encore, en cas de facturation a posteriori, le nom   12�7 Mesures de réglementation
                de la personne ayant réglé la dernière facture.  Les organismes de réglementation en charge des
            d)  Relier les bases de données de cartes SIM et de   DFS peuvent mettre en place des procédures et des
                numéros de téléphone hébergées par les MNO     principes permettant la détection, la prévention, le
                aux systèmes d’authentification à deux facteurs   signalement et l’atténuation des attaques SS7 et assi-
                utilisés par les banques ou les prestataires de   milées. Ils peuvent également mettre au point des
                services de paiement (PSP) pour vérifier l’identi-  procédures que les services détenteurs d’une licence
                té du bénéficiaire par l’intermédiaire d’un mot de   devront mettre en œuvre pour empêcher l’échange
                passe à usage unique envoyé par SMS et/ou par   de carte SIM.
                USSD Push. Cette mise en relation permettra à la   La  coordination  réglementaire  entre  les  orga-
                banque ou au PSP d’effectuer des tests de vélo-  nismes de réglementation concernés joue un rôle
                cité afin de vérifier les demandes d’échange de   crucial dans la répartition des responsabilités et des
                carte SIM. Dès lors, il sera possible de signaler les   fonctions communes ou spécifiques aux différents
                demandes émanant d’un numéro lié au titulaire   acteurs. Cette répartition doit faire l’objet d’un pro-
                du compte, mais affichant une proximité tempo-  tocole d’accord entre les parties prenantes. L’an-
                relle  suspecte  avec  une  demande  (potentielle-  nexe B propose un extrait d’un modèle de protocole
                ment frauduleuse) d’ajout d’un nouveau bénéfi-  d’accord entre un organisme de réglementation des
                ciaire reçue par la banque ou le PSP.          télécommunications et une banque centrale, avec
                                                               des tournures qui soulignent l’importance de ces res-
                                                               ponsabilités.
            12�5 Détecter, limiter et empêcher le recyclage de   Entre autres sujets, le protocole d’accord évoque
            cartes SIM                                         la nécessité d’attribuer à chaque organisme de régle-
            Lorsqu’un compte de DFS  reste inactif,  il convient   mentation des responsabilités techniques communes
            d’assurer un suivi de l’IMSI du numéro de téléphone   et spécifiques concernant les infrastructures et les
            associé au compte. Une fois la carte SIM désactivée,   problèmes de sécurité susceptibles d’affecter l’éco-
            l’opérateur de réseau mobile ne pourra plus répondre   système  de  DFS,  notamment  en  matière  de  signa-
            correctement à ces requêtes (une requête par jour   lement et de lutte contre les intrusions. L’organisme
            suffit pour assurer le suivi).                     de réglementation des télécommunications, en parti-
               Lorsque la carte SIM est recyclée, l’opérateur de   culier, doit également collaborer avec les opérateurs
            réseau mobile indique le nouvel IMSI du numéro de   détenteurs d’une licence pour mettre en œuvre une
            téléphone associé au compte. Le fournisseur de DFS   politique de tests réguliers permettant de détecter
            doit alors bloquer temporairement le compte et véri-  les intercepteurs d’IMSI. Le protocole d’accord envi-
            fier que l’identité du nouveau détenteur de la carte   sage également la création d’un comité de travail
            SIM correspond bien à celle du titulaire du compte.  conjoint permettant aux organismes de réglementa-
                                                               tion en charge des DFS et aux organismes en charge
            12�6 Intégration de données d’identification dans le   des télécommunications de se réunir une fois par
            téléphone de l’utilisateur à des fins d’authentifica-  mois pour discuter des enjeux relatifs aux DFS – et
            tion                                               d’éventuelles menaces ou incidents auxquels ils sont
            Les fournisseurs de DFS peuvent collaborer avec les   exposés.
            fabricants d’appareils et les MNO pour intégrer, dans   Pour confirmer que la technologie USSD est bien
            le système d’exploitation de l’appareil, une informa-  utilisée  par  des  clients  authentiques  et  enregistrés
            tion d’identification difficile à usurper. Cet identi-  pour  accéder  à  leurs  systèmes,  les  fournisseurs  de
            fiant (qui devra être chiffré pour contrer les tenta-  DFS et des banques ont la possibilité de recourir à
            tives  d’usurpation)  doit être intégré  à  l’ensemble   une passerelle de validation par l’IMSI.
            des communications entre le fournisseur de DFS et
            l’utilisateur du téléphone, afin d’authentifier à la fois
            l’utilisateur et l’appareil.












           26    Rapport technique sur les failles du SS7