Suite à la prolifération des fraudes téléphoniques (usurpation d’identité par exemple), en France, depuis les années 2000, les consommateurs sont sollicités par des entreprises ou des interlocuteurs peu scrupuleux. Ces appels présentent plusieurs risques pour la sécurité et peuvent parfois même être d’origine criminelle.
Différentes lois et mesures de protection ont été implémentées au fil des années. Nous pouvons principalement citer la directive européenne sur le commerce électronique de 2000 en Europe, la loi Naegelen et finalement le MAN (Mécanisme d’Authentification des Numéros).
Dans cet article, nous explorerons le sujet du MAN, également connu sous le nom du mécanisme STIR/SHAKEN, en examinant son aspect juridique et technique, ainsi que son implémentation par Plug & Tel, l’un des opérateurs VoIP en France.
Qu’est ce que le MAN ?
Le MAN (Mécanisme d’Authentification des Numéros) ou STIR/SHAKEN (STIR : Secure Telephone Identity Revisited / SHAKEN : Signature-based Handling of Asserted Information Using Tokens) est un protocole qui permet de lutter contre les appels frauduleux et les usurpations d’identité téléphonique.
Ce mécanisme repose sur un certificat qui prouve l’authenticité des appels téléphoniques en vérifiant leur provenance et l’intégrité des informations transmises.
Le STIR/SHAKEN a été implémenté aux États-Unis, au Canada et au Royaume-Uni depuis 2021. Ensuite, à partir du 25 juillet 2023, il a été introduit en France dans le cadre du MAN.
Le fonctionnement du Mécanisme d’authentification des numéros
Le MAN vise à renforcer la sécurité et la confiance dans les communications téléphoniques en authentifiant l’identité de l’appelant. Il exige que les opérateurs téléphoniques, y compris les fournisseurs de téléphonie VoIP, proposent des numéros authentifiés pour émettre les appels.
Le fonctionnement du MAN repose sur le système STIR/SHAKEN, une solution industrielle, normalisée et interopérable, utilisée à une échelle internationale. Ce processus d’authentification implique l’intervention de l’opérateur de départ et l’opérateur de terminaison.
L’opérateur de départ, responsable de l’émission de l’appel sur le réseau pour son client, doit authentifier l’appel en fonction de certains critères. L’identification de l’opérateur de départ et les informations transmises sont certifiées par le système STIR (Secure Telephone Identity Revisited). Chaque appel reçoit une attestation SHAKEN de niveau A, B ou C, indiquant la fiabilité de la source.
L’opérateur de terminaison, qui réceptionne l’appel sur son réseau pour son abonné, est chargé de vérifier l’authenticité de l’appel en fonction de l’attestation attribuée par l’opérateur de départ. En pratique, tout appel non signé ou avec une signature invalide est coupé par l’opérateur de terminaison, sauf les appels d’urgence.
Le cadre juridique du MAN
Le MAN, en France, est introduit par la loi n° 2020-901 (connue aussi sous le nom de la Loi Naegelen) ainsi que la décision 2019-0954 qui vise à encadrer le démarchage téléphonique et protéger les appelés en réduisant tout type de fraude à l’identité.
Le texte de l’ARCEP a donc rendu obligatoire, pour tous les opérateurs français, l’authentification et la signature des appels émis :
“…Cette décision évoque également les travaux concernant les protocoles « STIR / SHAKEN » susceptibles de constituer les bases d’une solution de long terme répondant à ce besoin d’authentification du numéro d’identifiant de l’appelant.”.
Source : ARCEP
Tous les opérateurs téléphoniques en France doivent donc intégrer cette obligation dans leur processus de traitement d’appels, sous peine de sanctions par le régulateur, l’ARCEP (Autorité de Régulation des Communications Électroniques et des Postes)
Le non-respect de cette loi peut entraîner plusieurs conséquences :
- Des sanctions imposées par l’ARCEP qui peuvent aller jusqu’à la mise en péril de l’activité
- Une rupture de la continuité du service
- Un risque pénal qui peut se traduire même par l’interdiction de l’exercice.
