Page 23 - Test de sécurité des applications de services financiers numériques fondés sur les technologies USSD et STK
P. 23
accordent leur autorisation à une application sur des victimes. Les opérateurs mobiles doivent
un appareil. Si les autorisations demandées sont empêcher l'envoi et la réception de messages
trop invasives, il leur est recommandé de ne pas binaires comme les SMS hertziens. Ces SMS ne
télécharger l'application. devraient être autorisés qu'à partir de sources
iii. Éviter d'utiliser des appareils rootés dans le figurant sur une liste blanche.
cadre de transactions DFS et veiller à ce que les ii. Les messages hertziens avec codage STK prove-
logiciels des appareils soient régulièrement mis à nant d'abonnés domestiques doivent être limi-
jour. Cela les protège des logiciels malveillants et tés à l'envoi à/par la plateforme d'opérateurs de
des logiciels espions. réseaux mobiles et non à d'autres abonnés.
iii. Les fournisseurs de contenu envoient générale-
ment du texte sous la forme de messages SMS
4�4 Bonnes pratiques d'atténuation des risques A2P. Leur trafic ne doit pas contenir de messages
d'exploitation de la carte SIM à l'aide de technolo‑ avec codage STK.
gies hertziennes binaires iv. Routage SMS domestique: il s'agit de l'interdic-
tion de l'ensemble des SMS sortants et entrants,
i. Filtrage des SMS: les attaquants à distance à l'exception de ceux qui sont acheminés par les
passent par les réseaux mobiles pour envoyer hôtes du réseau domestique.
des SMS binaires vers et depuis les téléphones
Test de sécurité des applications de services financiers numériques fondés sur les technologies USSD et STK 21
