Auteur Sujet: Filtre anti-arnaque français: blocage des sites frauduleux ou dangereux (Lu 12156 fois)

vivien · « **Réponse #48 le:** 24 août 2023 à 13:44:42 »

Citation de: Steph le 24 août 2023 à 12:08:33

Je ne sais pas.
Je pensais qu'Hadopi avait durci le truc et que c'est pour cela que les "convertisseurs" en tout genre n'étaient plus hébergés en France.

C'est plutôt l'inverse : La France est assez tolérante, ce qui fait que des logiciels litigieux comme VLC hébergent leurs outils en France.

VLC ne pourrait pas être hébergé aux USA avec tous ses codecs. C'est ce qui explique que sur l'App Store d'Apple, où les serveurs sont aux USA, VLC n'a pas pu mettre tous ses codecs.

Autre exemple, il y a quelques jours, le Tribunal de Hambourg a obligé l'hébergeur allemand Uberspace à fermer le site Youtube-dl.org qui renvoyait vers le binaire du logiciel permettant de télécharger des vidéos mises en ligne sur Youtube et autres plateformes de streaming. En France, la pratique du « stream ripping » est considérée comme légale et relevant de la copie privée (Cette position permet aux sociétés de gestion de droits d'auteurs et droits voisins d'augmenter les barèmes de redevance pour Copie privée qui dépendent des pratiques de duplication).

Là aussi Youtube-dl.org pourrait passer en France sans être inquiété (mais le logiciel n'est plus maintenu, c'est son fork yt-dlp qui a pris le relais, je pense qu'il a bien compris qu'il fallait éviter l'Allemagne pour l'hébergement)

Aprés là, je parle de logiciels. Si tu veux héberger du contenu piraté, ce n'est pas possible dans les pays démocratiques. Il faut viser des pays comme la Russie.

kgersen · « **Réponse #49 le:** 24 août 2023 à 15:52:17 »

On peut faire et héberger un logiciel qui craque des mots de passe ou autre bidouilles. Tous les outils de RE et désassembleurs (IDA, etc) ne sont pas interdits. Les logiciels infosec comme ceux de tentatives d'intrusions non plus. Tout comme Transmission et uTorrent ne sont pas interdits.

Parce qu'en général on ne confond pas l'outil et qui s'en sert et comment. Tant que le code du logiciel lui-même respect les règles et lois.

Le cas de VLC est plus lié au licence/royalties des codecs et aux législations différentes entre l'EU et les USA sur les brevets sur les logiciels.

Le cas du Tribunal de Hambourg avec youtube-dl est problématique d'ailleurs et plutôt curieux.Je crois qu'ils attendent qu'une autorité supérieure casse cette décision.

xp25 · « **Réponse #50 le:** 24 août 2023 à 17:15:31 »

En attendant, ça permet de dire : hé oh on fait des choses, regardez comment on est beau, intelligent et bien dressé aux injonctions !

vivien · « **Réponse #51 le:** 10 septembre 2023 à 14:47:47 »

Quelques nouvelles du filtre anti-arnaque français (réseau social Bluesky)

vivien · « **Réponse #52 le:** 25 septembre 2023 à 21:20:07 »

Même discourt d'Eric Bothorel, devant la commission spéciale chargée d’examiner le projet de loi visant à sécuriser et réguler l’espace numérique :

vivien · « **Réponse #53 le:** 30 octobre 2023 à 22:18:15 »

Mozilla a de bonnes nouvelles :

Il y a quelques mois, le gouvernement français a proposé un projet de loi menaçant les libertés sur Internet. Nous avons de bonnes nouvelles à vous communiquer concernant notre lutte contre cette censure dangereuse. Nous y reviendrons dans un instant, et nous vous présenterons également les différents moyens de nous aider. Mais tout d’abord, voici un peu de contexte sur la situation actuelle.

Un article du « projet de loi visant à sécuriser et réguler l’espace numérique » (SREN), tel qu’il a été proposé à l’origine, aurait donné au gouvernement le pouvoir de censurer ce que vous pouvez ou ne pouvez pas voir en ligne.

La communauté Mozilla et ses alliés sont immédiatement montés au créneau. Plus de 80 000 personnes comme vous ont signé notre pétition et des milliers d’entre vous ont fait des dons pour financer cette campagne.

