La Fibre
Télécom => Réseau => 
Attaques informatiques => Discussion démarrée par: vivien le 30 novembre 2022 à 21:56:46
-
Le filtre anti-arnaque français va bloquer les sites internet considérés comme frauduleux ou dangereux
L’objectif de ce filtre anti-arnaque est de prévenir l’utilisateur, sur ordinateur ou sur smartphone, lorsqu'il se dirige vers un site Internet considéré comme frauduleux ou dangereux. L’usager décidera ensuite s’il veut tout de même poursuivre sur le site ou faire marche arrière. Le filtre devrait fonctionner avec un système de liste noire qui comprendrait des adresses connues pour être des sites malveillants (phishing, virus, rançongiciel, escroquerie...). Cette liste sera mise à jour régulièrement, notamment avec les signalements des internautes.
Ce filtre sera facultatif, l'internaute pourra choisir de l'activer ou non. S'il est activé, il ne fonctionnera que si la recherche mène vers un site inscrit sur la liste noire.
Le filtre anti-arnaque est en cours d’élaboration. Il sera proposé en version bêta (version de test) entre septembre et octobre 2023, avant un déploiement auprès du grand public en 2024.
La France va avoir un système très proche du Belgian Anti Phishing Shield d'ici à la fin 2023.
Sujet concernant le filtr anti-arnaque Belge ⇒ Le dispositif DNS « anti-arnaques » de la Belgique : Belgian Anti Phishing Shield (https://lafibre.info/fibre-belgique/belgian-anti-phishing-shield/)
On rappelle que contre le phishing, le mieux c'est votre vigilance.
(cliquez sur la miniature ci-dessous - le document est au format PDF)
(https://lafibre.info/images/ssl/202103_task-force_de_lutte_contre_les_arnaques_guide.webp) (https://lafibre.info/images/ssl/202103_task-force_de_lutte_contre_les_arnaques_guide.pdf)
Un doute ? Rentrez l'adresse mail ou/et le nom de domaine dans https://fr.scamdoc.com/
ScamDoc.com est un site qui permet d'évaluer la confiance d'une "identité numérique" (adresse mail ou site internet).
Il répond ainsi à plusieurs questions que les internautes se posent couramment sur internet :
- Comment savoir si un site est fiable ?
- Comment détecter une adresse mail frauduleuse ?
- Plus généralement, quelle confiance accorder à un site ou à un correspondant sur internet ?
Le dispositif DNS « anti-arnaques » de la Belgique : Belgian Anti Phishing Shield
La Belgique s'est doté en 2021 d'une protection contre l’hameçonnage et les logiciels malveillants basée sur le DNS activée par défaut : Les opérateurs télécoms Belge ont l'obligation de filtrer les sites néfastes. La liste des sites problématiques semble mis à jour par le "Centre pour la Cybersécurité Belgique".
Le fonctionnement du Belgian Anti Phishing Shield
Le Centre pour la Cybersécurité Belgique (CCB ci-dessous) détermine des noms de domaines malveillants et transmet cette liste aux principaux fournisseurs d'accès à internet Belges.
Les FAI ont l'obligation de renvoyer la liste des sites Internet malveillants vers l'IPv4 52.149.77.208, hébergée par le cloud Microsoft Azure
Les clients voient une fenêtre de leur navigateur "Attention : risque probable de sécurité", car le certificat HTTPS présenté n'est pas le bon.
(https://lafibre.info/images/ssl/202203_belgian_anti_phishing_shield_2.png)
-
À noter que nous avons Google Safe Browsing (https://safebrowsing.google.com/) qui sécurise Chrome, Firefox, Safari et la plupart des navigateurs basés sur Chromum et Microsoft Defender SmartScreen (https://en.wikipedia.org/wiki/Microsoft_SmartScreen) qui sécurise Edge (et Internet Explorer).
Pour Safari, il y a un proxy Apple pour s’interposer entre le client et les serveurs de Safe Browsing. En clair, les requêtes passeront par Apple, qui fera office de relais. Du côté de Google, toutes les requêtes proviendront ainsi de la même IP. Cela évite la collecte d'IP par Google, mais les données sont biens celles de Google.
Exemple avec un site web : (peut-être bloqué a tord)
Google Chrome sous Windows :
(https://lafibre.info/images/ssl/202301_google_safe_browsing_1.webp)
Chromium sous Ubuntu :
(https://lafibre.info/images/ssl/202301_google_safe_browsing_2.webp)
Firefox sous Ubuntu :
(https://lafibre.info/images/ssl/202301_google_safe_browsing_3.webp)
-
La France va avoir un système très proche du Belgian Anti Phishing Shield d'ici à la fin 2023.
Tu as des sources sur ce point Vivien ? Qui va gérer la chose, un prestataire sur délégation de l'ANSSI ?
-
Jean-Noël Barrot, le ministre délégué chargé de la Transition numérique et des Télécommunications
" Nous travaillons activement au développement d’un filtre anti-arnaque, qui viendra prévenir l’internaute, qui, à cause du Phishing, est orienté vers un site identifié comme étant malveillant, avec vocation à capter des éléments d’identité, des données personnelles ou de paiement. "
https://lafibre.info/videos/securite/202301_jean-noel_barrot_filtre_anti_arnaque.mp4
Jean-Noël Barrot le 30 janvier 2023.
Qui va gérer la chose, un prestataire sur délégation de l'ANSSI ?
Pour moi, c'est l'ANSSI.
Si ce n'est pas l'ANSSI, l'autre autorité compétente sur le contenu, c'est l'Arcom, mais je ne vois pas l'Arcom gérer ça sans l'ANSSI.
L'Arcom (fusion du CSA et l'Hadopi), ce serait une erreur, car tout le monde va penser que le but est de bloquer les contenus pirates, alors que ce n'est pas dans le projet.
-
Le filtre anti-arnaques français pourrait être complétement différent du Belgian Anti Phishing Shield (selon Univers Freebox qui cite une source qui ne dit pas ça :()
Jean-Noël Barrot, le ministre délégué chargé de la Transition numérique, était l'invité du 8h30 franceinfo, lundi 20 février 2023 :
Je travaille actuellement au développement d'un filtre anti-arnaques qui préviendra l'internaute lorsqu'il s'apprête à se diriger vers un site qui a été identifié comme un site à arnaques", a expliqué Jean-Noël Barrot. Ce dispositif est un engagement de campagne d'Emmanuel Macron. "Il faut faire cesser cette angoisse qui saisit nos concitoyens dans l'espace numérique", d'où "ce filtre anti-arnaques" pour "garantir à tous les Français la cybersécurité", a-t-il expliqué. Cette première version sera testée en septembre, lors "de la Coupe du monde de rugby" et "enrichie" et "généralisée" pour les JO 2024, a-t-il souligné. Ce filtre anti-arnaque alertera "préventivement l'internaute lorsqu'il s'apprête à se diriger vers un site qui a été identifié comme un site à arnaques", a-t-il expliqué. "Nous assistons à une très forte progression de l'insécurité numérique. C'est tout simplement insupportable. Il faut faire cesser cette angoisse qui saisit nos concitoyens dans l'espace numérique, de faire de l'espace numérique un espace de confiance.
Source : FranceInfo (https://www.francetvinfo.fr/replay-radio/8h30-fauvelle-dely/filtre-anti-arnaques-intelligence-artificielle-desinformation-sur-internet-ce-qu-il-faut-retenir-de-l-interview-de-jean-noel-barrot_5642225.html)
J'ai écouté Jean-Noël Barrot et il ne parle jamais d'extension, mais c'est l'info trouvée par Univers Freebox, sans citer de source :
Ce filtre anti-arnaque devrait prendre la forme d’une extension que vous pourrez installer sur Chrome, Firefox, Safari et certains autres navigateurs, tant sur ordinateur que mobile. Le but est de filtrer une partie du contenu de certains sites répertoriés comme malveillants.
Source : UniversFreebox (https://www.universfreebox.com/article/542626/vous-pourrez-bientot-etre-proteges-automatiquement-sur-internet-par-un-premier-filtre-anti-arnaque-de-letat) publié le 21/02/202 par Maxime Raby
-
Déjà, Chrome ne supporte pas les extensions sur Android...
-
Filtre anti-arnaque français : quels seront les catégories de sites bloqués ?
