8�12 Menace: accès non autorisé aux données de DFS
            La menace générale est la capacité d'un attaquant à accéder sans autorisation aux données de DFS d'un utili-
            sateur de DFS. Les vulnérabilités se manifestent de différentes manières au niveau du MNO, du fournisseur de
            DFS et de l'utilisateur mobile.

             Entité affectée  Risques et vulnérabilités      Mesures de contrôle
                             Le risque  d'accès non autorisé aux
                             données mobiles de DFS de l'utilisa-
                             teur est dû aux vulnérabilités suivantes:
                             -  Mécanismes insuffisants de contrôle  M64: Les utilisateurs de DFS doivent définir le code PIN de
                               des  accès  aux  comptes  des  utilisa- leur compte. Lorsque  le code  PIN initial est défini  par le
                               teurs (DS: contrôle des accès)  système du fournisseur de DFS ou ses agents, le code PIN
                                                              est unique à chaque utilisateur et doit être modifié lors de
                                                              la première connexion.
                             -  Mesures de contrôle limitées pour  M65: Les utilisateurs de DFS doivent définir des mots de
                               l'accès aux données sensibles sur  passe forts et éviter les codes  PIN faciles à deviner (par
                               l'appareil (DS: contrôle des accès)  exemple, date d'anniversaire) pour leurs appareils.
                                                              M66: Il convient de s'assurer que les informations de DFS
                                                              sensibles sont stockées dans des parties sécurisées de l'ap-
                                                              pareil mobile.
             Utilisateur mobile                               M67: Les développeurs d'applications doivent s'assurer
                                                              que  l'authentification  de  l'utilisateur  est  demandée  avant
                                                              l'installation de l'application sur l'appareil.
                                                              M68: Les développeurs d'applications doivent s'assurer
                                                              que l'accès à l'infrastructure des DFS, aux applications de
                                                              DFS ainsi qu'aux DFS eux-mêmes n'est possible qu'après la
                                                              vérification de l'identité. Il convient d'utiliser l'authentifica-
                                                              tion à facteurs multiples: une chose que l'utilisateur connaît
                                                              (par exemple, un code PIN), une chose qu'il possède (par
                                                              exemple, la carte SIM) et un élément de son identité (par
                                                              exemple, empreinte digitale ou autre méthode biomé-
                                                              trique).
                                                              M69: Les développeurs d'applications doivent s'assurer
                                                              que les applications de DFS gèrent les identifiants d'accès
                                                              de manière sécurisée.



































           42    Cadre de garantie de la sécurité des services financiers numériques