Comment SHAKEN/STIR fonctionne et quel est son impact pour les opérateurs ?

Robocall et STIR SHAKEN

Même si vous n’habitez  pas aux États-Unis, vous avez probablement déjà fait l’expérience du “Robocall”. Ces appels de télémarketing (ils viennent toujours à plusieurs…) où un message enregistré ou un commercial à la voix robotique essaie de vous vendre quelque chose appels après appels. La plupart d’entre nous a reçu ce genre d’appels.

La prospection téléphonique est acceptable dans la plupart des pays quand elle est faite avec discernement et respect, mais les mauvaises pratiques se sont multipliées dans ce domaine et ont pris des proportions énormes, notamment aux États-Unis où, dès que vous activez une carte Sim, vous êtes inondé par ces appels automatisés. Cela ruine l’expérience de l’utilisateur final, réduit la confiance dans les télécommunications et coûte très cher aux opérateurs lorsqu’ils sont associés à la fraude. Il fallait donc faire quelque chose pour stopper cette tendance. L’une des réponses de la communauté des télécoms et des législateurs est d’accroître la responsabilité des opérateurs et la transparence en ce qui concerne l’usage des numéros de téléphone (SDAs). La transparence notamment sur l’utilisateur des SDAs utilisés lors d’appels de prospection et la société qui les emploient. 

Le problème est que les appels passent généralement par une série d’opérateurs différents avant d’atteindre leur destination. Si l’information sur la légitimité de l’appelant peut être connue par le premier opérateur, elle n’est généralement pas transférée aux autres opérateurs de la chaîne, et en particulier au dernier qui est censé acheminer l’appel vers l’utilisateur final. Une façon de responsabiliser tous les acteurs de la chaîne quant à la légitimité de l’appelant (et donc de l’appel) est de créer un certificat contenant les informations sur l’appelant et de le transférer avec l’appel tout au long de la chaîne. C’est ce que font les protocoles SHAKEN/STIR et c’est pourquoi ils sont mis en œuvre à partir du 30 juin 2021 aux États-Unis afin de renforcer l’application des lois sur l’identification des appelants, contrôler l’identification des appels et appliquer des sanctions en cas d’utilisation frauduleuse. 

Quel est le problème concernant l'identification des appelants

1) Les appels non sollicités et abusifs

Récemment, les Robocalls, c’est-à-dire les appels générés par des machines avec du son préenregistré ou des SVI intelligents, ont été désigné comme étant l’une des principales menaces en ce qui concerne la perte de confiance du grand public dans le secteur des télécommunications. Il convient de souligner qu’il existe de nombreuses raisons légitimes d’utiliser des SVI intelligents et des machines pour générer des appels. Par exemple, pour une annonce d’intérêt public, ou pour obtenir un rappel automatique du service clientèle à une heure donnée, ou encore pour créer des conférences téléphoniques en appelant les appelants directement sur leur téléphone… Le problème n’est donc pas tant l’automatisation des appels que l’identification de la personne qui vous appelle. Dans une grande majorité des cas, vous pouvez identifier la personne qui vous appelle, même si vous ne la connaissez pas. Parfois, vous voyez l’info directement sur votre smartphone ou vous pouvez la trouver plus tard sur internet. Vous pouvez alors soit répondre à l’appel, soit demander à ne plus être appelé si vous n’êtes pas intéressé. Et c’est une bonne chose, parce que la personne qui vous appelle vient d’une vraie entreprise et affiche son vrai numéro de téléphone que vous pouvez vérifier et éventuellement bloquer. Lorsque la raison pour laquelle une personne vous appelle est moins légitime, cette personne préférera probablement ne pas être identifiée.

Lorsqu’ils prévoient de faire des appels abusifs ou non sollicités, les escrocs ne veulent généralement pas être rappelés par leur victime, et ils ne veulent généralement pas non plus que la police frappe à leur porte. S’ils utilisent effectivement un vrai numéro de téléphone, la police peut demander à l’opérateur qui a fourni le SDA de bloquer ce numéro et de donner les informations nécessaires pour trouver et poursuivre les escrocs, mais c’est le scénario idéal. Donc, pour éviter d’être rappelés ou de donner une adresse locale pour un numéro de téléphone, les escrocs utilisent simplement des SDA qui ne leur appartiennent pas et cela résout tous leurs problèmes. En usurpant le SDA de quelqu’un d’autre, ils deviennent intraçables et peuvent atteindre des milliers de personnes chaque jour sans conséquences ni contrôle… Jusqu’à présent.