- Les faux sites qui usurpent les sites officiels
- Les faux sites de vente en ligne
- Les faux sites de placements financiers
- Dans un second temps, cela pourrait concerner les sites qui hébergent des malwares, mais cela ne sera pas le cas au lancement
Filtre anti-arnaque français : qui va identifier les sites à bloquer ?
C'est le GIP ACYMA (Groupement d’Intérêt Public Action contre la Cybermalveillance) qui fera ce travail.
Un GIP est une structure légale permettant à des acteurs publics et privés de mettre en commun des moyens financiers et/ou opérationnels afin de répondre à une mission d’intérêt général.
Le GIP ACYMA est issu de la Stratégie numérique du Gouvernement présentée le 18 juin 2015. Il regroupe des acteurs étatiques impliqués tels que l’Agence nationale de la sécurité des systèmes d’information (ANSSI) qui relève des services du Premier ministre, le ministère de l’Intérieur, le ministère de la Justice, le ministère de l’Économie et des Finances, le secrétariat d’État en charge du Numérique et le ministère des Armées. À leurs côtés sont également rassemblés de nombreux acteurs de la société civile comme des associations de consommateurs ou d’aides aux victimes, des représentations professionnelles de type fédération ou syndicat, des assureurs, des opérateurs, des éditeurs… La liste des membres est disponible ici (https://www.cybermalveillance.gouv.fr/tous-nos-contenus/a-propos/membres).
Les membres du Groupement d’Intérêt Public Action contre la Cybermalveillance :
(https://lafibre.info/images/logo/202101_gip_acymas_membres.webp)
-
l’Anssi pourra exiger le blocage des sites sans passer par le juge
La loi de programmation militaire (LPM) pour les années 2024 à 2030 (https://www.legifrance.gouv.fr/contenu/Media/files/autour-de-la-loi/legislatif-et-reglementaire/actualite-legislative/2023/rapport_annexe_armd2305491l_cm_4.04.2023.pdf) et portant diverses dispositions intéressant la défense à une partie liée au blocage de nom de domaines par l'Anssi.
Je ne suis pas sûr que ce soit directement lié au filtre anti-arnaque français.
Voici la partie qui nous intéresse, dans les 376 pages de l'étude d'impact publiée par les services du premier ministre :
(cliquez sur la miniature ci-dessous - le document est au format PDF)
(https://lafibre.info/images/ssl/202304_etude_impact_mesures_de_filtrage_dns_pae_anssi.webp) (https://lafibre.info/images/ssl/202304_etude_impact_mesures_de_filtrage_dns_pae_anssi.pdf)
Pour ceux qui veulent creuser : Avis du conseil d'état (https://www.legifrance.gouv.fr/contenu/Media/files/autour-de-la-loi/legislatif-et-reglementaire/les-avis-du-conseil-d-etat-rendus-sur-les-projets-de-loi/2023/avis_ce_armd2305491l_cm_4.04.2023.pdf)
-
Je vois un contrôle à postériori par l'ARCEP, mais comme d'habitude aucune sanction (ni potentiellement de statistiques publiques) n'est prévue en cas d'erreur (surblocage, ...).
Le fait pour l’Agence nationale de la sécurité des systèmes d’information (ANSSI) de récupérer
des données n’est pas susceptible de porter atteinte aux libertés individuelles dans la mesure où
elle ne collecterait pas les adresses IP source, qui sont les seules à permettre d’identifier
indirectement des personnes physiques. Il est donc impossible pour elle de déterminer ou de
suivre les utilisateurs qui essayent d’accéder aux différentes ressources (accès demandés à tel
ou tel nom de domaine). L’ANSSI ne collectera que des données de serveurs, c’est-à-dire de
machines derrière lesquelles il n’y a pas de personne physique. Cette disposition n’affecte donc
pas le droit au respect de la vie privée, pas davantage que la liberté d’expression et de
communication.
Ce n'est pas vrai pour le reverse DNS (PTR), il peut s'agir d'un serveur qui fait une requête avec l'IP d'un client qui s'est connecté
Et quand on fait de l'auto-hébergement, peut-on vraiment considérer qu'il n'y a pas de personne physique ? Une résolution DNS de service.domain.fr pointant sur une IP résidentielle donne des informations sur ce qui est hébergé par un abonné.
-
l’Anssi pourra exiger le blocage des sites sans passer par le juge
C'est dangereux, cela implique que une entité sous l'égide de l'état, a un droit de regard sur tout et n'importe quoi sans un contre pouvoir judiciaire, quel recours aura quiconque contre une injonction ?
Ce sont des lois liberticides dangereuses, comme d'habitude maquillées par "la sécurité".
L'ANSSI doit être un outil de l'état, au service de l'état avec un contre pouvoir, et le seul que je connaisse contre l'état, c'est le pouvoir Judiciaire.
-
L'avis du Conseil d'état :
(cliquez sur la miniature ci-dessous - le document est au format PDF)
(https://lafibre.info/images/ssl/202403_conseil_etat_avis_loi_de_programmation_militaire_2024_a_2030.webp) (https://lafibre.info/images/ssl/202403_conseil_etat_avis_loi_de_programmation_militaire_2024_a_2030.pdf)
L'avis de l'Arcep :
(cliquez sur la miniature ci-dessous - le document est au format PDF)
(https://lafibre.info/images/ssl/202403_arcep_avis_loi_de_programmation_militaire_2024_a_2030.webp) (https://lafibre.info/images/ssl/202403_arcep_avis_loi_de_programmation_militaire_2024_a_2030.pdf)
L'Arcep n'est pas chaude pour récupérer le contrôle des sites bloqués : En effet, vérifier qu'un site héberge bien un logiciel malveillant ou une arnaque bancaire n'est pas trivial...
Un extrait :
L’Autorité tient à souligner que la mise en œuvre de ce contrôle a priori constitue un changement complet de la nature du contrôle effectué, et que son organisation et son mode de fonctionnement ne lui permettent pas d’assurer une réactivité opérationnelle courte.
Elle souligne également qu’il n’appartient pas à l’Arcep d’évaluer la levée d’une menace, comme l’article 32 du projet de loi le prévoit, et qu’il conviendrait en conséquence que cette mission soit confiée à l’ANSSI.
En toute hypothèse, l’Arcep attire très fortement l’attention du Gouvernement sur la nécessité, du fait de l’extension du champ de ses missions de contrôle des actions de l’ANSSI et de la charge de travail, de renforcer ses moyens, notamment humains, et de prévoir l’expertise adéquate, sur ces sujets extrêmement spécialisés.
-
Est-ce qu'ils expliquent pourquoi ils veulent réinventer le Google Safe Browsing au lieu d'y participer ?
-
Déjà, Chrome ne supporte pas les extensions sur Android...
mais quel geek avisé oserait utiliser chrome sur android ?
100% ungoogled ici ;)
-
Est-ce qu'ils expliquent pourquoi ils veulent réinventer le Google Safe Browsing au lieu d'y participer ?
Enjeu souveraineté : un élément de sécurité nationale ne peut être dans les mains d'une société privée américaine.
Maintenant, je n'ai toujours pas compris le principe technique retenu et les textes "programmation militaire" laissent la porte ouverte à plusieurs techniques d'implémentation, aucune n'étant parfaite (pour ne pas dire qu'elles sont toutes plus ou moins mauvaises).
-
Sur ce qui se disait sur twitter, c'était des DNS menteurs. A voir.
-
Le problème des DNS menteurs, c'est que pour les sites https cela affiche ça :
(https://lafibre.info/images/ssl/202203_belgian_anti_phishing_shield_4.png)
-
Et si le site utilise HSTS, il me semble que Firefox ne te propose même pas d'ignorer l'alerte.
-
Le problème des DNS menteurs, c'est que pour les sites https cela affiche ça :
(https://lafibre.info/images/ssl/202203_belgian_anti_phishing_shield_4.png)
Et couplé à une extension de navigateur comme le font les anti-virus, ça ne fonctionnerait pas ?
-
Il faudrait installer la root CA du gouvernement sur chaque PC d’honnêtes citoyens.
Mais on ne voit cela que dans les dictatures.
-
Une extension navigateur, c'est l'autre option (pas besoin de toucher au DNS, l'extension peut avoir une liste de domaines / IP à bloquer), mais elle risque d'être peu utilisée.
Cela me rappelle l'application SAIP (Application d'alerte et d'information des populations en cas de crise) qui fut un échec, car peu de personnes ont installé l'application sur leur mobile.
