Figure 12 – Une passerelle de validation par l’IMSI
































            13  CONCLUSIONS ET RECOMMANDATIONS

            Nous pouvons conclure que:                            lisateur final et les fournisseurs ne sont pas tenus
                                                                  d’indemniser la victime, ce qui ne les encourage
            a)  D’une manière générale, les fournisseurs de DFS,   pas à investir dans la résolution de ce type de
                les opérateurs de télécommunications et les       problème.
                organismes de réglementation ne sont pas suf-  f)  Ce constat peut être étendu aux opérateurs de
                fisamment informés des stratégies d’atténuation   télécommunications: le préjudice financier causé
                des risques dont ils disposent pour détecter et   par une fraude se limite au fournisseur de DFS et
                empêcher les attaques SS7.                        les opérateurs, qui ne peuvent être tenus pour
            b)  Le faible taux d’exécution des mesures d’atté-    responsables, ne subissent aucune perte et n’ont
                nuation des risques s’explique principalement     donc aucune raison d’investir leurs ressources
                par  l’absence d’une réglementation adéquate      dans la recherche d’une solution.
                et par des coûts dissuasifs (pour l’opérateur de   g)  D’une manière générale, les autorités en charge
                télécommunications).                              des télécommunications et les banques centrales
            c)  Les  attaques  qui  exploitent  des  vulnérabilités   ont rarement – voire jamais – l’occasion de se ren-
                SS7 pour voler des fonds sont faciles à exécuter   contrer  ou d’interagir pour dresser un état des
                et ne sont pas l’apanage d’organismes gouverne-   lieux des intrusions et des menaces qui pèsent
                mentaux.                                          sur la sécurité des DFS.
            d)  Pour les fournisseurs de DFS comme pour les    h)  Les membres de l’écosystème de DFS et les orga-
                opérateurs de réseau mobile, les mesures d’at-    nismes de réglementation ont rarement – voire
                ténuation des risques prennent la forme de pro-   jamais – l’occasion de se rencontrer ou d’intera-
                duits commerciaux prêts à l’emploi; avec une      gir dans un environnement neutre et collabora-
                réglementation adéquate, ces deux catégories      tif pour dresser ensemble un état des lieux des
                d’acteurs devraient donc être capables d’appli-   intrusions et des menaces qui pèsent sur la sécu-
                quer ces mesures.                                 rité des DFS.
            e)  Toutefois, en cas de fraude, les contrats actuels
                de DFS font peser l’entière responsabilité sur l’uti-






                                                                            Rapport technique sur les failles du SS7  27