Figure 11 – Détecter et limiter l’interception de SMS




























            attaques décrites plus haut. Voici quelques exemples   PIN, il essaie ensuite de renseigner ces informations
            de stratégies d’atténuation fondées sur la connecti-  depuis un autre téléphone afin d’enregistrer le nouvel
            vité SS7 et qui ne nécessitent aucun investissement   appareil sur le compte de la victime et de transférer
            financier de la part de l’opérateur mobile.        des fonds. Il peut également utiliser ces informations
                                                               pour  retirer  des  fonds  depuis  un  guichet  automa-
            12�1  Détecter et limiter les usurpations de compte   tique bancaire (GAB), un commerce de proximité ou
            fondées sur l’interception de mots de passe à usage   un kiosque (par exemple, un 7-Eleven).
            unique envoyés par SMS                               Avant d’autoriser la transaction, le fournisseur de
            Pour détecter et limiter ces attaques, la procédure   DFS doit vérifier les points suivants:
            d’envoi du mot de passe à usage unique par SMS doit
            être  abordée  différemment.  Le fournisseur  de  DFS   a)  Vérifier que le téléphone de la personne titu-
            doit mettre en place une procédure d’identification   laire du compte est localisé près du GAB ou du
            bidirectionnelle nécessitant, de la part de l’utilisa-  kiosque où la transaction a lieu (s’il s’agit d’une
            teur, l’envoi (et non la réception) d’un mot de passe   transaction sur GAB).
            à usage unique. Ce processus consiste  à afficher   b)  Obtenir les numéros IMSI et IMEI du téléphone à
            le mot de passe à usage unique dans une fenêtre       l’origine de la transaction afin de vérifier, auprès
            quelconque (par exemple, une page Internet), puis     de l’opérateur de réseau mobile, que le détenteur
            à envoyer un SMS à l’utilisateur, qui devra répondre   du téléphone et du numéro IMSI est également le
            en renseignant le mot de passe affiché. Cette procé-  titulaire du compte.
            dure  permet  au fournisseur de DFS  de s’appuyer   c)  Vérifier la légitimité de la transaction grâce à
            sur la technologie SS7 pour déterminer si l’envoi du   une procédure d’approbation bidirectionnelle
            SMS de réponse provient de l’utilisateur autorisé ou   avec envoi d’un mot de passe à usage unique
            d’un attaquant. Pour cela, il lui suffit de consulter les   (SecureOTP ) au numéro de téléphone original.
                                                                             12
            métadonnées SCCP du SMS de réponse, d’authen-
            tifier l’appellation globale à l’origine de l’envoi et de
            vérifier que la localisation de l’utilisateur correspond   12�3 Détecter et limiter l’interception de transac-
            à celle de son réseau domestique. La figure 11 illustre   tions USSD réalisées depuis un terminal mobile
            ce processus:                                      Un fraudeur qui réussit à intercepter le numéro de
                                                               compte et le code PIN d’une victime tente ensuite
            12�2 Détecter et limiter les attaques fondées sur l'in-
            génierie sociale et les messages USSD MT
            Lorsqu’un  attaquant  demande  à  une  victime  de
            communiquer son numéro de compte et son code



           24    Rapport technique sur les failles du SS7