=> https://mobile.interieur.gouv.fr/Archives/Archives-des-dossiers-de-presse/Application-d-alerte-et-d-information-des-populations-en-cas-de-crise-SAIP
-
mais ca ferait quoi de plus que https://www.dns0.eu/fr ?
Et pourquoi faire un truc franco-francais ?
-
Oui, on se le demande bien.. ::)
-
Oui, il y a déjà plusieurs solutions de blocages de contenu malveillant par DNS :
(https://lafibre.info/images/ssl/202305_dns0.eu_zero.webp)
(https://lafibre.info/images/ssl/202305_dns_1.1.1.1_pour_les_familles.webp)
-
Ce n'est pas directement le filtre anti-arnaque, mais c'est probche (blocage des sites dits « miroirs » par l'office central de lutte contre la criminalité liée aux technologies de l'information et de la communication) :
Décret n° 2023-454 du 12 juin 2023 relatif au blocage et déréférencement des « sites miroirs », pris en application de l'article 6-3 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique (https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000047670149)
Le décret désigne l'office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC) comme autorité administrative pouvant demander, en application de l'article 6-3 de la loi n° 2004-575 du 21 juin 2004 (https://www.legifrance.gouv.fr/affichTexteArticle.do?cidTexte=JORFTEXT000000801164&idArticle=LEGIARTI000043969099&dateTexte=20040622&categorieLien=cid) pour la confiance dans l'économie numérique, toute mesure empêchant l'accès aux sites dits « miroirs ». Un site miroir héberge une copie, totale ou substantielle, d'un site principal et permet de multiplier les sources d'une même information qui devient virale au gré du partage des utilisateurs. Ces sites sont susceptibles de reprendre des contenus relevant des infractions mentionnées au 7 du I de l'article 6 de la loi n° 2004-575 du 21 juin 2004 (https://www.legifrance.gouv.fr/affichTexteArticle.do?cidTexte=JORFTEXT000000801164&idArticle=LEGIARTI000006421546&dateTexte=20040622&categorieLien=cid) pour la confiance dans l'économie numérique, notamment des contenus haineux ou faisant l'apologie du terrorisme, alors même qu'une décision judiciaire exécutoire a ordonné une mesure empêchant l'accès au site principal. La demande de l'OCLCTIC peut être adressée aux fournisseurs d'accès internet, aux fournisseurs de services d'hébergement, à toute personne ou catégorie de personnes mentionnées par la décision judiciaire, ainsi qu'à tout exploitant d'un service reposant sur le classement ou le référencement, au moyen d'algorithmes informatiques, de contenus proposés ou mis en ligne par des tiers.
L’Arcep publie l’avis qu’elle a rendu au Gouvernement sur le projet de décret relatif au blocage et au déréférencement des « sites miroirs », pris en application de l’article 6-3 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique :
(cliquez sur la miniature ci-dessous - le document est au format PDF)
(https://lafibre.info/images/ssl/202302_arcep_avis_2023-0357_blocage_des_sites_miroirs.webp) (https://lafibre.info/images/ssl/202302_arcep_avis_2023-0357_blocage_des_sites_miroirs.pdf)
-
Dans l'avis de l'Arcep, il y a un rappel sur le fait qu'il serait disproportionné d'exiger autre chose que du blocage DNS.
J'ai mis l'extrait ci-dessous :
1/ Dans le premier paragraphe, l'Arcep définit le moyen de blocage usuels : le blocage DNS
2/ Dans le second paragraphe, l'Arcep dit que le texte ne devrait pas pas conduire à faire peser sur ces acteurs une obligation qui leur impose de mettre en œuvre des dispositifs autres que les moyens de blocage usuels. : L'Arcep demande donc que le blocage des sites miroirs se limite au blocage DNS.
L’Arcep souhaite rappeler l’importance d’harmoniser les modalités de mise en œuvre de ces différentes dispositions de blocage de sites par les FAI. En effet, la technique de blocage « DNS » est déjà employée par les FAI pour procéder aux blocages de sites dans le cadre d'injonctions de l'autorité judiciaire dans plusieurs contextes et constitue donc le/un des moyens techniques appropriés pour la mise en œuvre de cette obligation.
À cet égard, l’Autorité note que la méthode d’identification des « sites miroirs » à bloquer n’est pas précisée et souhaite rappeler, comme indiqué dans son avis no 2015-0001, que le fait d’imposer aux FAI d’empêcher l’accès « par tout moyen approprié » ne devrait cependant pas conduire à faire peser sur ces acteurs une obligation qui leur impose de mettre en œuvre des dispositifs autres que les moyens de blocage usuels. En particulier, il ne serait ni raisonnable ni proportionné que ce nouveau dispositif revienne à exiger des FAI qu’ils garantissent l’impossibilité pour les internautes de recourir à des méthodes de contournement pour accéder aux services fournis par les adresses électroniques concernées, ou qu’ils soient soumis, en contradiction avec les dispositions du 7° de l’article 6 de la LCEN, à une « obligation générale de surveiller les informations qu'[ils] transmettent ou stockent [ou] à une obligation générale de rechercher des faits ou des circonstances révélant des activités illicites ».
-
Dans l'avis de l'Arcep, il y a un rappel sur le fait qu'il serait disproportionné d'exiger autre chose que du blocage DNS.
La France demande de bloquer directement dans le navigateur (sans extension).
Voici un article de Mozilla sur le sujet :
La proposition française de bloquer les sites web via le navigateur nuira gravement à l’internet ouvert mondial
Dans une tentative louable, mais périlleuse de lutter contre la fraude en ligne, la France s’apprête à obliger les créateurs de navigateurs à mettre en œuvre une fonctionnalité technique relevant de la dystopie. L’article 6 du projet de loi SREN (https://www.legifrance.gouv.fr/dossierlegislatif/JORFDOLE000047533100/) obligerait les développeurs de navigateur à créer les moyens de bloquer obligatoirement les sites web figurant sur une liste fournie par le gouvernement et intégrée directement dans le navigateur. Une telle mesure renverserait des décennies de normes établies en matière de modération des contenus. Celle-ci fournira également aux gouvernements autoritaires un moyen de minimiser l’efficacité des outils qui peuvent être utilisés pour contourner la censure.
Malgré sa motivation légitime, cette mesure qui vise à bloquer des sites web directement dans le navigateur serait un désastre pour un Internet libre et serait disproportionnée par rapport aux objectifs du projet de loi, à savoir la lutte contre la fraude. Elle instaurerait également un précédent inquiétant et des capacités techniques que d’autres régimes exploiteront à des fins bien plus néfastes. Pour atteindre les objectifs de cette législation, il serait plus judicieux de tirer parti des outils de protection existants contre les logiciels malveillants et l‘hameçonnage (phishing) plutôt que de les remplacer par des listes de blocage de sites web imposées par le gouvernement.
Le reste de cet article offre une vue d’ensemble des systèmes de protection actuels contre l’hameçonnage dans les navigateurs, souligne la différence entre les pratiques de l’industrie et ce que propose le projet de loi, et suggère des solutions de remplacement pour atteindre les objectifs de la législation de manière moins draconienne.
Navigateurs et systèmes de protection contre le hameçonnage
Les navigateurs ont été un élément clé de l’expansion du Web, en servant d’agents utilisateurs qui facilitent nos interactions sur Internet. Ce rôle, dont Mozilla est un acteur à part entière depuis plus de 25 ans via Firefox, repose sur quelques présomptions fondamentales qui permettent aux navigateurs de se concentrer sur les intérêts de leurs utilisateurs et utilisatrices tout en laissant les décisions relatives à la réglementation du contenu plus en amont de la chaîne, entre les intermédiaires du réseau (tels que les fournisseurs d’accès à Internet) ou les éditeurs de services (sites web).
Les deux systèmes de protection contre les logiciels malveillants et l’hameçonnage les plus utilisés dans l’industrie sont Safe Browsing (https://safebrowsing.google.com/) de Google et Smart Screen (https://safebrowsing.google.com/) de Microsoft, Mozilla (ainsi qu’Apple, Brave et bien d’autres) utilisant Safe Browsing de Google. Le service Safe Browsing existe depuis au moins 2005 et protège actuellement près de la moitié de la population mondiale en ligne sur divers appareils et logiciels. Il couvre les logiciels malveillants, les logiciels indésirables et l’ingénierie sociale (hameçonnage et autres sites trompeurs). Il dispose également de politiques générales (https://developers.google.com/search/docs/monitor-debug/security/social-engineering?visit_id=638125733062872624-3451620479&rd=1) assez robustes et est également disponible via une API gratuite (https://developers.google.com/safe-browsing/v4/pricing), ce qui en fait un moyen simple pour les organisations de protéger les utilisateurs.
