usurpation des identifiants d’appelant

Phreaking : quand l’ARCEP veut combattre l’usurpation des identifiants d’appelant

L’usurpation d’identifiants d’appelant est un enjeu majeur dans les communications d’aujourd’hui. Connu dans le petit monde des adeptes du swatting, usurper l’identifiant d’un appelant pourrait aussi être employé pour perturber des secours. Explication.

Télécommunication : combattre l’usurpation des identifiants d’appelant ! En mai 2018, l’Arcep mettait en consultation publique son projet de modernisation du plan de numérotation. L’idée, mettre au gout du jour le cadre relatif à l’attribution et à l’utilisation des ressources en numérotation. Ce projet prévoit des mesures visant à protéger les utilisateurs contre les fraudes et abus.

Une des propositions de l’Autorité de régulation des communications électroniques et des postes, encadrer la pratique de modification de l’identifiant d’appelant. Même si cela permet aux entreprises d’offrir un service client simplifié, cette pratique donne lieu à des usurpations de numéros.

Une batterie de mesures

L’Arcep propose une batterie de mesures visant à encadrer son utilisation, et formule une série de recommandations aux opérateurs, incluant la mise en œuvre des mesures nécessaires pour permettre l’interruption immédiate des appels ou messages utilisant des numéros usurpés. Un détail qui est loin d’être négligeable tant les moyens juridiques permettant d’imposer aux opérateurs de bloquer les appels malveillants sont complexes.

Usurpation des identifiants d’appelant

Modifier l’identifiant d’appelant est un acte malveillant que certains pirates aiment exploiter. Par exemple, lors d’un swatting. Ce jeu malsain consiste à faire débarquer la police chez un streamer, en pleine partie live sur le web. De faux appels aussi, aux autorités, comme en France, lors de la présumé prise d’otage dans une église parisienne en 2016. Sans parler de celui qui avait visé le Maire de Lille, Martine Aubry. Le numéro des victimes usurpé apparaissait sur le poste des appelés. Ici les secours et la police.

Pour l’ARCEP, l’une des solutions seraient par exemple de définir les numéros en 09 par leur région d’utilisation (01 à 05). Bilan, il deviendrait difficile pour un utilisateur hors France d’exploiter ce type de numéro.

Usurpation des identifiants d’appelant : couper les lignes malveillantes

L’autre proposition, permettre aux opérateurs de couper la ligne qui ne respecte pas les règles : « l’Autorité recommande aux opérateurs qui constateraient le non-respect des conditions d’utilisation ou, le cas échéant, de territorialité pour des appels ou des messages SMS/MMS émis au départ de leurs réseaux, transitant à travers eux ou terminés sur ceux-ci, de prendre les mesures nécessaires, par exemple en mettant en œuvre sur leur réseau des dispositifs techniques et en insérant des clauses dans leurs contrats, leur permettant d’interrompre leur acheminement.« .

L’ARCEP a constaté des pratiques de modification de l’identifiant de l’appelant afin d’augmenter le taux de réponses des appelés pour des actions de prospection commerciale (présentation d’un numéro perçu comme « local », présentation du propre numéro de l’appelé,…) ; d’induire en erreur l’appelé quant à l’identité de la personne qui l’appelle ; d’échapper aux filtres que les utilisateurs peuvent définir sur certains numéros pour leur tranquillité ; contourner les dispositifs techniques et légaux de lutte contre le spam vocal ; réduire les tarifs de terminaison d’appel pour les opérateurs des pays extra-européens.

Usurpation des identifiants d’appelant : multiples possibilités d’attaques

Les attaques peuvent être multiples, certaines avec des possibilités d’actes « terroriste ». Imaginez le détournement d’une ligne d’un service de secours par un malveillant. Ce dernier trouve le moyen de rediriger, par exemple, l’ensemble des appels sur le 17 (police), 18 (les pompiers), … De quoi provoquer un DDoS téléphonique (TDoS) perturbant avant une action physique : braquage, attentat, …

Des manipulations malheureusement exploitable facilement. Depuis quelques temps est observé des « pondeuses d’appels« . Ces « pirates » usurpent depuis l’étranger un numéro d’un organisme officiel, une mairie par exemple. L’idée, amener les victimes à prendre l’appel. Mission, via du « social engineering », les escrocs incitent à rappeler un numéro en « 09 »surtaxé.

Ils peuvent aussi tenter d’obtenir des infos personnelles. Une collecte qui peut permettre, ensuite, d’autres escroqueries : fraude au président, fausse facture.

L’autre effet de bord, le fameux DDoS/TDoS. Les interlocuteurs découvrent de nombreux appels dans les alertes de leur smartphone, répondeur… dont le numéro est bien celui d’un organisme officiel. Ils rappellent et provoquent, sans le vouloir, un TDoS téléphonique sur le central téléphonique de la cible. Un peu si toute la France décidait de vous appeler à Nouvel An.

Enjeu financier

Un plan de numérotation qui est un véritable enjeu financier pour les opérateurs télécoms. L’acheminement des flux SIP rapporte beaucoup d’argent. Autant dire que pour Orange, SFR et compagnie, il n’est pas dans leur intérêt de bloquer ces flux.

D’autant plus, comme me le précise un expert en la matière, il n’existe pas d’infrastructure réseau et informatique permettant cette politique d’accès.

Il serait peut-être temps de se pencher sur le développement des protocoles SHAKEN / STIR. Cette possibilité technique pourrait permettre d’authentifier l’identifiant de l’appelant.

A noter que le Président du FCC américain, Ajit Pai, a d’ailleurs pris en compte les recommandations du Conseil de la Numérotation de l’Oncle Sam (NANC) à ce sujet.

SHAKEN / STIR est un ensemble de règles et procédures développées pour authentifier les informations d’identification de l’appelant associées aux appels téléphoniques en leur attribuant une « empreinte numérique » chiffrée. Les appels provenant d’un fournisseur de services particulier sont signés numériquement) certificat attestant que l’appelant est autorisé à utiliser le numéro de téléphone indiqué.

Enfin, le fournisseur de services de destination peut ensuite examiner le certificat STI pour valider le numéro de l’appelant et filtrer les appels usurpés aux clients du fournisseur de services.

Pour conclure, ce processus est similaire aux certificats SSL. Certificats utilisés pour établir des connexions sécurisées entre les utilisateurs Internet et les sites Web. Il peut être exploité pour vérifier de manière cryptographique les informations relatives aux appels entrants.

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme réserviste - Lieutenant-Colonel (RC) ComCyberGend. Fondateur du Service Veille ZATAZ : https://www.veillezataz.com En savoir plus : https://www.damienbancal.fr

Articles connexes

  1. Pingback: ZATAZ » Protéger les appels comme les courriers électroniques

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.