Page 45 - Cadre de garantie de la sécurité des services financiers numériques
P. 45
(continue)
Entité affectée Risques et vulnérabilités Mesures de contrôle
Le risque d'interception de données de M70: S’assurer que l’ensemble des données sensibles des
DFS en transit est dû aux vulnérabilités utilisateurs, telles que les codes PIN et les mots de passe,
suivantes: sont stockées de manière sécurisée et protégées par des
algorithmes de chiffrement solides, tant sur le réseau
interne qu’au repos, afin de limiter les menaces internes
auxquelles elles peuvent être exposées.
- Vulnérabilités SS7 inhérentes (DS: M71: Utiliser des pare-feu pour détecter et limiter les
6
sécurité des communications) attaques exploitant des vulnérabilités SS7.
- Interception des transactions USSD M72: Vérifier que le numéro IMEI de l’appareil à l’origine de
réalisées depuis un terminal mobile la transaction correspond bien au numéro IMEI enregistré
(DS: sécurité des communications) pour le téléphone de la personne titulaire du compte (par
un système d’attaque par interception, il est possible de
cloner la carte SIM en utilisant un numéro IMEI différent).
- Absence de protection du trafic sen- M73: Surveiller la vélocité de l’utilisateur en comparant la
sible et faiblesse des pratiques de localisation du téléphone à l’origine des transactions à la
chiffrement (DS: sécurité des com- dernière localisation connue du téléphone (dernier SMS ou
munications) appel entrant ou sortant).
M74: Les MNO doivent imposer l’usage d’une clé person-
nelle de déverrouillage (code PUK) sur les cartes SIM afin
d’offrir une sécurité supplémentaire en cas de perte ou de
MNO vol de l’appareil mobile.
M75: Surveiller et contrôler l’usage du suivi MSC-MAP et
des analyseurs de protocole pour l’infrastructure USSD et
SMS afin de limiter l’accès interne aux transmissions SMS et
USSD en texte clair.
M76: Vérifier la légitimité de la transaction grâce à une pro-
cédure d’approbation bidirectionnelle avec envoi d’un mot
de passe à usage unique au numéro de téléphone original .
7
M77: Avoir recours à des pratiques de chiffrement solides
afin de garantir la confidentialité et l’intégrité des données
au moment de leur entrée, de leur traitement et de leur
stockage sur le réseau du fournisseur de DFS.
M78: Limiter le nombre de sessions de DFS par utilisateur.
Autoriser une seule session à la fois par utilisateur, quel que
soit le canal d’accès (STK, USSD ou HTTPS); un compte
d’utilisateur de DFS ne doit pas être accessible sur plu-
sieurs canaux à la fois.
M79: Le MNO doit déployer les protocoles de signalisa-
tion SS7 et Diameter recommandés par la GSM Association
(FS.11, FS.07, IR.82 et IR.88) afin de limiter les menaces liées
à des attaques SS7 .
8
Le risque d'exposition de données
client sensibles est dû aux vulnérabili-
tés suivantes:
- Protection insuffisante des données M80: Protéger et sauvegarder les données d’inscription
Fournisseur de d’inscription des utilisateurs des DFS des utilisateurs des DFS; lorsque des formulaires physiques
DFS (DS: authentification) sont utilisés, les stocker et les transmettre de manière sécu-
risée.
- Faiblesse du chiffrement (DS: sécu- M81: Appliquer des normes de chiffrement solides aux com-
rité des communications) munications avec les API, telles que le protocole TLS v1.2 et
les versions supérieures.
Cadre de garantie de la sécurité des services financiers numériques 43
