8�16 Menace: accès non autorisé aux appareils mobiles
            Il s'agit d'attaques spécifiques menées par des adversaires contre des appareils mobiles.

             Entité affectée     Risques et vulnérabilités        Mesures de contrôle
             Utilisateur/appareil   Le risque d'usurpation d'identité et de
             mobile               perte  de  données/transactions  frau-
                                  duleuses est dû aux vulnérabilités sui-
                                  vantes:
                                  -  Authentification de l'utilisateur sur  M112: Les appareils mobiles doivent se verrouiller
                                    l'appareil inadéquate (DS: confiden- automatiquement après une période d'inactivité
                                    tialité des données)          afin d'obliger les utilisateurs à s'authentifier pour les
                                                                  déverrouiller et effectuer des transactions de DFS.
                                                                  M113: Utiliser des codes PIN forts, la suppression de
                                                                  données à distance, le verrouillage  PIN, l'authentifi-
                                                                  cation biométrique (par exemple, par empreinte digi-
                                                                  tale, scan de l'iris) lorsque ces fonctionnalités sont
                                                                  disponibles sur l'appareil.
                                  -  Versions logicielles obsolètes, ren- M114: Les fabricants d'appareils doivent s'assurer que
                                    dant les appareils vulnérables aux  les mises à jour critiques sont directement téléchar-
                                    programmes malveillants (DS: confi- geables par les usagers ou mises à la disposition des
                                    dentialité des données)       fournisseurs de réseau pour leur permettre de les
                                                                  envoyer à leurs utilisateurs.
                                  Le risque de piratage d'un compte uti- M115:  Avant d’authentifier un utilisateur des DFS et
                                  lisateur de DFS est dû à la vulnérabilité  dans la mesure du possible, vérifier son numéro IMSI,
             Fournisseur de DFS   suivante:                       son appareil, sa localisation et son adresse  IP pour
                                  -  Accès trop permissif à l’infrastructure   établir son identité et empêcher les accès non autori-
                                    des DFS (DS: authentification)  sés à l’infrastructure du réseau.
                                  Le risque de transactions refusées est  M116:  Les  fournisseurs  de  services  de  paiement
                                  dû à la vulnérabilité suivante:  doivent s’assurer que les cartes compagnons  poly-
                                  -  Processus  de  vérification  des  valentes rechargeables associées à des comptes de
             Fournisseur tiers      transactions insuffisant (DS: non-ré-  DFS sont équipées de puces EMV, qu’elles sont proté-
                                    pudiation)                    gées, dans la mesure du possible, par des méthodes
                                                                  de vérification telles que le code PIN ou la validation
                                                                  biométrique et que toutes les transactions donnent
                                                                  lieu à l’envoi d’une alerte à l’utilisateur.




































           50    Cadre de garantie de la sécurité des services financiers numériques