Firefox utilise l’offre Safe Browsing de Google depuis 2007 et dispose d’une implémentation unique qui protège la vie privée (https://support.mozilla.org/fr/kb/comment-fonctionne-protection-hame%C3%A7onnage-logiciels-malveillants) des utilisateurs tout en les empêchant d’être victimes de logiciels malveillants et d’hameçonnage. Ce paramètre peut également être désactivé par les utilisateurs à tout moment, ce qui leur permet de garder le contrôle de leur expérience sur le Web.
On pourrait penser que les pratiques actuelles du secteur de la protection contre les logiciels malveillants et le hameçonnage ne sont pas très différentes de la proposition française. C’est loin d’être le cas, car le principal facteur de différenciation est qu’elles ne bloquent pas les sites web, mais se contentent d’avertir les utilisateurs des risques et de leur permettre d’accéder aux sites web s’ils choisissent de l’accepter. Ce type de langage n’est pas présent dans la proposition actuelle, qui se concentre sur le blocage. Il n’y a pas non plus de référence à des implémentations préservant la vie privée ou à des mécanismes empêchant l’utilisation de cette fonction à d’autres fins. En fait, la possibilité pour un gouvernement d’exiger qu’un certain site web ne s’ouvre pas du tout sur un navigateur/système est un terrain inconnu et même les régimes les plus répressifs dans le monde préfèrent jusqu’à présent bloquer les sites web en amont du réseau (fournisseurs d’accès à Internet, etc.).
Un précédent mondial
Forcer les navigateurs à créer des fonctionnalités permettant de bloquer des sites web au niveau du navigateur est une pente glissante. Bien qu’elle ne soit envisagée aujourd’hui en France que pour les logiciels malveillants et l’hameçonnage, cette mesure créera un précédent et donnera aux navigateurs la capacité technique de réaliser tout ce qu’un gouvernement pourrait vouloir restreindre ou criminaliser dans une juridiction donnée, et ce, pour toujours. Un monde dans lequel les navigateurs peuvent être forcés d’incorporer une liste de sites web interdits au niveau logiciel qui ne s’ouvrent tout simplement pas, que ce soit dans une région ou dans le monde entier, est une perspective inquiétante qui soulève de sérieuses préoccupations en matière de liberté d’expression. Si cette loi est adoptée, le précédent qu’elle créerait rendrait beaucoup plus difficile pour les navigateurs de rejeter les demandes de ce type émanant d’autres gouvernements.
De meilleures solutions existent
Plutôt que d’imposer un blocage basé sur le navigateur, nous pensons que la législation devrait se concentrer sur l’amélioration des mécanismes existants déjà utilisés par les navigateurs – des services tels que Safe Browsing et Smart Screen. La loi devrait plutôt se concentrer sur l’établissement de délais clairs et raisonnables dans lesquels les principaux systèmes de protection contre l’hameçonnage devraient traiter les demandes légitimes d’inclusion de sites web émanant d’agences gouvernementales autorisées. Toutes ces demandes d’inclusion devraient être basées sur un ensemble solide de critères publics limités aux sites d’hameçonnage/escroquerie, faire l’objet d’un examen indépendant par des experts et expertes et contenir des mécanismes d’appel judiciaire au cas où une demande d’inclusion serait rejetée par un éditeur. Un tel cadre juridique créerait un mécanisme de coordination bien plus équilibré qu’une proposition de blocage de sites web, et qui protégerait les utilisateurs non seulement en France mais dans le monde entier. Tirer parti des offres déjà présentes sur des milliards d’appareils et de logiciels pour lutter contre la fraude est une solution bien plus efficace que de tenter de réinventer la roue avec un blocage de sites web basé sur le navigateur.
Nous restons engagés dans des conversations avec les parties prenantes concernées et espérons que la loi finale aboutira à un résultat plus acceptable pour un Internet ouvert.
Source : Blog Mozilla (https://blog.mozilla.org/netpolicy/2023/06/27/francaise-bloquer-sites/), le 27 juin 2023
-
Exemple de Safe Browsing de Google, sur le site d'un petit opérateur français qui s'était fait piraté :
Je suis étonné que Firefox m'avertisse que Declix soit un site malveillant :
(https://lafibre.info/images/ssl/201105_declix_GIX_de_DECLIC_Telecom_malveillant.webp)
Ce n'est pas un blacklistage de l'lIP du serveur (88.190.14.101) car les autres sites de Declic Telecom sont hébergés dessus.
(https://lafibre.info/images/ssl/201105_declix_GIX_de_DECLIC_Telecom_malveillant_2.webp)
-
Encore plus ancien, capture d'écran d'un site bloqué par Safe Browsing de Google dans Firefox en janvier 2009.
C'est Ubuntu 18.10 le système d'exploitation si vous vous posez la question.
(https://lafibre.info/images/ssl/200901_site_malveillant_1.webp)
(https://lafibre.info/images/ssl/200901_site_malveillant_2.webp)
-
Mozilla lance une pétition contre le filtre anti-arnaque français :
=> https://foundation.mozilla.org/fr/campaigns/sign-our-petition-to-stop-france-from-forcing-browsers-like-mozillas-firefox-to-censor-websites/
(https://lafibre.info/images/ssl/202308_mozilla_petition_filtre_anti_arnaque.webp)
-
J'ai du mal a voir comment un pays comme la France, peut légalement obliger des logiciels à faire ceci ou cela... sans tomber dans le totalitarisme.
Ce qu'on demande aux navigateurs, c'est comme si on imposait a Word ne pas ouvrir un fichier .doc si sa signature (hash) est présente dans une liste centrale de documents bannis.
C'est confondre l'outil et son usage. Et modifier l'outil pour empêcher certains usages.
Dans ce cas pourquoi ils n'imposent pas que les voitures vendues en France ne dépassent pas 130 km/h.
-
Dans ce cas pourquoi ils n'imposent pas que les voitures vendues en France ne dépassent pas 130 km/h.
Tu as des nouvelles bagnoles vendues en France et bridées à 160 km/h.
Le Mercos EQB par exemple.
-
Exemple intéressant mais ça reste l'exception qui confirme la règle pour le moment ? (à fortiori sur un modèle électrique qui, à ces vitesses, a une autonomie drastiquement réduite)
-
Quand j'avais lu, j'avais vu que c'était très large, signe pour moi que la solution technique pour le blocage n'était pas encore décidée, entre DNS, moteur de recherche, extension proposée à installer dans le navigateur,....
J'étais loin de m'imaginer qu'il y aurait un risque d'imposer ça dans les navigateurs, mais le fait que Mozilla s'en inquiète signifie que cela semble sérieux.
J'espère que l'Assemblée Nationale va restreindre au blocage DNS et éventuellement le déréférencement dans les moteurs de recherche.
La possibilité de bloquer directement dans un navigateur, beaucoup de pays totalitaires en rêvent.
De nombreux pays faute de pouvoir bloquer des sites spécifiques bloquent réguliérement... tout internet (mobile et fixe) !
Coupure d'internet en raison du Bac : l'Algérie peut-elle rentrer dans l'ère du numérique ?
L'Algérie vit au rythme du Bac. C'est une tradition ancrée, ces dernières années. À l'arrivée de cet examen, la connexion à Internet est simplement coupée. Les responsables, eux, n'ont cessé de parler du numérique, ces derniers mois ; une nécessité pour entrer dans une ère de modernité.
Les Algériens se demandent comment on peut rentrer dans « l'ère du numérique » avec ce genre de pratiques. En effet, pendant plusieurs jours, les entreprises qui travaillent avec la connexion sont à l'arrêt. Les banques, les bureaux de poste, la réservation en ligne, les sites de vente en ligne et les startups pour qui la connexion Internet est vitale ne peuvent pas travailler. Et que dire de ceux qui font du télétravail ? Une pratique très répondue depuis la pandémie de covid-19 et le confinement qui a suivi.
Ainsi, pour éviter la fraude à un examen qui a perdu énormément de prestige ces dernières années, une bonne partie de l'économie algérienne est à l'arrêt. Pourtant, les autorités ont promis de trouver d'autres solutions pour lutter contre la triche. L'arsenal judiciaire a été renforcé, les condamnations à de la prison et des amendes se sont multipliées, mais les coupures d'Internet persistent.