Et nous avons de bonnes nouvelles : le 17 octobre, une version révisée a été adoptée par l’Assemblée nationale française, sans le blocage au niveau des navigateurs web qui faisait partie du projet de loi initial.

Cette modification du projet de loi marque une nette avancée. Nous pouvons fièrement l’affirmer : ce succès est à mettre au crédit de la communauté Mozilla et de nos alliés qui se sont mobilisés, ainsi qu’au travail de plaidoyer que nous avons effectué sans relâche au cours des derniers mois. Merci d’avoir participé à cette campagne !

Toutefois, rien n’est encore joué.

Bien que l’Assemblée nationale ait tenu compte des préoccupations de la communauté Mozilla (le travail de Mozilla a même été mentionné à plusieurs reprises pendant les débats), il reste encore plusieurs étapes à franchir dans le processus législatif.

La prochaine étape sera la discussion en commission mixte paritaire (CMP). À ce stade, un texte de compromis est négocié entre le gouvernement et un ensemble de parlementaires de l’Assemblée nationale et du Sénat.

Et même si ce texte franchit l’étape de la CMP, rien ne sera encore joué. Les détails techniques seront précisés par un décret d’application.

Nous devons veiller à ce que cette version franchisse cette nouvelle étape sans être modifiée.

Nous devons continuer à faire pression pour qu’aucun·e législateur·trice ne réintroduise discrètement le blocage au niveau des navigateurs web dans le projet de loi. Les conséquences seraient désastreuses pour des navigateurs comme Firefox, et pas qu’en France, car cela mettrait des outils de censure à disposition de pays moins démocratiques.

Source : Mail Mozilla - 30 octobre 2023

vivien · « **Réponse #54 le:** 05 mars 2024 à 13:45:52 »

Le filtre anti-arnaque français n'est pas oublié. Il sera mis en place avant les jeux olympiques.

La cible N°1 est d'empêcher les arnaques par SMS en bloquant les liens utilisés par ces SMS qui font du pishing pour récupérer vos coordonnées bancaires.

vivien · « **Réponse #55 le:** 05 mars 2024 à 14:02:17 »

Arnaque aux faux conseillers bancaires

Vous avez peut-être regardé sur France 2 "Envoyé Spécial" le 29 février 2024 sur l'arnaque aux faux conseillers bancaires :

Un reportage de Julien Duponchel, Cyril Théophilos et Adrien Mellot Vous les avez probablement déjà reçus sur votre téléphone, des SMS qui vous demandent de renouveler votre carte vitale, de payer une amende ou de régler des frais postaux. Ces faux messages officiels sont en réalité le point de départ d’une gigantesque arnaque. Le piège est redoutable, en cliquant sur ces messages vous allez transmettre vos coordonnées et numéros de cartes bleues à des escrocs qui vont vous rappeler en se faisant passer pour votre banque. En 2022, 18 millions de Français se sont fait avoir pour un préjudice total d’au moins 340 millions d’euros. Une équipe d’Envoyé spécial s’est infiltrée dans ce réseau extrêmement bien organisé qui réunit des dizaines de milliers de jeunes partout en France. Ne ratez pas notre enquête, vous êtes peut-être leur prochaine victime !

Le replay est disponible sur https://www.france.tv/france-2/envoye-special/5769546-arnaque-aux-faux-conseillers-bancaires.html

En voici un extrait :
On voit bien qu'on peut facilement usurperer le numéro de téléphone fixe ou mobile de 'n'importe qui.

Ce qui me pose un problème avec ce reportage, c'est que depuis le 25 juillet 2023, les opérateurs ont l’obligation légale d’authentifier le numéro d’appelant (inscrite dans la loi n° 2020-901 du 24 juillet 2020)

LOI n° 2020-901 du 24 juillet 2020 visant à encadrer le démarchage téléphonique et à lutter contre les appels frauduleux
(cliquez sur la miniature ci-dessous - le document est au format PDF)

L’opérateur au départ de l’appel ou du message doit s’assurer de la légitimité de son client à afficher un numéro d’appelant et authentifier techniquement cette information. Cette information d’authentification doit être vérifiée par les opérateurs qui acheminent ces appels et messages jusqu’au destinataire. Dans le cas où cette information n’est pas présente ou incorrecte, ils sont tenus de couper la communication.

