Figure 4 – Interception de transactions DFS





























            fournisseurs de réseaux infrastructurels de résoudre   3�2  Validation du dispositif
            les problèmes techniques.                          Le but de ce test est de déterminer s'il existe un
            La figure 4 montre les différents points de capture   processus de validation de l'appareil mobile qui
            des données DFS dans l'écosystème.                 permet d'accéder au service d'argent mobile. Ce test
               Les tests permettent de déterminer si le fournis-  vise à vérifier si l'opérateur du DFS ou l'opérateur de
            seur de DFS ou de services de télécommunication    réseau mobile valide ou détecte un changement sur
            transmet les données DFS entre les différents nœuds   l'appareil lors de la vérification de son IMEI.
            du réseau de manière sécurisée.                      Une carte SIM est utilisée pour effectuer des tran-
               La procédure ci-dessous permet de capturer le   sactions depuis deux appareils différents (possédant
            trafic du réseau.                                  chacun un IMEI). L'utilisateur peut vérifier si des infor-
                                                               mations d'identification ou une étape de validation
            a.  Enregistrer la carte SIM et l'activer sur le réseau.  supplémentaires sont requises par le système DFS
            b.  Une fois la carte SIM connectée au réseau, lancer   pour que la carte SIM puisse être utilisée afin d'effec-
                la capture de paquets au niveau du SMSC, de la   tuer des transactions DFS sur un autre appareil.
                passerelle USSD, du HLR, du MSC et du serveur
                DFS.                                           3�3  Validation et vérification de l'IMSI
            c.  Capturer les journaux au niveau de la station de   Les fournisseurs de DFS identifient le client DFS par
                base, du SMSC et du serveur DFS tout en effec-  son numéro de réseau numérique à intégration de
                tuant des transactions DFS sur le téléphone.   services d'abonné mobile (MSISDN), c'est-à-dire le
            d.  Analyser les journaux et les traces afin de récu-  numéro de téléphone du téléphone portable. Toute-
                pérer l'activation du compte DFS et les informa-  fois, dans le cas d'une permutation de carte SIM,
                tions de transaction telles que le code PIN du   l'IMSI associée à la carte SIM change. L'authentifica-
                client à partir des captures de paquets au niveau   tion IMSI permet d'identifier la carte SIM et fournit à
                du SMSC, du HLR, du serveur DFS et de la passe-  l'abonné un accès sécurisé à ses comptes de DFS.
                relle USSD.                                      Le but de ce test est de déterminer si le fournis-
                                                               seur  DFS valide  la carte  SIM  de  l'utilisateur  avant
            3.1.4   Exploitation des attaques passives et      toute transaction DFS.
            actives                                              Si le fournisseur DFS valide la carte SIM en véri-
            Il est également possible d'exécuter des attaques par   fiant l'IMSI utilisée, tout attaquant qui permute une
            intercepteur actives en compromettant les femtocel-  carte SIM de DFS se voit alors refuser l'accès aux
            lules, qui sont bien plus accessibles .            transactions effectuées avec ladite carte SIM.
                                           4




                            Test de sécurité des applications de services financiers numériques fondés sur les technologies USSD et STK  13