L'Algérie donne donc une piètre image de son fonctionnement, alors qu'elle cherche à attirer les investisseurs. En 2023, les entreprises ont besoin de connexion pour des raisons diverses. Leur communication, notamment, passe par cet outil. Leurs clients aussi se trouvent « sur Internet ». Sans Internet, elles se retrouvent démunies. La question se pose donc sur ces coupures qui n'arrangent pas le pays. Jusqu'à quand ? se demandent les personnes sanctionnées par cette mesure.
Source : ObservAlgérie (https://observalgerie.com/2023/06/11/economie/blocage-internet-bac-2023-algerie/), le 11 juin 2023
Mauritanie : la coupure d’Internet pendant le Baccalauréat fait polémique
Les fraudes excessives ces trois dernières années pendant les examens du Bac ont laissé des souvenirs amers aux autorités de Nouakchott contraintes de couper les données mobiles sur Internet pendant la durée de toutes les épreuves.
Cette pratique qui perdure va à l’encontre des libertés des citoyens. L’objectif d’éviter des fraudes massives pendant les examens du Baccalauréat peut être assuré d’abord en amont par une sensibilisation aux élèves, professeurs et parents d’élèves et ensuite par des mesures de sécurité dans les salles d’examens avec la récupération des téléphones portables.
En coupant les données mobiles sur Internet c’est une partie de la vie privée des citoyens qui en pâtît pendant quatre jours. C’est trop. Cette atteinte aux libertés individuelles impacte une économie déjà fragile qui compte plus sur la résilience des populations. La panacée pour punir les tricheurs est une méthode de gouvernance autoritaire incompatible avec un Etat de droit.
Les Mauritaniens ne comprennent pas que chaque année à la même période ils sont privés d’Internet alors qu’ils sont connectés pour des applications financières et présents sur les réseaux sociaux.
Cherif Kane
Coordinateur journaliste
Source : Kassataya (https://kassataya.com/2023/06/18/mauritanie-la-coupure-dinternet-pendant-le-baccalaureat-fait-polemique/), le 18 juin 2023
-
Pas possible de juste brouiller dans les salles d'examens plutôt que de couper sur tout le territoire? :o
-
La possibilité de bloquer directement dans un navigateur, beaucoup de pays totalitaires en rêvent.
Moi j'ai du mal a voir reelement l'impact. Tu pourras toujours telecharger la version non bridée 'FR' de toute façon...
-
Moi j'ai du mal a voir reelement l'impact. Tu pourras toujours telecharger la version non bridée 'FR' de toute façon...
C'est l'impact sur le plus grand nombre qui compte.
Le geek/hackeur/débrouillard/etc pourra toujours contourné. Tout comme on peut changer ses serveurs DNS.
-
Tu as des nouvelles bagnoles vendues en France et bridées à 160 km/h.
Le Mercos EQB par exemple.
Bridées par Merco eux meme, pas a cause d'un décret ou texte de loi qui s'imposerait a toutes les voitures.
-
C'est l'impact sur le plus grand nombre qui compte.
Le geek/hackeur/débrouillard/etc pourra toujours contourné. Tout comme on peut changer ses serveurs DNS.
Dans ce cas ca ne me choque pas tant que ca.
t'auras 2 liens de download : version FR 'protegée' des sites de merde, et version open-bar normale pour les utilisateurs avancés.
-
C'est effectivement dangereux de mettre un mécanisme permettant aux états de bloquer des sites : ça va commencer par les choses pertinentes classiques (arnaques, pédopornographie, ...) et ça peut vite dériver (bloquer les réseaux sociaux, les sites de l'opposition politique, wikipedia qui ne suivrait pas la vérité officielle, ...)
Mais c'est une position un peu tordue à défendre : on est ok pour avoir une liste de sites bloqués par Google (donc une entreprise privée) mais on veut pas d'une liste provenant d'un État.
Après si le but est "juste" de protéger les utilisateurs pourquoi ne pas proposer une liste d'état qui puisse facilement être débrayée par l'utilisateur via les paramètres de l'application (où on pourrait choisir la ou les listes auxquelles on veut souscrire, comme pour un ad-block).
Le blocage DNS plein de gens ont déjà l'habitude de le contourner (pour accéder à leurs sites pirates ou autre) et cela ne concerne que les gros FAI de mémoire
-
Le blocage Safe Browsing de Google, on peut passer outre si on pense que c'est une erreur (et il y a des explications précises sur les raisons du blocage).
Safe Browsing de Google : Avertissement des utilisateurs des risques et de leur permettre d’accéder aux sites web s’ils choisissent de l’accepter.
Projet de loi filtre anti-arnaque français : Blocage complet sans permettre d'accéder au site en question
Ce n'est pas le cas dans le projet de loi du filtre anti-arnaque français.
-
Dans ce cas ca ne me choque pas tant que ca.
t'auras 2 liens de download : version FR 'protegée' des sites de merde, et version open-bar normale pour les utilisateurs avancés.
Ou un seul lien avec blocage en fonction de la localisation de ton IP.
Il y en a qui doivent déjà jubiler...
https://lafibre.info/videos/tv/202001_NordVPN_la_securite_commence_par_un_simple_clic.mp4
-
Moi j'ai du mal a voir reelement l'impact. Tu pourras toujours telecharger la version non bridée 'FR' de toute façon...
Et du coup tous les utilisateurs qui n'utiliserait pas une version bridée, seront dans l'illégalité :)
#genie
-
Exemple intéressant mais ça reste l'exception qui confirme la règle pour le moment ? (à fortiori sur un modèle électrique qui, à ces vitesses, a une autonomie drastiquement réduite)
Pour continuer le quasi HS:
J'ai une Pontiac Firebird IV cabriolet qui est bridée à 210. Les premières importées l'étaient à 190, modifiées parce que des clients ont râlé. Aux US c'est 160, uniquement en cab.
J'ai un pickup Isuzu bridé à 180, comme quasiment tous les pickups. C'est à cause des pneus.
J'ai une Smart premier modèle, bridée à 135. Question stabilité "en vol".
Purax, 60% de mon parc automobile est bridé, je n'avais jamais fait le rapprochement avant.
-
Et du coup tous les utilisateurs qui n'utiliserait pas une version bridée, seront dans l'illégalité :)
#genie
ca existe des logiciels interdits ?
-
Dans certains pays oui !
Mais là, comme je l'ai écrit, je n'ai pas la certitude que la France souhaite faire ce que Mozilla dénonce. Cela pourrait être un texte qui cible large, car la solution technique n'est pas arrêtée.
Enfin, je pense qu'il est bien de signer la pétition, pour bloquer ces dérives.
-
Et en France aussi non?
Tout ce qui craque les protections.
-
Tu n'as pas le droit de craquer les protections, mais détenir le logiciel en lui-même n'est pas un délit, non ?
-
Je ne sais pas.
Je pensais qu'Hadopi avait durci le truc et que c'est pour cela que les "convertisseurs" en tout genre n'étaient plus hébergés en France.
-
Je ne sais pas.
Je pensais qu'Hadopi avait durci le truc et que c'est pour cela que les "convertisseurs" en tout genre n'étaient plus hébergés en France.
C'est plutôt l'inverse : La France est assez tolérante, ce qui fait que des logiciels litigieux comme VLC hébergent leurs outils en France.
VLC ne pourrait pas être hébergé aux USA avec tous ses codecs. C'est ce qui explique que sur l'App Store d'Apple, où les serveurs sont aux USA, VLC n'a pas pu mettre tous ses codecs.
Autre exemple, il y a quelques jours, le Tribunal de Hambourg a obligé l'hébergeur allemand Uberspace à fermer le site Youtube-dl.org qui renvoyait vers le binaire du logiciel permettant de télécharger des vidéos mises en ligne sur Youtube et autres plateformes de streaming. En France, la pratique du « stream ripping » est considérée comme légale et relevant de la copie privée (Cette position permet aux sociétés de gestion de droits d'auteurs et droits voisins d'augmenter les barèmes de redevance pour Copie privée qui dépendent des pratiques de duplication).
Là aussi Youtube-dl.org pourrait passer en France sans être inquiété (mais le logiciel n'est plus maintenu, c'est son fork yt-dlp qui a pris le relais, je pense qu'il a bien compris qu'il fallait éviter l'Allemagne pour l'hébergement)
Aprés là, je parle de logiciels. Si tu veux héberger du contenu piraté, ce n'est pas possible dans les pays démocratiques. Il faut viser des pays comme la Russie.
