Nouvelles Régulations sur le Démarchage Téléphonique : Une Aube Nouvelle pour les Consommateurs ?

Le 1er mars 2023 a marqué une évolution majeure dans la réglementation du démarchage téléphonique en France. Les démarcheurs ont depuis cette date été limités dans leurs appels aux consommateurs uniquement du lundi au vendredi. A partir du 25 juillet 2023, les opérateurs vont devoir filtrer les appels malveillants !

Qui n’a jamais reçu d’appels concernent des offres pour des énergies renouvelables, des panneaux solaires, de l’électricité, ou encore des forfaits téléphoniques ? Un rapport signé Truecall soulignait l’année dernière que le montant moyen subtilisé aux victimes d’appels téléphoniques malveillants a augmenté de 14,94 % par rapport à l’année précédente, grimpant de 502 à 577 euros. Des appels qui ont touché plus de 68 millions d’Américains, en 2022 pour une perte financière de 39,5 milliards de dollars. Autant dire qu’en France, les victimes doivent aussi se compter par centaines de milliers.

Site d’usurpation téléphonique. Capture : zataz.com (nous avons caché le nom)

Loi Hamon de 2014

En France, la loi Hamon de 2014 avait déjà fait un pas en avant en interdisant aux professionnels de passer des appels téléphoniques en numéros masqués. Néanmoins, une technique d’affichage d’un autre numéro que le leur est couramment exploitée par les centres d’appels, induisant ainsi en erreur les consommateurs et contournant les dispositifs de lutte contre le spam vocal.

Vous vendre de la téléphonique, un nouvel abonnement au gaz, équiper votre maison de panneau solaire, vous proposer un repas au restaurant et finir avec un contrat d’investissement non réclamé… Si vous n’avez pas reçu un appel identique, il y a fort à parier que vous avez été la cible d’appels similaires. Que ce soit une tentative d’escroquerie fiscale, une « un super allègement de crédit » ou d’autres escroqueries du même acabit, les appels automatisés ont pris une ampleur considérable ces dernières années.

En 2018, il avait été estimé à 85 milliards le nombre d’appels automatisés passés aux USA ! Des appels qui se repèrent pourtant de loin. D’abord un appel vide, sans « bonjour« , ni « Allô » de l’appelant robot. Ce bot écoute votre réponse. Il entend un bruit, une voix, et vous voilà dans sa base de données de rappel. Quelques heures plus tard, quand ce ne sont pas quelques minutes, vous voilà avec un interlocuteur humain, souvent employé dans un call center, qui va tenter de vous vendre tout et n’importe quoi.

Vishing, Vini, Vici

Attention, ne dites JAMAIS « oui » lors d’un appel automatisé ou une rencontre téléphonique avec un vendeur. Ce oui pourrait se conclure par un contrat que vous ne souhaitiez pourtant pas !

Le problème des appels automatisés ne se limite pas à leur caractère irritant. Ils représentent également une menace sérieuse : au cours de l’année 2018, les Américains ont perdu 10,5 milliards de dollars en raison de ces arnaques téléphoniques. Je vous expliquais plus haut que ce chiffre avait doublé en 2022. Le vishing (phishing téléphonique), un véritable danger !

L’usurpation d’identité reste toutefois un délit pénal, puni par un an d’emprisonnement et 15 000 € d’amende, en France, si le professionnel utilise le numéro d’un particulier sans son accord. Détourner des données personnelles de leur finalité, en France : cinq ans d’emprisonnement et 300 000 € d’amende. Néanmoins, la preuve de l’usurpation est difficile à apporter pour les particuliers victimes, et ces derniers se voient souvent conseiller de changer de numéro. Des usurpations souvent exploitées par des pirates informatiques.

Site de spoofing téléphonique. Capture : zataz.com (nous avons caché le nom)

Les Etats-Unis précurseurs de la chasse aux appels malveillants

En juin 2019, la FTC a initié l’opération « Call It Quits« , une campagne de grande envergure coordonnée contre les appels automatisés. La FTC s’est associée à 40 organismes d’application de la loi aux niveaux local, étatique et fédéral pour intenter au total 95 actions en justice, tant civiles que pénales, contre les auteurs de ces appels automatisés. En parallèle à ces actions judiciaires, la FTC encourage aussi les consommateurs à s’inscrire sur sa liste de non-appel (Do Not Call). Un « Bloctel » américain. La FTC a rapidement modifié la règle des ventes par télémarketing afin d’interdire les argumentaires de vente des appels automatisés à moins que les entreprises n’aient l’autorisation écrite expresse des consommateurs d’appeler.

Les opérateurs US ont mis en place quelques solutions. Verizon met à disposition diverses techniques pour contrer les appels indésirables, comme la fonctionnalité Spam Alert, qui vous signale lorsqu’un appel entrant pourrait être une tentative d’escroquerie. Ce prestataire propose aussi un service de blocage d’appels (avec des versions gratuites et payantes), capable de filtrer les appels non désirés sur les lignes fixes et mobiles.

Sprint propose le service Premium Caller-ID qui bloque ou limite les appels sur votre ligne fixe et mobile grâce à une application associée. AT&T, quant à lui, propose des versions gratuites et payantes de son service Call Protect qui utilise un algorithme spécifique pour repérer les appels frauduleux. Dès 2017, AT&T avait déjà bloqué plus d’un milliard d’appels grâce à son système.

T-Mobile propose le service Scam ID and Scam Block. Lors d’un appel indésirable, le message « arnaque potentielle » s’affiche à la place de l’identifiant de l’appelant. Le service Name ID permet d’identifier le nom et la localisation des escrocs.

