Auteur Sujet: Filtre anti-arnaque français: blocage des sites frauduleux ou dangereux (Lu 5674 fois)

vivien · « **Réponse #60 le:** 05 mars 2024 à 16:30:12 »

Le protocole STIR-SHAKEN a pour but de bloquer les appels dont le numéro de téléphone affiché ne correspond pas au titulaire de la ligne.

C'est une obligation en France depuis le 25 juillet 2023, mais il y a visiblement un peu de retard (à cause d'Orange et Free si j'ai bien compris l'article de "En-Contact").

Bien sûr, il y a le risque de voir des opérateurs filou, qui authentifient des données incorrectes, mais je pense que jouer à ce jeu sera très dangereux, vu que l'on devrait pouvoir remonter à l'opérateur qui a émis l'appel, à défaut de pouvoir identifier le client.

LOI n° 2020-901 du 24 juillet 2020 visant à encadrer le démarchage téléphonique et à lutter contre les appels frauduleux
(cliquez sur la miniature ci-dessous - le document est au format PDF)

vivien · « **Réponse #61 le:** 08 mars 2024 à 13:22:31 »

Selon les personnes que j'interroge, les avis divergent.

Le protocole Stir (Secure Telephone Identity Revisited) vise à prévenir les appels frauduleux en vérifiant l’identité téléphonique grâce à des signatures numériques et à des attestations d’identité transmises par SIP.

Le protocole Shaken (Signature-based Handling of Asserted information using toKENs) s’occupe de l’authentification des communications téléphoniques. Il vise à fournir une preuve tangible et fiable que l’appel provient réellement de l’identité de son émetteur.

STIR permet d’apporter une meilleure traçabilité des appels pour remonter à la source en utilisant un mécanisme d’authentification forte. Les appels disposent d’une attestation SHAKEN de niveau A, B ou C.
• L’opérateur d’origine est identifié, il est responsable de la signature et des informations qu’il transmet, ces dernières sont certifiées grâce à STIR ;
• L’opérateur d’origine est responsable de positionner un niveau d’attestation conforme aux définitions de la norme Extension Shaken et aux critères spécifiques définis entre les opérateurs ;
• Un appel avec un champ Identity absent ou mal constitué est coupé par l’opérateur de transit hors appels d’urgences et hors appels non-SIP ;
• Un appel non signé ou avec une signature invalide est coupé par l’opérateur de terminaison hors appels d’urgences et hors appels non-SIP ;
• Les appels attestés B ou C ne sont pas coupés, et ce tant que les solutions techniques ne permettent pas de traiter l’ensemble des cas d’usages existants sur le marché : les solutions techniques permettront au fil du temps de classer de plus en plus d’appels avec l’attestation A.

Un mécanisme de lutte contre l’usurpation vient compléter le mécanisme d’authentification.
• Les signalements permettent aux opérateurs d’alerter sur d’éventuels abus et de traquer les fraudeurs : l’opérateur d’origine, identifié par son certificat, devra apporter toute justification requise sur le niveau d’attestation en cas de signalement, permettant ainsi de remonter à l’opérateur ou à l’entreprise indélicat(e) ;
• Des métriques sur les niveaux d’attestation et sur les signalements avérés seront mises en place pour piloter le fonctionnement du mécanisme d’authentification et disposer d’éléments factuels pour le faire évoluer.

Source : Mode opératoire des incidents, signalements et métriques du MAN

STIR-SHAKEN n'est encore utilisé nulle part dans le monde pour bloquer les appels non authentifiés.

Si la phase de rodage de l’application du protocole Stir/Shaken a bien débuté le 30 juin 2023, le mécanisme de coupure n’est pas encore prêt pour bloquer des appels.

Les opérateurs ont établi et validé la mise en œuvre d’un dispositif sectoriel nommé programme MAN (Mécanismes d’Authentification des Numéros) :

(cliquez sur la miniature ci-dessous - le document est au format PDF)

vivien · « **Réponse #62 le:** 08 mars 2024 à 13:30:37 »

"Envoyé Spécial" le 29 février 2024 sur l'arnaque aux faux conseillers bancaires a interrogé les opérateurs :

Contactés, les opérateurs [Orange, Bouygues, SFR, Free] nous confient ne pas avoir trouvé de solution de technique viable pour couper les appels qui usurpent des numéros de téléphones.

De mon coté, j'ai compris que rien ne serait tenté avant la fin de JO 2024, le risque de couper des appels qui devraient passer étant élevé au début.

Bref, rendez-vous fin 2024 pour voir comment avance ce dossier brulant.

xp25 · « **Réponse #63 le:** 08 mars 2024 à 16:02:11 »

Une liste blanche mobile/fixe et basta.

Tu veux absolument joindre, tu laisses message.

Arcep n'a qu'à dire : au 1er Mai si pas de liste blanche, 1 milliards par jour de retard !

Tu vas voir comment ils vont tous trouver la solution pour mettre ça en place.

Commence à y en avoir ras le bol de leur gamineries, ouin ouin on sait pas faire c'est trop dur, ouin ouin faut nous laisser 6 ans et revoir 50x le cahier des charges avec des réunions de 6h à rien faire payées sur le dos des clients qu'ils méprisent !

C'est quoi ça, dans n'importe quel pays on passe aux menaces quand les acteurs d'un secteur font semblant de ne pas voir le problème qui pèse sur leurs clients.

vivien · « **Réponse #64 le:** 08 mars 2024 à 16:31:17 »

Certains acteurs ont des doutes sur le fait qu'il soit possible d'authentifier tous les appels et de bloquer les appels non authentifiés.

Ce sera une première mondiale si le blocage est mis en place (c'est déjà en place aux États unis et au Canada, mais sans blocage).

Je pense que la pression sur les opérateurs va venir des banques, si elles doivent rembourser les clients (aujourd'hui les clients sont rarement remboursés, les banques évoquant la faute de leur client).