-
On peut faire et héberger un logiciel qui craque des mots de passe ou autre bidouilles. Tous les outils de RE et désassembleurs (IDA, etc) ne sont pas interdits. Les logiciels infosec comme ceux de tentatives d'intrusions non plus. Tout comme Transmission et uTorrent ne sont pas interdits.
Parce qu'en général on ne confond pas l'outil et qui s'en sert et comment. Tant que le code du logiciel lui-même respect les règles et lois.
Le cas de VLC est plus lié au licence/royalties des codecs et aux législations différentes entre l'EU et les USA sur les brevets sur les logiciels (https://fr.wikipedia.org/wiki/Brevet_logiciel_en_Europe).
Le cas du Tribunal de Hambourg avec youtube-dl est problématique d'ailleurs et plutôt curieux.Je crois qu'ils attendent qu'une autorité supérieure casse cette décision.
-
En attendant, ça permet de dire : hé oh on fait des choses, regardez comment on est beau, intelligent et bien dressé aux injonctions !
-
Quelques nouvelles du filtre anti-arnaque français (réseau social Bluesky (https://lafibre.info/techno-du-web/bluesky/))
(https://lafibre.info/images/ssl/202309_filtre_anti-arnaque_francais.webp)
-
Même discourt d'Eric Bothorel, devant la commission spéciale chargée d’examiner le projet de loi visant à sécuriser et réguler l’espace numérique :
https://lafibre.info/videos/securite/202309_eric_bothorel_filtre_anti-arnaque_francais.mp4
-
Mozilla a de bonnes nouvelles :
Il y a quelques mois, le gouvernement français a proposé un projet de loi menaçant les libertés sur Internet. Nous avons de bonnes nouvelles à vous communiquer concernant notre lutte contre cette censure dangereuse. Nous y reviendrons dans un instant, et nous vous présenterons également les différents moyens de nous aider. Mais tout d’abord, voici un peu de contexte sur la situation actuelle.
Un article du « projet de loi visant à sécuriser et réguler l’espace numérique » (SREN), tel qu’il a été proposé à l’origine, aurait donné au gouvernement le pouvoir de censurer ce que vous pouvez ou ne pouvez pas voir en ligne.
La communauté Mozilla et ses alliés sont immédiatement montés au créneau. Plus de 80 000 personnes comme vous ont signé notre pétition et des milliers d’entre vous ont fait des dons pour financer cette campagne.
Et nous avons de bonnes nouvelles : le 17 octobre, une version révisée a été adoptée par l’Assemblée nationale française, sans le blocage au niveau des navigateurs web qui faisait partie du projet de loi initial.
Cette modification du projet de loi marque une nette avancée. Nous pouvons fièrement l’affirmer : ce succès est à mettre au crédit de la communauté Mozilla et de nos alliés qui se sont mobilisés, ainsi qu’au travail de plaidoyer que nous avons effectué sans relâche au cours des derniers mois. Merci d’avoir participé à cette campagne !
Toutefois, rien n’est encore joué.
Bien que l’Assemblée nationale ait tenu compte des préoccupations de la communauté Mozilla (le travail de Mozilla a même été mentionné à plusieurs reprises pendant les débats), il reste encore plusieurs étapes à franchir dans le processus législatif.
La prochaine étape sera la discussion en commission mixte paritaire (CMP). À ce stade, un texte de compromis est négocié entre le gouvernement et un ensemble de parlementaires de l’Assemblée nationale et du Sénat.
Et même si ce texte franchit l’étape de la CMP, rien ne sera encore joué. Les détails techniques seront précisés par un décret d’application.
Nous devons veiller à ce que cette version franchisse cette nouvelle étape sans être modifiée.
Nous devons continuer à faire pression pour qu’aucun·e législateur·trice ne réintroduise discrètement le blocage au niveau des navigateurs web dans le projet de loi. Les conséquences seraient désastreuses pour des navigateurs comme Firefox, et pas qu’en France, car cela mettrait des outils de censure à disposition de pays moins démocratiques.
Source : Mail Mozilla - 30 octobre 2023
-
Le filtre anti-arnaque français n'est pas oublié. Il sera mis en place avant les jeux olympiques.
La cible N°1 est d'empêcher les arnaques par SMS en bloquant les liens utilisés par ces SMS qui font du pishing pour récupérer vos coordonnées bancaires.
https://lafibre.info/videos/securite/202401_jean-noel_barrot_filtre_anti-arnaque_francais.mp4
-
Arnaque aux faux conseillers bancaires
Vous avez peut-être regardé sur France 2 "Envoyé Spécial" le 29 février 2024 sur l'arnaque aux faux conseillers bancaires :
Un reportage de Julien Duponchel, Cyril Théophilos et Adrien Mellot Vous les avez probablement déjà reçus sur votre téléphone, des SMS qui vous demandent de renouveler votre carte vitale, de payer une amende ou de régler des frais postaux. Ces faux messages officiels sont en réalité le point de départ d’une gigantesque arnaque. Le piège est redoutable, en cliquant sur ces messages vous allez transmettre vos coordonnées et numéros de cartes bleues à des escrocs qui vont vous rappeler en se faisant passer pour votre banque. En 2022, 18 millions de Français se sont fait avoir pour un préjudice total d’au moins 340 millions d’euros. Une équipe d’Envoyé spécial s’est infiltrée dans ce réseau extrêmement bien organisé qui réunit des dizaines de milliers de jeunes partout en France. Ne ratez pas notre enquête, vous êtes peut-être leur prochaine victime !
Le replay est disponible sur https://www.france.tv/france-2/envoye-special/5769546-arnaque-aux-faux-conseillers-bancaires.html
En voici un extrait :
On voit bien qu'on peut facilement usurperer le numéro de téléphone fixe ou mobile de 'n'importe qui.
https://lafibre.info/videos/securite/202402_envoye_special_arnaque_aux_faux_conseillers_bancaires_extrait1.webm
Ce qui me pose un problème avec ce reportage, c'est que depuis le 25 juillet 2023, les opérateurs ont l’obligation légale d’authentifier le numéro d’appelant (inscrite dans la loi n° 2020-901 du 24 juillet 2020)
LOI n° 2020-901 du 24 juillet 2020 visant à encadrer le démarchage téléphonique et à lutter contre les appels frauduleux
(cliquez sur la miniature ci-dessous - le document est au format PDF)
(https://lafibre.info/images/ssl/202007_loi_2020-901_pour_lutter_contre_les_appels_frauduleux.webp) (https://lafibre.info/images/ssl/202007_loi_2020-901_pour_lutter_contre_les_appels_frauduleux.pdf)
L’opérateur au départ de l’appel ou du message doit s’assurer de la légitimité de son client à afficher un numéro d’appelant et authentifier techniquement cette information. Cette information d’authentification doit être vérifiée par les opérateurs qui acheminent ces appels et messages jusqu’au destinataire. Dans le cas où cette information n’est pas présente ou incorrecte, ils sont tenus de couper la communication.
Au niveau du terminal de l’utilisateur, il n’existe ainsi aucune obligation légale d’afficher le nom de l’entreprise. Cependant, rien ne s’oppose à ce que les acteurs du secteur étudient la possibilité technique d’associer, de manière fiable, à ce numéro authentifié, un nom ou la raison de l’appel et de le faire transiter dans les réseaux des opérateurs, indépendamment de toute application.
Source : Arcep (https://www.arcep.fr/demarches-et-services/professionnels/plan-numerotation-professionnels.html)
-
Le protocole STIR-SHAKEN pour bloquer l'usurpation des numéros de téléphone
Alain Bieuzent, directeur des opérations de Manifone explique en quoi consiste cette authentification sur En-Contact, le journal professionnel du service client.
Si je comprends bien, l'obligation de couper les appels non authentifiés aurait été suspendu, car deux grands opérateurs (dont le nom est donné en fin d'article) sont en retard.
Le groupe de travail constitué de L’APNF et une dizaine d’acteurs représentant les opérateurs télécom (Orange, SFR, Bouygues Telecom, Free, Colt, Verizon, Manifone, IPDirections, Odigo) a défini les spécifications détaillées devant être mises en place par l’ensemble des opérateurs français.
