Rapport technique sur lesfailles du SS7 et les mesuresd’atténuation applicablesaux transactions des servicesfinanciers numériques
À propos du présent rapport
Table des matières
Sommaire de direction
Abréviations et acronymes
1 Introduction
2 Les vulnérabilités des télécommunications et leur impact sur les DFS
     2.1 Fraude financière au guichet
     2.2 Usurpation de compte
     2.3 Ingénierie sociale
3 Vulnérabilités des télécommunications et surfaces d’attaque
4 Les principaux types d’attaques dans le domaine des télécommunications
5 Profil des attaques menées contre les réseaux de télécommunications
6 Le défi à relever
7 Idée reçue: attaquer les réseaux de télécommunications n’est pas à la portée de tous, seuls les gouvernements disposent de moyens suffisants
8 La chaîne de frappe des attaques cellulaires
9 Exemples d’attaques visant les infrastructures de DFS
     9.1 Interception d’un SMS contenant un mot de passe à usage unique
     9.2 Recours à l'ingénierie sociale et à la technologie USSD pour obtenir des données d’identification sensibles
     9.3 Attaques par déni de service
     9.4 Échange de carte SIM
     9.5 Recyclage de carte SIM
10 Stratégies d’atténuation des risques à destination des opérateurs de réseau mobile
     10.1 FS.11: Lignes directrices relatives au contrôle de la sécurité des interconnexions SS7
     10.2 FS.07 Sécurité des réseaux SS7 et SIGTRAN
     10.3 IR.82 Lignes directrices pour la mise en œuvre de la sécurité dans le SS7
     10.4 IR.88 Lignes directrices relatives à l’itinérance pour la norme LTE et l'EPC
     10.5 Les mesures d’atténuation proposées par les documents de la GSMA et leur efficacité face aux principaux types d’attaques menées contre les télécommunications
11 La mise en œuvre des mesures d’atténuation des risques par les opérateurs de réseau mobile
12 Stratégies d’atténuation des risques à destination des fournisseurs de DFS
     12.1 Détecter et limiter les usurpations de compte fondées sur l’interception de mots de passe à usage unique envoyés par SMS
     12.2 Détecter et limiter les attaques fondées sur l'ingénierie sociale et les messages USSD MT
     12.3 Détecter et limiter l’interception de transactions USSD réalisées depuis un terminal mobile
     12.4 Détecter et limiter les échanges non autorisés de cartes SIM
     12.5 Détecter, limiter et empêcher le recyclage de cartes SIM
     12.6 Intégration de données d’identification dans le téléphone de l’utilisateur à des fins d’authentification
     12.7 Mesures de réglementation
13 Conclusions et recommandations
Annexe A: Description technique des protocoles SS7 et Diameter
     A.1 La pile de protocole SS7
     A.2 La pile de protocole Diameter
     A.3 La pile de protocole EPC
     A.4 Prise en charge des services vocaux et des SMS
Annexe B : Modèle pour un protocole d’accord entre l’organisme de réglementation des télécommunications et la banque centrale sur la sécurité des DFS
     B.1 FONDEMENTS DU PROTOCOLE D’ACCORD
     B.2 DOMAINES ET STRATÉGIES DE COOPÉRATION
<\pre>