM incorrects (DS: intégrité a) Vérifier que le numéro IMSI associé au numéro de télé-
5
des données) phone est resté le même. S'il a changé, cela pourrait
Fournisseur de indiquer un échange de carte SIM.
DFS b) Dans ce cas, vérifier le numéro d'identité internationale
d'équipement mobile (IMEI) du téléphone associé à la
carte SIM. S'il a changé également, cela indique une pro-
babilité élevée d'échange de carte SIM. Dans ce cas, le
fournisseur de DFS doit bloquer le compte en attendant
de pouvoir procéder aux vérifications d'usage par l'inter-
médiaire d'un appel vocal ou d'un agent.
40 Cadre de garantie de la sécurité des services financiers numériques