Sous l’acronyme : MAN (Mécanisme d’authentification des numéros), est donc défini l’ensemble des règles techniques devant être mises en application le 24 juillet 2023.
Le MAN après avoir étudié plusieurs solutions techniques, a décidé d’utiliser le protocole STIR-SHAKEN déjà en place aux États unis et au Canada, mais sous une forme légèrement différente.
Techniquement comment fonctionne STIR-SHAKEN ?
Ce protocole permet la transmission d’un certificat numérique identifiant l’opérateur d’origine de chaque appel émis.
Il permet aussi d’ajouter des informations concernant l’appel et notamment, le numéro appelé, le numéro appelant, la date de l’appel et le niveau d’attestation. Le niveau d’attestation est le niveau d’identification de l’émetteur de l’appel. Pour faire simple, si le numéro affiché par le particulier ou la société lui a été affecté par l’opérateur utilisé pour l’émission de l’appel, le niveau d’attestation est maximal (attestation A).
La concaténation du certificat et des données de l’appel constitue la signature de l’appel.
Cette signature doit être émise par l’opérateur de l’émetteur de l’appel puis elle sera vérifiée tout au long de l’acheminement de l’appel.
Lorsqu’un opérateur reçoit un appel pour un de ses abonnés, celui-ci a pour obligation de vérifier la présence de la signature, décoder la signature, vérifier que le certificat est correct et actif et vérifier que les données d’appel correspondent bien à l’appel en cours.
Si toutes ces conditions ne sont pas remplies, l’appel doit être rejeté. Ainsi, un appel ne présentant pas toutes les garanties d’authentification n’est pas censé atteindre son destinataire.
Quels sont les acteurs concernés par cette obligation ?
Seuls les opérateurs télécom opérant sur le marché français disposant de ressources en numérotation (des numéros de téléphone pour lesquels ils sont attributaires) ont l’obligation de respecter le programme MAN.
Est-ce que tous les appels sont concernés ?
L’ensemble des appels émis à destination de la France métropolitaine et des DOM/TOM sont concernés par le dispositif.
Les appels émis à destination des autres pays ne sont pas concernés même s’ils affichent un numéro d’appelant français.
Mon activité de démarchage téléphonique est-elle concernée ? est-ce que mes appels ont plus de risque d’être rejetés ?
Vous n’êtes pas directement concerné par le MAN, mais vous devez vous assurer que votre/vos opérateur(s) téléphonique(s) ont la capacité de signer vos appels correctement sous peine de voir l’ensemble de vos appels rejetés. Le programme MAN ne prévoit pas de distinction de « type » ou « raison » d’appel. Il n’y a donc aucun moyen technique pour un opérateur de distinguer les appels de prospection téléphonique d’autres types d’appels et d’appliquer des règles de rejet différentes. Le programme MAN prévoit des règles très encadrées de rejets d’appels. Un opérateur tenté de mettre en place des règles différentes pourrait être poursuivi.
Le protocole permet de gérer un niveau d’attestation, est-ce que mes appels de démarchage auront un niveau d’attestation plus bas que les autres ?
Non, le niveau d’attestation est défini par des règles techniques précises basées sur le numéro d’appelant que vous allez utiliser pour émettre vos appels et non sur le type d’activité.
À partir de quand les appels non authentifiés seront-ils réellement coupés ?
Le texte de loi prévoyait une coupure des appels dès le 24 juillet 2023. Devant les difficultés techniques de certains opérateurs à mettre en place le dispositif, il semblerait que nous vivions actuellement une période de grâce pour permettre aux retardataires de se mettre en conformité. La coupure des appels non-authentifiés pourrait avoir lieu à tout moment.
Est-ce que Manifone est conforme au programme MAN ?
Manifone signe et vérifie les appels émis et reçus par ses clients depuis le 24 juillet 2023"
Pour en savoir plus et savoir comment identifier l’opérateur télécom le plus efficace, le plus borderline, le plus filou, demandez le Bottin du service et de l’expérience client. Legos et Transatel, par exemple, ont été mis en demeure en 2022 par l'ARCEP, le gendarme des télécoms. Colt ne serait pas exempt de laisser lui aussi passer du trafic télécom peu vérifié, selon les témoignages d'ESN et d'officines chargées, notamment dans le monde bancaire, de démasquer les escrocs.
Passée presque inaperçue, cette nouvelle règlementation constitue un véritable tournant dans la lutte contre les appels frauduleux (les call-center scam) Ces fraudes sont si nombreuses aux USA qu'un blog et une équipe dédiée, dirigée par Karl Rice, dit Karl Rock, se sont érigés en justiciers bénévoles. Avec Anti-Scam Call Center, ils démasquent les call-centers à l'origine de ces fraudes, qui sont souvent indiens et les font fermer. L'émission, diffusée sur les réseaux sociaux qui est.. plus suivie que TPMP en France.
Mais bon nombre d'opérateurs télécom ne sont pas encore en conformité avec la loi, car les démarches techniques, modifications de process à opérer sont complexes. Parmi les 4 grands français, Orange, SFR, Bouygues Télécom, Free, seul Bouygues Télécom et SFR seraient en conformité. L'obligation, qui procède de ce protocole MAN, de couper les appels a donc été temporairement suspendue. Il y aurait presque une prime aux retardataires ?
Source : En-Contact (https://en-contact.com/les-appels-de-demarchage-telephonique-frauduleux-trahis-par-leur-adn), le 21 novembre 2023.
-
Arnaque aux faux conseillers bancaires
Vous avez peut-être regardé sur France 2 "Envoyé Spécial" le 29 février 2024 sur l'arnaque aux faux conseillers bancaires :
Un reportage de Julien Duponchel, Cyril Théophilos et Adrien Mellot Vous les avez probablement déjà reçus sur votre téléphone, des SMS qui vous demandent de renouveler votre carte vitale, de payer une amende ou de régler des frais postaux. Ces faux messages officiels sont en réalité le point de départ d’une gigantesque arnaque. Le piège est redoutable, en cliquant sur ces messages vous allez transmettre vos coordonnées et numéros de cartes bleues à des escrocs qui vont vous rappeler en se faisant passer pour votre banque. En 2022, 18 millions de Français se sont fait avoir pour un préjudice total d’au moins 340 millions d’euros. Une équipe d’Envoyé spécial s’est infiltrée dans ce réseau extrêmement bien organisé qui réunit des dizaines de milliers de jeunes partout en France. Ne ratez pas notre enquête, vous êtes peut-être leur prochaine victime !
Le replay est disponible sur https://www.france.tv/france-2/envoye-special/5769546-arnaque-aux-faux-conseillers-bancaires.html
En voici un extrait :
On voit bien qu'on peut facilement usurperer le numéro de téléphone fixe ou mobile de 'n'importe qui.
Ce qui me pose un problème avec ce reportage, c'est que depuis le 25 juillet 2023, les opérateurs ont l’obligation légale d’authentifier le numéro d’appelant (inscrite dans la loi n° 2020-901 du 24 juillet 2020)
LOI n° 2020-901 du 24 juillet 2020 visant à encadrer le démarchage téléphonique et à lutter contre les appels frauduleux
(cliquez sur la miniature ci-dessous - le document est au format PDF)
L’opérateur au départ de l’appel ou du message doit s’assurer de la légitimité de son client à afficher un numéro d’appelant et authentifier techniquement cette information. Cette information d’authentification doit être vérifiée par les opérateurs qui acheminent ces appels et messages jusqu’au destinataire. Dans le cas où cette information n’est pas présente ou incorrecte, ils sont tenus de couper la communication.
Au niveau du terminal de l’utilisateur, il n’existe ainsi aucune obligation légale d’afficher le nom de l’entreprise. Cependant, rien ne s’oppose à ce que les acteurs du secteur étudient la possibilité technique d’associer, de manière fiable, à ce numéro authentifié, un nom ou la raison de l’appel et de le faire transiter dans les réseaux des opérateurs, indépendamment de toute application.
Source : Arcep (https://www.arcep.fr/demarches-et-services/professionnels/plan-numerotation-professionnels.html)
18 millions de français.. source?
sinon, les dégats :
https://lafibre.info/bistro-sujet-libre/faux-conseillers-ils-sont-nombreux-un-bagout-de-dingue-pour-vos-ptits-sous/
le jour où la téléphonie (fixe&mobile) rendra obligatoire le titulaire de la ligne dans le champ clip-id pour éviter de se trimballer un répertoire..