Le cadre technique du MAN
Comme déjà expliqué, l’objectif du MAN est d’instaurer une confiance entre les clients et leur opérateur télécom et entre les opérateurs.
Son mécanisme d’authentification et de signature intègre les composants de la solution STIR/SHAKEN, adressant ainsi les exigences suivantes :
- Authentification des numéros à l’aide de la base maBNE (la bibliothèque qui va permettre de mettre en base les numéros vérifiés de l’opérateur afin d’aider dans la notation de l’appel)
- Signature des appels
- Vérification de la signature des appels
- Coupure des appels en cas d’échec de vérification
La solution repose sur l’utilisation des certificats, chaque appel est noté selon 3 niveaux d’attestation :
- A : Attestation complète : Lorsque l’opérateur signataire est responsable de l’émission de l’appel sur le réseau, possède une relation authentifiée directe avec le client final et établit une association vérifiée entre le client final et le numéro de téléphone utilisé.
- B : Attestation partielle : Lorsque l’opérateur n’a pas établi une association vérifiée entre le client final et le numéro de téléphone affiché.
- C : Attestation de passerelle : Lorsque l’opérateur signataire n’a aucune relation avec l’émetteur de l’appel.
Les rôles des opérateurs et le STIR/SHAKEN
Dans le cadre du STIR/SHAKEN, les opérateurs auront 3 rôle différents :
- Opérateur signataire : Il s’agit d’un opérateur détenteur d’un certificat de signature d’appel, responsable des informations transmises dans le cadre du MAN.
- Opérateur technique de signature : Il s’agit d’un fournisseur de services connecté au réseau public et autorisé par un opérateur d’origine du client à signer les appels en son nom.
- Opérateur technique de vérification : il s’agit d’un prestataire technique mandaté par un opérateur de terminaison pour appliquer les règles du MAN pour son compte sur les appels entrants. Cela comprend la vérification des appels et éventuellement leur blocage pour le compte de l’opérateur de terminaison.
Le rôle de Plug & Tel dans l’authentification des numéros
Pour assainir le marché des télécommunications, notre devoir en tant qu’opérateur téléphonique, est de nous impliquer technologiquement afin d’intervenir et de garantir l’authentification de toutes les personnes émettant des appels depuis notre réseau mais également de les protéger en vérifiant, grâce à la note et la signature transitant dans l’appel, les appels réceptionnés, pour leur compte, sur notre réseau.
Pour ce faire, Plug & Tel ne s’est pas reposé sur un seul certificat, mais plutôt sur 2. Pourquoi ? En cas de bug, nous avons veillé à avoir un certificat de backup pour garantir le bon fonctionnement permanent et assurer la continuité des appels en cas de problème.
Chez Plug & Tel, ainsi que chez tous les autres opérateurs, la solution STIR/SHAKEN sera opérationnelle à partir du 1er juin 2024. La période estivale permettra de tester les développements mis en place. Ensuite, à partir du 1er octobre, les opérateurs téléphoniques seront en mesure d’intervenir et commenceront à couper ou casser les appels non conformes.
Notre objectif ultime est d’identifier clairement les personnes qui détiennent nos numéros, obtenant majoritairement une attestation complète (Niveau A).
Grâce à son savoir-faire, Plug & Tel intervient en tant qu’opérateur technique de signature. L’entreprise sera chargée de vérifier et signer ses propres appels.
Conclusion
Pour résumer, la mise en place du STIR/SHAKEN ou MAN est indéniablement un progrès significatif dans la lutte contre le démarchage téléphonique non sollicité et la protection des consommateurs contre les appels frauduleux.
Plug & Tel a respecté les exigences légales et techniques pour garantir l’authenticité des appels effectués sur son réseau VoIP en mettant en place cette solution.
Notre objectif, en implémentant et en maintenant cette technologie, est de renforcer la confiance des utilisateurs dans les services que nous leur délivrons et leurs communications téléphoniques Nous leur offrant ainsi une protection accrue contre les appels non sollicités et l’usurpation d’identité téléphonique. N’hésitez pas à nous contacter pour en savoir plus !