2) L’usurpation de numéro de téléphones (SDAs)

Alors comment quelqu’un peut-il devenir intraçable et utiliser un SDA qui n’est pas le sien pour passer des appels ? C’est assez simple de le faire. De nombreux logiciels de télécommunications demandent simplement, lors de la configuration, quel SDA l’utilisateur souhaite utiliser comme identifiant de l’appelant pour générer des appels. Il n’y a généralement rien de mal à cela. Lorsqu’un opérateur reçoit une tranche de numéros de l’agence nationale de régulation, il reçoit simplement une liste de SDAs qu’il peut utiliser et configurer dans les équipements client. Donc, en théorie, vous pouvez également configurer cet équipement avec un SDA qui n’est pas le vôtre. En tant qu’opérateur réglementé, vous ne voulez pas jouer à ça, l’usurpation de SDA est contraire à toutes les réglementations du monde, mais techniquement, ce n’est pas difficile.

Outre le fait d’utiliser un SDA qui n’est pas le vôtre (et d’escroquer les gens en passant…), l’usurpation de SDA pose d’autres problèmes. Tout d’abord, elle rend la vie des forces de l’ordre beaucoup plus difficile, car les informations jointes au SDA ne correspondent pas à la personne réelle qui l’utilise. Ainsi, même si l’utilisateur légitime du SDA a fourni toutes les informations requises pour l’utiliser, ce n’est pas la bonne personne qui se cache derrière l’utilisation frauduleuse. Au cours d’une enquête, c’est un problème très sérieux tant pour les forces de police que pour les utilisateurs légitimes. Deuxièmement et par conséquent, l’usurpation de SDA se rapproche de plus en plus de l’usurpation d’identité, car notre utilisation du SDA est largement liée à l’identification automatisée, dans les services bancaires, dans les achats en ligne, dans les paiements…Par conséquent, utiliser le numéro de quelqu’un d’autre est le premier pas vers le vol d’identité et ce n’est pas vraiment pas chouette.

3) Défiance envers les télécoms traditionnels et les opérateurs

Non seulement ce n’est pas chouette pour les raisons mentionnées précédemment, mais ce n’est pas chouette non plus pour la réputation et la confiance dans l’ensemble du secteur des télécoms. Aux États-Unis, moins de la moitié des appels reçoivent une réponse car les gens se méfient de plus en plus des appels vocaux traditionnels, qui sont pourtant un excellent outil de communication. Il s’agit d’une tendance croissante dans le monde entier et d’une préoccupation majeure pour les opérateurs de télécommunications. Les appels vocaux restent un moyen de communication important et la confiance dans notre système d’identification de l’appelant est fondamentale, que ce soit dans le cadre d’usage mobile, fixe ou applicatif ou dans le cadre de scénario d’identification lors d’une transaction en ligne. Ainsi, pour regagner la confiance du grand public dans les appels vocaux et pour réduire les fraudes liées aux numéros de téléphone sur tous les supports, les opérateurs devaient trouver un moyen de collecter, stocker, transférer et valider les informations relatives au numéro de téléphone et à son utilisateur. Et pour ce faire, les protocoles SHAKEN/STIR sont très utiles.

Le SHAKEN/STIR

SHAKEN/STIR est une suite de procédures et de protocoles créés pour lutter contre l’usurpation d’identité.

1) Qu’est-ce que STIR et comment fonctionne-t-il ?

Il s’agit de la procédure et du protocole pour les appels SIP/VoIP :

STIR pour « Secure Telephony Identity Revisited » est une procédure qui ajoute à l’en-tête SIP d’un appel un certificat numérique qui donne des informations sur l’appelant, le destinataire et la légitimité de l’appelant à utiliser le SDA. Le certificat numérique, un token Web JSON, est produit par le fournisseur du SDA de l’appelant en comparant ce SDA avec sa propre base de données SDA, lorsque l’appel est initié.