-
le jour où la téléphonie (fixe&mobile) rendra obligatoire le titulaire de la ligne dans le champ clip-id pour éviter de se trimballer un répertoire..
C'est à dire ? Tu voudrais connaitre le numéro de tel de quelqu'un juste en connaissant son nom ?
Je ne suis pas sur d'avoir bien compris si tu peux développer pour les ignares ;-)
-
C'est à dire ? Tu voudrais connaitre le numéro de tel de quelqu'un juste en connaissant son nom ?
Je ne suis pas sur d'avoir bien compris si tu peux développer pour les ignares ;-)
Non.
j'aurais du approfondir par une explication :
le clip-id est mis en place par l'équipement de téléphonie, pour transmettre lors de la communication le numéro appelant.
eg :
Le numéro affiché (le CLIP / Calling Line Identification Presentation) est celui que tu veux faire afficher, il n'y a aucune vérification ni validation d'aucune sorte, on peut mettre ce qu'on veut, il est positionné par l'appelant (qui a la maitrise de son switch voix/VoIP). On y met ce qu'on veut et ça n'a aucune valeur, c'est un champ «user provided, not verified».
Bien sûr dans le cas des particuliers avec leur poste analogique (y compris via une box), c'est l'opérateur de l'abonné appelant qui place la bonne valeur dans ce champ dans la signalisation (et qui correspondra bien au «vrai» numéro de l'appelant).
Edit: évidement c'est pareil avec un portable/GSM (qui est totalement numérique, mais qui ne laisse pas le client accéder au CLI).
Le vrai numéro de la ligne appelante est effectivement placé par l'opérateur mais dans un autre champ (le Calling Party Number, crois-je me souvenir), inaccessible de l'extérieur (ce n'est pas celui-là qui s'affiche).
https://en.wikipedia.org/wiki/Caller_ID_spoofing
c'est en gros ce qu'utilisent les institutions, services privés, services public, pour afficher un numéro générique lors d'un appel sortant.
par ex, pole emploi ou la sncf te joignent toujours avec un numéro générique, qui est utilisé sur autant de communications parallèles que nécessaire.
l'idée aurait été, au lieu d'avoir le numéro, d'avoir directement le titulaire de l'organisme qui s'affiche, de manière à savoir qui est l'appelant avant meme d'avoir décroché (et que celui-ci soit identique au nom administratif du titulaire de la ligne)
-
Le protocole STIR-SHAKEN a pour but de bloquer les appels dont le numéro de téléphone affiché ne correspond pas au titulaire de la ligne.
C'est une obligation en France depuis le 25 juillet 2023, mais il y a visiblement un peu de retard (à cause d'Orange et Free si j'ai bien compris l'article de "En-Contact").
Bien sûr, il y a le risque de voir des opérateurs filou, qui authentifient des données incorrectes, mais je pense que jouer à ce jeu sera très dangereux, vu que l'on devrait pouvoir remonter à l'opérateur qui a émis l'appel, à défaut de pouvoir identifier le client.
LOI n° 2020-901 du 24 juillet 2020 visant à encadrer le démarchage téléphonique et à lutter contre les appels frauduleux
(cliquez sur la miniature ci-dessous - le document est au format PDF)
(https://lafibre.info/images/ssl/202007_loi_2020-901_pour_lutter_contre_les_appels_frauduleux.webp) (https://lafibre.info/images/ssl/202007_loi_2020-901_pour_lutter_contre_les_appels_frauduleux.pdf)
-
Selon les personnes que j'interroge, les avis divergent.
Le protocole Stir (Secure Telephone Identity Revisited) vise à prévenir les appels frauduleux en vérifiant l’identité téléphonique grâce à des signatures numériques et à des attestations d’identité transmises par SIP.
Le protocole Shaken (Signature-based Handling of Asserted information using toKENs) s’occupe de l’authentification des communications téléphoniques. Il vise à fournir une preuve tangible et fiable que l’appel provient réellement de l’identité de son émetteur.
STIR permet d’apporter une meilleure traçabilité des appels pour remonter à la source en utilisant un mécanisme d’authentification forte. Les appels disposent d’une attestation SHAKEN de niveau A, B ou C.
• L’opérateur d’origine est identifié, il est responsable de la signature et des informations qu’il transmet, ces dernières sont certifiées grâce à STIR ;
• L’opérateur d’origine est responsable de positionner un niveau d’attestation conforme aux définitions de la norme Extension Shaken et aux critères spécifiques définis entre les opérateurs ;
• Un appel avec un champ Identity absent ou mal constitué est coupé par l’opérateur de transit hors appels d’urgences et hors appels non-SIP ;
• Un appel non signé ou avec une signature invalide est coupé par l’opérateur de terminaison hors appels d’urgences et hors appels non-SIP ;
• Les appels attestés B ou C ne sont pas coupés, et ce tant que les solutions techniques ne permettent pas de traiter l’ensemble des cas d’usages existants sur le marché : les solutions techniques permettront au fil du temps de classer de plus en plus d’appels avec l’attestation A.
Un mécanisme de lutte contre l’usurpation vient compléter le mécanisme d’authentification.
• Les signalements permettent aux opérateurs d’alerter sur d’éventuels abus et de traquer les fraudeurs : l’opérateur d’origine, identifié par son certificat, devra apporter toute justification requise sur le niveau d’attestation en cas de signalement, permettant ainsi de remonter à l’opérateur ou à l’entreprise indélicat(e) ;
• Des métriques sur les niveaux d’attestation et sur les signalements avérés seront mises en place pour piloter le fonctionnement du mécanisme d’authentification et disposer d’éléments factuels pour le faire évoluer.
Source : Mode opératoire des incidents, signalements et métriques du MAN (https://lafibre.info/images/ssl/202303_man_mecanismes_authentification_des_numeros_loi_2020-901.pdf)
STIR-SHAKEN n'est encore utilisé nulle part dans le monde pour bloquer les appels non authentifiés.
Si la phase de rodage de l’application du protocole Stir/Shaken a bien débuté le 30 juin 2023, le mécanisme de coupure n’est pas encore prêt pour bloquer des appels.
Les opérateurs ont établi et validé la mise en œuvre d’un dispositif sectoriel nommé programme MAN (Mécanismes d’Authentification des Numéros) :
(cliquez sur la miniature ci-dessous - le document est au format PDF)
(https://lafibre.info/images/ssl/202303_man_mecanismes_authentification_des_numeros_loi_2020-901.webp) (https://lafibre.info/images/ssl/202303_man_mecanismes_authentification_des_numeros_loi_2020-901.pdf)
-
"Envoyé Spécial" le 29 février 2024 sur l'arnaque aux faux conseillers bancaires a interrogé les opérateurs :
Contactés, les opérateurs [Orange, Bouygues, SFR, Free] nous confient ne pas avoir trouvé de solution de technique viable pour couper les appels qui usurpent des numéros de téléphones.
https://lafibre.info/videos/securite/202402_envoye_special_arnaque_aux_faux_conseillers_bancaires_extrait2.mp4
De mon coté, j'ai compris que rien ne serait tenté avant la fin de JO 2024, le risque de couper des appels qui devraient passer étant élevé au début.
Bref, rendez-vous fin 2024 pour voir comment avance ce dossier brulant.
-
Une liste blanche mobile/fixe et basta.
Tu veux absolument joindre, tu laisses message.
Arcep n'a qu'à dire : au 1er Mai si pas de liste blanche, 1 milliards par jour de retard !
Tu vas voir comment ils vont tous trouver la solution pour mettre ça en place.
Commence à y en avoir ras le bol de leur gamineries, ouin ouin on sait pas faire c'est trop dur, ouin ouin faut nous laisser 6 ans et revoir 50x le cahier des charges avec des réunions de 6h à rien faire payées sur le dos des clients qu'ils méprisent !
C'est quoi ça, dans n'importe quel pays on passe aux menaces quand les acteurs d'un secteur font semblant de ne pas voir le problème qui pèse sur leurs clients.
-
Certains acteurs ont des doutes sur le fait qu'il soit possible d'authentifier tous les appels et de bloquer les appels non authentifiés.
Ce sera une première mondiale si le blocage est mis en place (c'est déjà en place aux États unis et au Canada, mais sans blocage).
Je pense que la pression sur les opérateurs va venir des banques, si elles doivent rembourser les clients (aujourd'hui les clients sont rarement remboursés, les banques évoquant la faute de leur client).