Au niveau du terminal de l’utilisateur, il n’existe ainsi aucune obligation légale d’afficher le nom de l’entreprise. Cependant, rien ne s’oppose à ce que les acteurs du secteur étudient la possibilité technique d’associer, de manière fiable, à ce numéro authentifié, un nom ou la raison de l’appel et de le faire transiter dans les réseaux des opérateurs, indépendamment de toute application.

Source : Arcep

vivien · « **Réponse #56 le:** 05 mars 2024 à 14:13:14 »

Le protocole STIR-SHAKEN pour bloquer l'usurpation des numéros de téléphone

Alain Bieuzent, directeur des opérations de Manifone explique en quoi consiste cette authentification sur En-Contact, le journal professionnel du service client.

Si je comprends bien, l'obligation de couper les appels non authentifiés aurait été suspendu, car deux grands opérateurs (dont le nom est donné en fin d'article) sont en retard.

Le groupe de travail constitué de L’APNF et une dizaine d’acteurs représentant les opérateurs télécom (Orange, SFR, Bouygues Telecom, Free, Colt, Verizon, Manifone, IPDirections, Odigo) a défini les spécifications détaillées devant être mises en place par l’ensemble des opérateurs français.

Sous l’acronyme : MAN (Mécanisme d’authentification des numéros), est donc défini l’ensemble des règles techniques devant être mises en application le 24 juillet 2023.

Le MAN après avoir étudié plusieurs solutions techniques, a décidé d’utiliser le protocole STIR-SHAKEN déjà en place aux États unis et au Canada, mais sous une forme légèrement différente.

Techniquement comment fonctionne STIR-SHAKEN ?

Ce protocole permet la transmission d’un certificat numérique identifiant l’opérateur d’origine de chaque appel émis.
Il permet aussi d’ajouter des informations concernant l’appel et notamment, le numéro appelé, le numéro appelant, la date de l’appel et le niveau d’attestation. Le niveau d’attestation est le niveau d’identification de l’émetteur de l’appel. Pour faire simple, si le numéro affiché par le particulier ou la société lui a été affecté par l’opérateur utilisé pour l’émission de l’appel, le niveau d’attestation est maximal (attestation A).
La concaténation du certificat et des données de l’appel constitue la signature de l’appel.
Cette signature doit être émise par l’opérateur de l’émetteur de l’appel puis elle sera vérifiée tout au long de l’acheminement de l’appel.
Lorsqu’un opérateur reçoit un appel pour un de ses abonnés, celui-ci a pour obligation de vérifier la présence de la signature, décoder la signature, vérifier que le certificat est correct et actif et vérifier que les données d’appel correspondent bien à l’appel en cours.
Si toutes ces conditions ne sont pas remplies, l’appel doit être rejeté. Ainsi, un appel ne présentant pas toutes les garanties d’authentification n’est pas censé atteindre son destinataire.

Quels sont les acteurs concernés par cette obligation ?

Seuls les opérateurs télécom opérant sur le marché français disposant de ressources en numérotation (des numéros de téléphone pour lesquels ils sont attributaires) ont l’obligation de respecter le programme MAN.

Est-ce que tous les appels sont concernés ?

L’ensemble des appels émis à destination de la France métropolitaine et des DOM/TOM sont concernés par le dispositif.
Les appels émis à destination des autres pays ne sont pas concernés même s’ils affichent un numéro d’appelant français.

Mon activité de démarchage téléphonique est-elle concernée ? est-ce que mes appels ont plus de risque d’être rejetés ?

Vous n’êtes pas directement concerné par le MAN, mais vous devez vous assurer que votre/vos opérateur(s) téléphonique(s) ont la capacité de signer vos appels correctement sous peine de voir l’ensemble de vos appels rejetés. Le programme MAN ne prévoit pas de distinction de « type » ou « raison » d’appel. Il n’y a donc aucun moyen technique pour un opérateur de distinguer les appels de prospection téléphonique d’autres types d’appels et d’appliquer des règles de rejet différentes. Le programme MAN prévoit des règles très encadrées de rejets d’appels. Un opérateur tenté de mettre en place des règles différentes pourrait être poursuivi.