Si le SDA est entièrement reconnu (tous les chiffres), ce qui signifie que le fournisseur de SDA valide que l’appelant est enregistré dans sa base de données en tant que client connu, alors l’appel reçoit le plus haut degré de vérification ou « Full Attestation » qui est indiqué dans l’en-tête SIP par un « A ». Si le SDA est partiellement reconnu (plusieurs premiers chiffres par exemple) comme faisant partie d’une liste de SDAs que le fournisseur a attribuée à un client, l’appel reçoit une « Partial Attestation », qui est indiquée par un « B » dans l’en-tête. Enfin, si le fournisseur de service est uniquement en mesure de valider que l’appel provient d’une passerelle de confiance notamment lorsque l’appel a transité par plusieurs fournisseurs par exemple, alors l’appel reçoit la “Gateway Attestation » qui est indiquée dans l’en-tête par la lettre « C ».

Le token d’appel est crypté avec une clé privée et décrypté avec une clé publique par l’opérateur au bout de la chaîne d’appel. Cela signifie que tous les opérateurs « légitimes » devront s’inscrire auprès d’une autorité de certification pour obtenir cette clé publique. Tous les appels qui échouent aux vérifications du dernier opérateur censé transmettre l’appel à l’utilisateur final, à cause d’une clé publique inconnue, une incohérence entre l’appelant SDA présenté finalement et le SDA utilisé au point de départ, seront considérés comme non valides et pourront être bloqués avant d’atteindre l’utilisateur final.

2) Qu’est-ce que le protocole SHAKEN et comment fonctionne-t-il ?

Pour les appels non VoIP utilisant le SS7, comme les appels par téléphone cellulaire ou les appels analogique (RTC), l’en-tête SIP ne peut pas être utilisé, et donc le protocole STIR non plus. Pour fournir une alternative à STIR avec un niveau de sécurité accru par rapport à la situation actuelle, le système SHAKEN ou « Signature-based Handling of Asserted information using toKENs » a été introduit. Il n’est pas encore finalisé et ne peut donc pas être entièrement décrit mais ce système consiste à ajouter des informations supplémentaires au nom de l’appelant présenté à l’utilisateur final par le dernier opérateur SIP capable de certifier le certificat STIR. Ainsi, dans la chaîne d’opérateurs traitant l’appel, le premier opérateur SIP va générer le certificat STIR et le dernier opérateur SIP devra lire le certificat et ajouter soit « Verified » soit « Non-verified » au nom de l’appelant présenté à l’utilisateur final. Ce qui aidera cet utilisateur à choisir de répondre ou non.

Qu'est-ce que cela signifie pour les opérateurs voix?

Les points suivants ne s’appliquent évidemment pas au transit du trafic local dans les pays où le protocole SHAKEN/STIR n’est pas appliqué. Mais comme le nombre de pays envisageant ce cadre d’identification est en augmentation, mettons-nous à la place des opérateurs devant se conformer à ce cadre. Cela pourrait également bientôt s’appliquer aux opérateurs étrangers souhaitant envoyer des appels vers des pays appliquant pour le protocole SHAKEN/STIR

1) Être en mesure de générer des certificats pour vos appels

En tant qu’opérateur permettant à vos clients d’utiliser des SDAs et de générer des appels, c’est vous qui lancez le processus et vous devrez être en mesure de générer le certificat STIR. Cela signifie que vous devrez sûrement vous inscrire auprès de l’autorité de certification à laquelle appartiennent vos SDAs. Aux États-Unis, vous devez vous inscrire auprès du Secure Telephone Identity Policy Administrator (STI-PA), qui approuve les fournisseurs de services vocaux souhaitant participer au SHAKEN/STIR. Une fois que vous avez été validé, vous pourrez accéder au base de données de certificats et générer ou lire le certificat STIR.Le système SHAKEN/STIR est mis en œuvre aux États-Unis depuis le 30 juin 2021, mais cela ne signifie pas que tous les opérateurs sont prêts à l’utiliser, ni que tous les pays du monde vont bientôt le mettre en œuvre, mais comme l’utilisation frauduleuse des SDA augmente, de plus en plus de pays vont le mettre en œuvre, donc si vous gérez des SDA, tenez vous au courant des initiatives SHAKEN/STIR locales.

2) Être en mesure de transmettre les certificats à vos fournisseurs d’interconnexion

Si vous faites transiter des appels entre opérateurs, votre travail consiste ici à transporter le certificat en même temps que l’appel. Si vous modifiez le certificat, l’appel risque d’être considéré comme frauduleux et d’être refusé par l’opérateur terminaison. Nous vous conseillons donc d’être capables de transférer les certificats ou du moins de vous y préparer et de vous assurer que vos partenaires locaux en fassent autant, notamment ceux générant les appels qui doivent pouvoir apporter la certification appropriée aux appels émis.

