Arnaque bancaire téléphonique, la fin du spoofing à l’automne ?

Souvenez-vous. Nous sommes en 2018. ZATAZ vous expliquait la consultation publique mise en place par le gendarme des télécoms, l’ARCEP. En mai 2018, l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse lançait cette consultation pour réviser le système d’attribution et d’utilisation des numéros de téléphone, dans l’optique de contrer les abus et les fraudes.

Cette initiative de l’ARCEP incluait notamment la régulation de la modification des identifiants d’appelant, pratique qui, malgré ses avantages pour le service client des entreprises, facilite l’usurpation d’identité téléphonique. Une modification que je vous présentais, il y a peu, dans le journal de RTL [écouter ci-dessous].

En 2018, l’Arcep préconisait un ensemble de mesures destinées à encadrer l’utilisation des numéros de téléphone et émettait des recommandations spécifiques aux opérateurs. Celles-ci portaient sur l’adoption de dispositifs techniques permettant de bloquer immédiatement les appels et messages issus de numéros frauduleux. La complexité des cadres juridiques de l’époque rendait la mise en œuvre de ces blocages particulièrement ardue, soulignant l’importance de ces nouvelles directives.

Déjà, à l’époque, ZATAZ alertait sur l’usurpation d’identifiants d’appelant pouvant prendre plusieurs formes : du swatting malintentionné à des fins d’escroquerie plus sophistiquées. Cette pratique peut également servir à orchestrer des attaques de type DDoS téléphonique (TDoS), perturbant gravement les services d’urgence comme nous avons pu le voir, il y a quelques mois. En 2014, je vous montrais des attaques qui n’ont jamais cessées depuis.

Technologie Shaken/STIR

L’initiative de l’Arcep, appuyée par des technologies d’authentification avancées comme SHAKEN/STIR, marquait un pas important vers la sécurisation des communications téléphoniques. Elle suivait les actions menées par les autorités américaines et canadiennes pour lutter contre l’usurpation téléphonique.

En 2020, la loi Naegelen est votée. Il faudra attendre 4 ans supplémentaires pour voir apparaitre les premières actions. Ce blocage doit être mis en place à l’automne 2024. La hausse des fraudes téléphoniques bancaires, dite technique « Allô », mais aussi les FoVI ou autres TDoS ne pouvaient plus laisser indifférentes les instances politiques.

Romain Bonenfant, directeur général de la Fédération française des télécoms, dans une interview accordée au Parisien le 8 février 2024 est revenu sur cette « nouvelle réglementation« . Il a confirmé qu’elle allait rendre impossible l’usurpation des numéros de téléphone à dix chiffres appartenant, aux banques. La mise en œuvre de STIR/SHAKEN nécessite la coopération entre les opérateurs de télécommunication, les fournisseurs de services téléphoniques et les régulateurs. Aux États-Unis, la Federal Communications Commission (FCC) a mandaté l’adoption de STIR/SHAKEN par les opérateurs de téléphonie pour lutter contre les appels indésirables et la fraude téléphonique [Exemples de fraudes vécues en France, en 2024 dans la vidéo ci-dessous].

Adoptée en 2020, la loi Naegelen vise principalement à éradiquer le démarchage téléphonique abusif. Elle exige des opérateurs téléphoniques l’implémentation d’un système d’authentification des numéros, assorti d’une interruption systématique des appels non authentifiés. Les opérateurs sont tenus de s’assurer de la légitimité des numéros utilisés conformément au cadre réglementaire de l’ARCEP. Le déploiement de cette technologie, basée sur le protocole Stir/Shaken américain, est en cours. L’interviewé indique qu’elle sera effective à l’automne.

STIR et SHAKEN sont sur un bateau, lequel dit « Allô » ?

Cette initiative ne viendra pas à bout de toutes les formes d’usurpation d’identité [Exemple en vidéo ici]. Bonenfant, évoquant l’exemple des États-Unis où un dispositif analogue a été mis en place sans entraîner de coupure d’appels, insiste sur la nécessité d’une collaboration étroite entre tous les acteurs concernés. Le protocole Stir/Shaken est conçu pour contrer le « spoofing », l’usurpation de numéros existant. Néanmoins, les pirates pourront toujours vous contacter avec un autre numéro de téléphone.

STIR (Secure Telephone Identity Revisited) et SHAKEN (Signature-based Handling of Asserted information using toKENs) sont des protocoles de télécommunication conçus pour combattre le problème de l’usurpation d’identité d’appelant et du « spoofing » de numéro. Ces protocoles travaillent ensemble pour authentifier les appels téléphoniques passés sur les réseaux de télécommunication, visant à restaurer la confiance dans l’identité de l’appelant affichée aux destinataires des appels.

Comment fonctionnent STIR/SHAKEN ?

Authentification (STIR): Lorsqu’un appel est initié, l’opérateur de l’appelant (ou le service d’origine) utilise STIR pour créer un « token » numérique (ou certificat) qui atteste de l’authenticité du numéro de l’appelant. Ce certificat contient des informations sur l’identité de l’appelant qui sont cryptographiquement signées, empêchant ainsi leur altération.

Vérification (SHAKEN): Lorsque l’appel est reçu, l’opérateur du destinataire (ou le service de destination) utilise SHAKEN pour vérifier le certificat attaché à l’appel. Si la signature numérique est validée, cela confirme que l’identité de l’appelant n’a pas été falsifiée pendant le transit.

Transmission au destinataire: Après la vérification, l’information sur l’authenticité de l’appelant est transmise au destinataire, souvent sous forme d’indicateur visuel sur l’écran de l’appareil, permettant ainsi au destinataire de savoir si l’appel est authentique ou suspect.