Le protocole permet de gérer un niveau d’attestation, est-ce que mes appels de démarchage auront un niveau d’attestation plus bas que les autres ?
Non, le niveau d’attestation est défini par des règles techniques précises basées sur le numéro d’appelant que vous allez utiliser pour émettre vos appels et non sur le type d’activité.

À partir de quand les appels non authentifiés seront-ils réellement coupés ?

Le texte de loi prévoyait une coupure des appels dès le 24 juillet 2023. Devant les difficultés techniques de certains opérateurs à mettre en place le dispositif, il semblerait que nous vivions actuellement une période de grâce pour permettre aux retardataires de se mettre en conformité. La coupure des appels non-authentifiés pourrait avoir lieu à tout moment.

Est-ce que Manifone est conforme au programme MAN ?

Manifone signe et vérifie les appels émis et reçus par ses clients depuis le 24 juillet 2023"

Pour en savoir plus et savoir comment identifier l’opérateur télécom le plus efficace, le plus borderline, le plus filou, demandez le Bottin du service et de l’expérience client. Legos et Transatel, par exemple, ont été mis en demeure en 2022 par l'ARCEP, le gendarme des télécoms. Colt ne serait pas exempt de laisser lui aussi passer du trafic télécom peu vérifié, selon les témoignages d'ESN et d'officines chargées, notamment dans le monde bancaire, de démasquer les escrocs.

Passée presque inaperçue, cette nouvelle règlementation constitue un véritable tournant dans la lutte contre les appels frauduleux (les call-center scam) Ces fraudes sont si nombreuses aux USA qu'un blog et une équipe dédiée, dirigée par Karl Rice, dit Karl Rock, se sont érigés en justiciers bénévoles. Avec Anti-Scam Call Center, ils démasquent les call-centers à l'origine de ces fraudes, qui sont souvent indiens et les font fermer. L'émission, diffusée sur les réseaux sociaux qui est.. plus suivie que TPMP en France.

Mais bon nombre d'opérateurs télécom ne sont pas encore en conformité avec la loi, car les démarches techniques, modifications de process à opérer sont complexes. Parmi les 4 grands français, Orange, SFR, Bouygues Télécom, Free, seul Bouygues Télécom et SFR seraient en conformité. L'obligation, qui procède de ce protocole MAN, de couper les appels a donc été temporairement suspendue. Il y aurait presque une prime aux retardataires ?

Source : En-Contact, le 21 novembre 2023.

trekker92 · « **Réponse #57 le:** 05 mars 2024 à 14:31:19 »

Citation de: vivien le 05 mars 2024 à 14:02:17

Arnaque aux faux conseillers bancaires

Vous avez peut-être regardé sur France 2 "Envoyé Spécial" le 29 février 2024 sur l'arnaque aux faux conseillers bancaires :

Un reportage de Julien Duponchel, Cyril Théophilos et Adrien Mellot Vous les avez probablement déjà reçus sur votre téléphone, des SMS qui vous demandent de renouveler votre carte vitale, de payer une amende ou de régler des frais postaux. Ces faux messages officiels sont en réalité le point de départ d’une gigantesque arnaque. Le piège est redoutable, en cliquant sur ces messages vous allez transmettre vos coordonnées et numéros de cartes bleues à des escrocs qui vont vous rappeler en se faisant passer pour votre banque. En 2022, 18 millions de Français se sont fait avoir pour un préjudice total d’au moins 340 millions d’euros. Une équipe d’Envoyé spécial s’est infiltrée dans ce réseau extrêmement bien organisé qui réunit des dizaines de milliers de jeunes partout en France. Ne ratez pas notre enquête, vous êtes peut-être leur prochaine victime !

Le replay est disponible sur https://www.france.tv/france-2/envoye-special/5769546-arnaque-aux-faux-conseillers-bancaires.html

En voici un extrait :
On voit bien qu'on peut facilement usurperer le numéro de téléphone fixe ou mobile de 'n'importe qui.

