usurpation des identifiants d’appelant

Protéger les appels comme les courriers électroniques

Il y a un an, la France via l’ARCEP annonçait des mesures contre le contrôle de l’identité d’appelant téléphonique. Le Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC) se donne encore neuf mois pour contrer les faux appels en imposant le STIR/SHAKEN.

Mai 2018, l’Europe et la France se lance dans la grande aventure du Règlement Général des Données Personnelles (RGPD). Dans la foulée, l’Arcep mettait en place une consultation publique concernant son projet de modernisation du plan de numérotation. La mission de PMPN: mettre au gout du jour le cadre relatif à l’attribution et à l’utilisation des ressources en numérotation. Le but étant de protéger les utilisateurs contre les fraudes et abus téléphoniques. 18 mois plus tard, jamais les Français n’ont reçu autant de faux appels pour des produits malveillants tels que : investir dans les cryptomonnaies ; rénover son logement pour 1€ …

Au Canada, les opérateurs ont jusqu’en septembre 2020

Le Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC) a lancé, début décembre 2019, sa proposition d’imposer aux opérateurs les nouvelles normes appelées STIR/SHAKEN.

Le Secure Telephony Identity Revisited [STIR] est une nouvelle approche de la sécurité de l’identité de l’appelant. La Signature-based Handling of Asserted information using toKENs [SHAKEN] est le traitement de l’information fournie en fonction de la signature au moyen de jetons.

Bilan, cette norme, comme pour une boîte mail sécurisée (exemple avec l’hébergeur mail français PowerMail.fr), doit permettre de contrôler et connaître qui se cache derrière un numéro de téléphone.

Il faut dire aussi que le Canada est une cible « merveilleuse » pour les pirates. Pour en avoir été témoin, la méthode est super efficace. Les intervenants pirates usurpent, par exemple, l’administration fiscale. Ils collectent par téléphone des informations ultra sensibles, comme le numéro NAS (Numéro de Sécurité Sociale). Ce numéro est un sésame qui ouvre des possibilités multiples, dont l’ouverture d’un compte en banque, au pirate qui pourrait le collecter. « Les Canadiens ne devraient jamais fournir de renseignements personnels (comme des renseignements bancaires ou des numéros d’assurance sociale) par téléphone sans d’abord vérifier si la demande est légitime. » comme le rappel le CRTC.

Bref, une lutte sans fin. Qui vise les particuliers, comme les entreprises, petites où grandes. Ces normes seront-elles des mesures efficaces ? Seront-elles aussi efficace que les protections existantes pour protéger sa boîte mail et son contenu ? Offrant une solution complète de messagerie ? A suivre !

Mails, téléphones et usurpations, même combat !

De nombreuses PME passent par des agence web qui proposent, dans leurs contrats, l’hébergement des messageries. Dangereux ! Qui protège le partenaire ? Trop de prestataires ne sont pas spécialisés. Bilan, les aspects techniques, de cyber sécurité sont souvent mis à l’as! Passer par de gros prestataires comme Gmail, Microsoft … des solutions certes « sexy »… mais il faut alors accepter que certaines de ses données passent par l’étranger. Le RGPD est censé protéger les contenus, les clients, … Mais avez-vous pensé à toutes les pistes de « fuites ». Bilan, il existe quelques acteurs 100% français qui maîtrisent leur sujet, un exemple parmi ces acteurs : l’hébergeur mail français PowerMail.fr. Service fiable et proche des utilisateurs.

Tester son identité SPF

Dans les nombreuses possibilités de malveillance par mail, l’usurpation est un élément important ! Comme le rappel Wikipedia, le protocole Simple Mail Transfer Protocol (SMTP) ne prévoit pas de mécanisme de vérification de l’expéditeur lors du transfert du courrier électronique. Envoyer un courrier avec une adresse d’expéditeur factice est un jeu d’enfant.

Le SPF va permettre de réduire les possibilités d’usurpation en publiant, dans le DNS, un enregistrement indiquant quelles adresses IP sont autorisées ou interdites à envoyer du courrier pour le domaine considéré. Une information qui appartient à l’enveloppe du courrier, pas à ses en-têtes. Bilan, si vous recevez un courriel aux noms d’une entreprise, vous êtes certains que l’entreprise est bien derrière ce courriel.

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Responsable du Pôle Cyber Intelligence pour la société 8Brains.ca / Montréal. En savoir plus : https://www.damienbancal.fr

Articles connexes

  1. Antony Reply

    Il y aura bientôt en France et Canada une mise en place de STIR/SHAKEN.
    Mais qu’en est t’il des autres pays ?

    Est-ce que quelqu’un sait si tout les pays ont prévu de mettre en place ce système tôt ou tard ?
    C’est bien que la mise en place de cette protection soit mise en place dans certains pays mais si il reste encore un pays qui ne met pas en place ce système.
    Une personne ayant des contacts avec des entités du seul pays où STIR/SHAKEN ne sera pas utilisé sera vulnérable.

    La sécurité est l’affaire de tous.
    N’oublions pas que le réseau téléphonique mondial destiné au public est un ensemble de réseaux (LES DIFFÉRENTS TYPES DE RÉSEAUX SANS-FILS COMME GLOBALSTAR , GSM , IRIDIUM , THURAYA ETC… ET LES RÉSEAUX FILAIRES) qui sont eux même divisé en sous-réseaux jusqu’à la plus petite unité de celui-ci.
    Un maillon non fonctionnel peut en toucher d’autre.

    Dans le cas présent un type pourrait utiliser une ligne dans un pays n’utilisant pas ce système pour contacter une personne dans un autre pays ayant un lien avec le pays où est situé la ligne n’utilisant pas ce système de protection pour tenter de l’arnaquer.

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.