Rapport technique sur les failles du



                                     SS7 et les mesures d’atténuation


                                      applicables aux transactions des



                                         services financiers numériques










            1  INTRODUCTION

            Les services financiers numériques (DFS) reposent   ou compromettre les communications du réseau
            principalement sur les réseaux de télécommunica-   mobile, y compris dans les pays développés. 
            tions. En effet, dans les pays où ce type de service   Les canaux de communication USSD et SMS sont
            est particulièrement populaire, les utilisateurs finaux   depuis longtemps considérés comme exposés aux
            disposent rarement d’une connexion fiable et acces-  attaques et de nombreuses vulnérabilités ont été
            sible à Internet, et les DFS ont donc privilégié le canal   découvertes. Dès lors, les attaquants sont en mesure
            des télécommunications. Dans les économies des     d’exploiter ces vulnérabilités pour commettre des
            pays en développement, qui représentent l’essentiel   fraudes ou voler de l’argent et les victimes, peu
            des utilisateurs finaux des DFS, l’usage de téléphones   méfiantes, ignorent bien souvent que leur compte a
            mobiles classiques reste dominant. Par conséquent,   été compromis ou piraté.
            les utilisateurs finaux communiquent principalement   Ce document a pour but d’examiner les différentes
            par l’intermédiaire des données de service complé-  vulnérabilités auxquelles sont exposés les réseaux de
            mentaire non structurées (USSD), du service de     télécommunications, ainsi que leur impact sur les
            messages courts (SMS) et de la boîte à outils SIM   services financiers numériques, tant du côté de l’uti-
            (STK). En outre, à l’heure actuelle, le réseau de signa-  lisateur final que du côté du fournisseur de services. Il
            lisation n’est pas isolé, ce qui permet aux intrus d’ex-  permettra aux fournisseurs de DFS de mieux appré-
            ploiter ses failles pour intercepter des communica-  hender les vulnérabilités existantes et de mettre au
            tions vocales et SMS, contourner la facturation, voler   point des stratégies d’atténuation des risques en vue
            l’argent présent sur le compte d’un utilisateur mobile   de protéger leurs clients.


            2  LES VULNÉRABILITÉS DES TÉLÉCOMMUNICATIONS ET LEUR IMPACT SUR LES DFS

            Les réseaux de télécommunications souffrent de     pour l’utilisateur final auprès du fournisseur de DFS.
            vulnérabilités qui peuvent donner lieu à diverses   Dans les deux cas, l’attaquant exploite les vulnéra-
            attaques criminelles et entraîner des fraudes visant à   bilités du réseau de télécommunications pour s’au-
            voler de l’argent numérique; bien souvent, la fraude   thentifier et réaliser des actions depuis le compte
            consiste, pour l’attaquant, à se faire passer pour le   qu’il a compromis. Ces attaques peuvent notamment
            fournisseur  de  DFS  auprès  de  l’utilisateur  final,  ou   prendre les formes suivantes:



                                                                            Rapport technique sur les failles du SS7  9