Ce qui me pose un problème avec ce reportage, c'est que depuis le 25 juillet 2023, les opérateurs ont l’obligation légale d’authentifier le numéro d’appelant (inscrite dans la loi n° 2020-901 du 24 juillet 2020)

LOI n° 2020-901 du 24 juillet 2020 visant à encadrer le démarchage téléphonique et à lutter contre les appels frauduleux
(cliquez sur la miniature ci-dessous - le document est au format PDF)

L’opérateur au départ de l’appel ou du message doit s’assurer de la légitimité de son client à afficher un numéro d’appelant et authentifier techniquement cette information. Cette information d’authentification doit être vérifiée par les opérateurs qui acheminent ces appels et messages jusqu’au destinataire. Dans le cas où cette information n’est pas présente ou incorrecte, ils sont tenus de couper la communication.

Au niveau du terminal de l’utilisateur, il n’existe ainsi aucune obligation légale d’afficher le nom de l’entreprise. Cependant, rien ne s’oppose à ce que les acteurs du secteur étudient la possibilité technique d’associer, de manière fiable, à ce numéro authentifié, un nom ou la raison de l’appel et de le faire transiter dans les réseaux des opérateurs, indépendamment de toute application.

Source : Arcep

18 millions de français.. source?

sinon, les dégats :
https://lafibre.info/bistro-sujet-libre/faux-conseillers-ils-sont-nombreux-un-bagout-de-dingue-pour-vos-ptits-sous/

le jour où la téléphonie (fixe&mobile) rendra obligatoire le titulaire de la ligne dans le champ clip-id pour éviter de se trimballer un répertoire..

PDuke · « **Réponse #58 le:** 05 mars 2024 à 14:40:25 »

Citation de: trekker92 le 05 mars 2024 à 14:31:19

le jour où la téléphonie (fixe&mobile) rendra obligatoire le titulaire de la ligne dans le champ clip-id pour éviter de se trimballer un répertoire..

C'est à dire ? Tu voudrais connaitre le numéro de tel de quelqu'un juste en connaissant son nom ?

Je ne suis pas sur d'avoir bien compris si tu peux développer pour les ignares ;-)

trekker92 · « **Réponse #59 le:** 05 mars 2024 à 15:48:26 »

Citation de: PDuke le 05 mars 2024 à 14:40:25

C'est à dire ? Tu voudrais connaitre le numéro de tel de quelqu'un juste en connaissant son nom ?

Je ne suis pas sur d'avoir bien compris si tu peux développer pour les ignares ;-)

Non.
j'aurais du approfondir par une explication :
le clip-id est mis en place par l'équipement de téléphonie, pour transmettre lors de la communication le numéro appelant.

eg :

Citer

Le numéro affiché (le CLIP / Calling Line Identification Presentation) est celui que tu veux faire afficher, il n'y a aucune vérification ni validation d'aucune sorte, on peut mettre ce qu'on veut, il est positionné par l'appelant (qui a la maitrise de son switch voix/VoIP). On y met ce qu'on veut et ça n'a aucune valeur, c'est un champ «user provided, not verified».

Bien sûr dans le cas des particuliers avec leur poste analogique (y compris via une box), c'est l'opérateur de l'abonné appelant qui place la bonne valeur dans ce champ dans la signalisation (et qui correspondra bien au «vrai» numéro de l'appelant).
Edit: évidement c'est pareil avec un portable/GSM (qui est totalement numérique, mais qui ne laisse pas le client accéder au CLI).

Le vrai numéro de la ligne appelante est effectivement placé par l'opérateur mais dans un autre champ (le Calling Party Number, crois-je me souvenir), inaccessible de l'extérieur (ce n'est pas celui-là qui s'affiche).

https://en.wikipedia.org/wiki/Caller_ID_spoofing

c'est en gros ce qu'utilisent les institutions, services privés, services public, pour afficher un numéro générique lors d'un appel sortant.
par ex, pole emploi ou la sncf te joignent toujours avec un numéro générique, qui est utilisé sur autant de communications parallèles que nécessaire.

l'idée aurait été, au lieu d'avoir le numéro, d'avoir directement le titulaire de l'organisme qui s'affiche, de manière à savoir qui est l'appelant avant meme d'avoir décroché (et que celui-ci soit identique au nom administratif du titulaire de la ligne)