En tant que premier pays à instaurer une liste de refus du démarchage téléphonique, comparable à Bloctel en France, les États-Unis ont mis en place un observatoire, qui depuis plus de 20 ans, réceptionne les réclamations relatives aux appels non sollicités. En 2021, par exemple, les USA ont enregistré 5 millions de plaintes (7 millions en 2017). 68% étaient dues à des appels automatisés.

Les Etats-Unis ont mis en place le protocole STIR/SHAKEN. Il permet, grâce à un certificat d’opérateur, d’identifier les appels VoIP et non VoIP à des destinations des Américains. Il aide dans la lutte contre les appels téléphoniques indésirables et la falsification de numéros. « STIR » et « SHAKEN » signifient respectivement Secure Telephone Identity Revisited (STIR) et Signature-based Handling of Asserted information using toKENs (SHAKEN).

Ce protocole permet d’authentifier les appels téléphoniques à mesure qu’ils sont passés sur les réseaux de télécommunication. Il utilise des certificats numériques pour vérifier que l’appelant a bien le droit d’utiliser le numéro de téléphone qu’il présente. Cela réduit le spoofing. En juin 2019, la Federal Communications Commission (FCC) des États-Unis a exigé de tous les fournisseurs de services de télécommunication de mettre en place STIR/SHAKEN.

En France, Orange propose, via son outil maison, d’être alerté d’un appel « frauduleux« .

À partir du 25 juillet 2023, une nouvelle réglementation européenne entre en vigueur

Les opérateurs de téléphonie, tels qu’Orange, SFR, Free et Bouygues, sont désormais tenus de bloquer les appels non authentifiés. Ce nouveau protocole, inspiré du standard américain STIR/SHAKE, vise à renforcer les barrières existantes contre les usurpations d’identité. Il s’agit là d’un défi technologique majeur pour les opérateurs. Des problématiques téléphoniques qui ont pu prendre différents visages comme le swatting. Des internautes usurpent le numéro de téléphone d’une personne et appellent la police avec ce numéro usurpé. Le numéro officiel apparait alors dans l’appareil de ceux qui reçoivent l’appel ! L’idée des malveillants étant de faire débarquer les autorités à l’adresse physique de la victime.

En parallèle, la loi n°2020-901 du 24 juillet 2020 vient renforcer la lutte contre les appels frauduleux, avec des sanctions alourdies allant désormais jusqu’à 75 000 € pour un particulier et 375 000 € pour une entreprise. Les opérateurs de communications électroniques ont également pour mission de lutter contre la fraude, avec le pouvoir de filtrer et bloquer des communications non sollicitées et/ou frauduleuses. Les fournisseurs de services seront obligés d’assurer la vérification de l’authenticité des appels à travers un système appelé Man (mécanisme d’authentification des numéros). Celui-ci est très similaire au protocole STIR/SHAKEN.

Alors, est-ce le début de la fin pour le démarchage téléphonique ? Il est trop tôt pour le dire. Le dispositif devrait être pleinement opérationnel à la rentrée 2023 [article L44 du Code des postes et des communications électroniques], sans action requise de la part des consommateurs. Toutefois, ces nouvelles mesures sont un pas de plus vers une meilleure protection des consommateurs contre les appels indésirables. Seul l’avenir dira si ces changements auront l’effet escompté.

Afficher un autre numéro de téléphone pour faire une blague ? Capture : zataz.com (nous avons caché le nom)

VoIP, complice des pirates ?

La Voix sur IP (VoIP) est une technologie qui permet aux utilisateurs de passer des appels par Internet plutôt que par les réseaux téléphoniques traditionnels. Totalement légal, la VoIP a simplifié et réduit les coûts des communications, mais a également créé une opportunité pour les acteurs malveillants d’abuser du système. Plusieurs cas sont exploités par les malveillants : spoofing, automatisation, Etc.

La VoIP permet aux personnes de passer des appels depuis n’importe quel endroit disposant d’une connexion Internet. Cela signifie que les escrocs peuvent opérer depuis n’importe quel pays, rendant plus difficile pour les autorités de les retracer et de les poursuivre. La facture téléphonique est moindre. Cela rend le coût d’envoi de milliers d’appels automatisés insignifiant pour les escrocs.

Le spoofing (usurpation) est une technique couramment utilisée dans les arnaques par téléphone. Cela implique de faire apparaître un faux numéro sur l’identifiant de l’appelant du destinataire. Avec la technologie VoIP, il est assez facile pour les escrocs de modifier leur identité d’appelant et d’apparaître comme s’ils appelaient d’un autre numéro – parfois un numéro que la victime est susceptible de reconnaître et de répondre. Il existe des logiciels et des services disponibles en ligne qui permettent aux gens de « spoof » des numéros de téléphone. Je vous parlais de cette problématique, sur laquelle l’ARCEP se penchait, en 2018.

Ces outils permettent aux utilisateurs d’entrer n’importe quel numéro qu’ils souhaitent faire apparaître sur l’écran du destinataire. Ces services utilisent la technologie Voice over IP (VoIP) pour passer des appels, qui sont plus faciles à manipuler que les appels traditionnels. En novembre 2022, une centaine de personnes a été arrêtée par les autorités. Il s’agissait d’adeptes du spoofing et d’un site dédié à cette malveillance.

Les services VoIP peuvent être utilisés pour automatiser les appels. Les escrocs peuvent utiliser un logiciel qui combine la technologie VoIP avec des techniques d’automatisation pour composer des milliers de numéros à la fois, laissant des messages enregistrés ou parlant aux victimes via une interface de réponse vocale interactive.