Il existe encore de nombreuses situations floues et des questions sans réponse lorsqu’il s’agit d’acheminer des appels certifiés.
Par exemple, comment acheminer des appels entre deux pays ayant des agences de certification différentes et donc des dépositaires de certificats différents ? Cela signifie-t-il que ce cadre ne s’appliquera pas aux appels internationaux ou que vous devez être enregistré auprès de toutes les agences de certification nationales des pays vers lesquels vous envoyez des appels ?
Il y a un début de réponse aux Etats-Unis avec le cas des opérateurs étrangers ayant des SDAs américains. En effet, la proposition de l’autorité américaine est que l’opérateur américain de terminaison et l’opérateur étranger générant l’appel travaillent ensemble pour valider la légitimité des appels et que le transporteur américain génère les certificats. C’est donc un processus personnalisé est à construire, pour chaque partenariat et dans chaque pays. Il n’existe pas de véritable solution globale.

3) Faire attention à sa « réputation » SHAKEN/STIR

Si vous fournissez des SDAs aux utilisateurs finaux, vous signerez littéralement chaque appel avec votre clé publique et, par conséquent, une responsabilité accrue concernant la légitimité de ces appels vous incombe. Si vous autorisez les activités d’usurpation de SDA ou d’escroquerie dans le cadre de votre service, votre clé sera révoquée et vous ne pourrez plus envoyer vos appels sur le réseau. Personne ne souhaite que sa clé soit inscrite sur la liste noire de la plupart des grands opérateurs nationaux ou internationaux. Cela pourrait vous amener à réévaluer certaines opportunités notamment auprès des clients ayant un trafic à la légitimité douteuse. De même, il peut être très dangereux de commencer à maquiller, avec votre toute nouvelle certification, les certificats d’appels notoirement frauduleux en appels de niveau “A”. Même si vous pouvez obtenir un gain à court terme et même si vous le faites sur peu d’appels, vous risquez la révocation ou la mise sur liste noire de votre clé par les opérateurs de terminaison. Cela mettrait en grand danger l’ensemble de votre activité voix. A vrai dire, c’est l’un des principaux objectifs de ce processus, il sera difficile de ne pas connaître la qualité du trafic acheminé par un partenaire opérateur. Par conséquent, le choix sera du côté des opérateurs de terminaison ou de transit d’autoriser le trafic frauduleux ou de cesser définitivement de l’acheminer.

Application locale du cadre SHAKEN/STIR dans le monde

Les États-Unis ont déjà commencé à appliquer ce mécanisme depuis le 30 juin 2021 pour les grands opérateurs, avec une prolongation du délai jusqu’au 30 juin 2022 pour les petits opérateurs. Si vous êtes un opérateur américain et que vous avez manqué le train, il existe de nombreuses ressources pour vous mettre à jour, notamment le site web des autorités américaines. Le Canada suivra avec une date limite fixée au 30 novembre 2022. Le Royaume-Uni envisage de l’appliquer également après le remplacement complet du réseau RTPC en 2025. La France a travaillé à la fois sur une loi visant à renforcer le contrôle du démarchage téléphonique et la lutte contre les appels frauduleux (loi Naegelen) et sur une simplification de son plan national de numérotation. Elle a d’ailleurs introduit dans la régulation un mécanisme de certification des identifiants d’appel (voir notre article sur le sujet). Des tranches dédiées de SDAs mobiles ont même été dédiées à la mise en œuvre de cette certification même s’il n’y a pas plus de détails sur le cadre technique. Il s’agit en tout cas d’une bonne occasion pour les opérateurs légitimes d’améliorer la qualité du service vocal au niveau local et mondial et de participer au renforcement de la confiance du public dans le service voix. 

Dites-nous si vous voyez d’autres aspects à prendre en compte dans la mise en œuvre du SHAKEN/STIR pour les opérateurs et nous nous assurerons de mettre à jour cette page pour aider d’autres opérateurs. Faites-nous part de votre opinion et de votre expérience de l’utilisation de ce nouveau processus d’identification ! Nous serions ravis d’en discuter avec vous.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *