Auteur Sujet: MAN (Mécanisme d'Authentification des Numéros) pour bloquer l'usurpation de N° (Lu 6566 fois)

vivien · « **le:** 05 mars 2024 à 13:45:52 »

MAN (Mécanisme d'Authentification des Numéros) qui utilise le protocole STIR-SHAKEN pour bloquer l'usurpation des numéros de téléphone

L'Arcep raconte - MAN : la lutte contre les appels frauduleux franchit une nouvelle étape

Adoptée en 2020, la loi Naegelen visant à encadrer le démarchage téléphonique et à lutter contre les appels frauduleux a imposé plusieurs nouvelles obligations et outils, dont la mise en œuvre sera pleinement effective cette année. Parmi eux, l’obligation pour les opérateurs de vérifier que les numéros appelants affichés soient authentifiés et d’interrompre automatiquement les appels de ceux qui ne le seraient pas. Pour cela, les opérateurs ont mis au point un dispositif appelé Mécanisme d’Authentification du Numéro (MAN).

« Le MAN rehausse le niveau du standard technique d’échanges des appels entre opérateurs, à la manière de l’adoption généralisée du “https” sur le web, explique Olivier Delclos, directeur “Internet, données, presse, postes et utilisateurs” de l’Arcep. Il ne va pas empêcher tous les abus et fraudes commis par téléphone, mais c’est une première brique de sécurité pour augmenter la protection des utilisateurs, qui va permettre de limiter les nuisances induites par les usurpations de numéro les plus grossières. »

Depuis 2020, les opérateurs travaillent, accompagnés de l’Arcep, à définir les spécifications techniques du MAN et à le déployer sur leurs réseaux. Un défi qu’une poignée de pays seulement a relevé. La France est même actuellement le seul à avoir l'ambition de couper automatiquement les appels mal ou non authentifiés.

L’activation du MAN avec interruption automatique des appels non authentifiés sera totalement effective le 1er octobre 2024, comme l’a annoncé la FFT dans son calendrier.

« Ce chantier est inédit pour les opérateurs de téléphonie, par son ampleur et son calendrier, complète Olivier Delclos. Les interconnexions téléphoniques (les liaisons qui permettent aux clients d’un opérateur de joindre les clients d’autres opérateurs) ont notamment toutes dû être mises à jour. Pour tous les opérateurs, petits comme gros, la mise en place du MAN constitue un défi technique de taille. »
Source : Arcep

Alain Bieuzent, directeur des opérations de Manifone explique en quoi consiste cette authentification sur En-Contact, le journal professionnel du service client.

Si je comprends bien, l'obligation de couper les appels non authentifiés aurait été suspendu, car deux grands opérateurs (dont le nom est donné en fin d'article) sont en retard.

Le groupe de travail constitué de L’APNF et une dizaine d’acteurs représentant les opérateurs télécom (Orange, SFR, Bouygues Telecom, Free, Colt, Verizon, Manifone, IPDirections, Odigo) a défini les spécifications détaillées devant être mises en place par l’ensemble des opérateurs français.

Sous l’acronyme : MAN (Mécanisme d’authentification des numéros), est donc défini l’ensemble des règles techniques devant être mises en application le 24 juillet 2023.

Le MAN après avoir étudié plusieurs solutions techniques, a décidé d’utiliser le protocole STIR-SHAKEN déjà en place aux États unis et au Canada, mais sous une forme légèrement différente.

Techniquement comment fonctionne STIR-SHAKEN ?

Ce protocole permet la transmission d’un certificat numérique identifiant l’opérateur d’origine de chaque appel émis.
Il permet aussi d’ajouter des informations concernant l’appel et notamment, le numéro appelé, le numéro appelant, la date de l’appel et le niveau d’attestation. Le niveau d’attestation est le niveau d’identification de l’émetteur de l’appel. Pour faire simple, si le numéro affiché par le particulier ou la société lui a été affecté par l’opérateur utilisé pour l’émission de l’appel, le niveau d’attestation est maximal (attestation A).
La concaténation du certificat et des données de l’appel constitue la signature de l’appel.
Cette signature doit être émise par l’opérateur de l’émetteur de l’appel puis elle sera vérifiée tout au long de l’acheminement de l’appel.
Lorsqu’un opérateur reçoit un appel pour un de ses abonnés, celui-ci a pour obligation de vérifier la présence de la signature, décoder la signature, vérifier que le certificat est correct et actif et vérifier que les données d’appel correspondent bien à l’appel en cours.
Si toutes ces conditions ne sont pas remplies, l’appel doit être rejeté. Ainsi, un appel ne présentant pas toutes les garanties d’authentification n’est pas censé atteindre son destinataire.

Quels sont les acteurs concernés par cette obligation ?

Seuls les opérateurs télécom opérant sur le marché français disposant de ressources en numérotation (des numéros de téléphone pour lesquels ils sont attributaires) ont l’obligation de respecter le programme MAN.

Est-ce que tous les appels sont concernés ?

L’ensemble des appels émis à destination de la France métropolitaine et des DOM/TOM sont concernés par le dispositif.
Les appels émis à destination des autres pays ne sont pas concernés même s’ils affichent un numéro d’appelant français.

Mon activité de démarchage téléphonique est-elle concernée ? est-ce que mes appels ont plus de risque d’être rejetés ?

Vous n’êtes pas directement concerné par le MAN, mais vous devez vous assurer que votre/vos opérateur(s) téléphonique(s) ont la capacité de signer vos appels correctement sous peine de voir l’ensemble de vos appels rejetés. Le programme MAN ne prévoit pas de distinction de « type » ou « raison » d’appel. Il n’y a donc aucun moyen technique pour un opérateur de distinguer les appels de prospection téléphonique d’autres types d’appels et d’appliquer des règles de rejet différentes. Le programme MAN prévoit des règles très encadrées de rejets d’appels. Un opérateur tenté de mettre en place des règles différentes pourrait être poursuivi.

Le protocole permet de gérer un niveau d’attestation, est-ce que mes appels de démarchage auront un niveau d’attestation plus bas que les autres ?
Non, le niveau d’attestation est défini par des règles techniques précises basées sur le numéro d’appelant que vous allez utiliser pour émettre vos appels et non sur le type d’activité.

À partir de quand les appels non authentifiés seront-ils réellement coupés ?

Le texte de loi prévoyait une coupure des appels dès le 24 juillet 2023. Devant les difficultés techniques de certains opérateurs à mettre en place le dispositif, il semblerait que nous vivions actuellement une période de grâce pour permettre aux retardataires de se mettre en conformité. La coupure des appels non-authentifiés pourrait avoir lieu à tout moment.

Est-ce que Manifone est conforme au programme MAN ?

Manifone signe et vérifie les appels émis et reçus par ses clients depuis le 24 juillet 2023"

Pour en savoir plus et savoir comment identifier l’opérateur télécom le plus efficace, le plus borderline, le plus filou, demandez le Bottin du service et de l’expérience client. Legos et Transatel, par exemple, ont été mis en demeure en 2022 par l'ARCEP, le gendarme des télécoms. Colt ne serait pas exempt de laisser lui aussi passer du trafic télécom peu vérifié, selon les témoignages d'ESN et d'officines chargées, notamment dans le monde bancaire, de démasquer les escrocs.

Passée presque inaperçue, cette nouvelle règlementation constitue un véritable tournant dans la lutte contre les appels frauduleux (les call-center scam) Ces fraudes sont si nombreuses aux USA qu'un blog et une équipe dédiée, dirigée par Karl Rice, dit Karl Rock, se sont érigés en justiciers bénévoles. Avec Anti-Scam Call Center, ils démasquent les call-centers à l'origine de ces fraudes, qui sont souvent indiens et les font fermer. L'émission, diffusée sur les réseaux sociaux qui est.. plus suivie que TPMP en France.

Mais bon nombre d'opérateurs télécom ne sont pas encore en conformité avec la loi, car les démarches techniques, modifications de process à opérer sont complexes. Parmi les 4 grands français, Orange, SFR, Bouygues Télécom, Free, seul Bouygues Télécom et SFR seraient en conformité. L'obligation, qui procède de ce protocole MAN, de couper les appels a donc été temporairement suspendue. Il y aurait presque une prime aux retardataires ?

Source : En-Contact, le 21 novembre 2023.

vivien · « **Réponse #1 le:** 05 mars 2024 à 14:02:17 »

Le filtre anti-arnaque français n'est pas oublié. Il sera mis en place avant les jeux olympiques.

La cible N°1 est d'empêcher les arnaques par SMS en bloquant les liens utilisés par ces SMS qui font du pishing pour récupérer vos coordonnées bancaires.

vivien · « **Réponse #2 le:** 05 mars 2024 à 14:13:14 »

Arnaque aux faux conseillers bancaires

Vous avez peut-être regardé sur France 2 "Envoyé Spécial" le 29 février 2024 sur l'arnaque aux faux conseillers bancaires :

Un reportage de Julien Duponchel, Cyril Théophilos et Adrien Mellot Vous les avez probablement déjà reçus sur votre téléphone, des SMS qui vous demandent de renouveler votre carte vitale, de payer une amende ou de régler des frais postaux. Ces faux messages officiels sont en réalité le point de départ d’une gigantesque arnaque. Le piège est redoutable, en cliquant sur ces messages vous allez transmettre vos coordonnées et numéros de cartes bleues à des escrocs qui vont vous rappeler en se faisant passer pour votre banque. En 2022, 18 millions de Français se sont fait avoir pour un préjudice total d’au moins 340 millions d’euros. Une équipe d’Envoyé spécial s’est infiltrée dans ce réseau extrêmement bien organisé qui réunit des dizaines de milliers de jeunes partout en France. Ne ratez pas notre enquête, vous êtes peut-être leur prochaine victime !

Le replay est disponible sur https://www.france.tv/france-2/envoye-special/5769546-arnaque-aux-faux-conseillers-bancaires.html

En voici un extrait :
On voit bien qu'on peut facilement usurperer le numéro de téléphone fixe ou mobile de 'n'importe qui.

Ce qui me pose un problème avec ce reportage, c'est que depuis le 25 juillet 2023, les opérateurs ont l’obligation légale d’authentifier le numéro d’appelant (inscrite dans la loi n° 2020-901 du 24 juillet 2020)

LOI n° 2020-901 du 24 juillet 2020 visant à encadrer le démarchage téléphonique et à lutter contre les appels frauduleux
(cliquez sur la miniature ci-dessous - le document est au format PDF)

L’opérateur au départ de l’appel ou du message doit s’assurer de la légitimité de son client à afficher un numéro d’appelant et authentifier techniquement cette information. Cette information d’authentification doit être vérifiée par les opérateurs qui acheminent ces appels et messages jusqu’au destinataire. Dans le cas où cette information n’est pas présente ou incorrecte, ils sont tenus de couper la communication.

Au niveau du terminal de l’utilisateur, il n’existe ainsi aucune obligation légale d’afficher le nom de l’entreprise. Cependant, rien ne s’oppose à ce que les acteurs du secteur étudient la possibilité technique d’associer, de manière fiable, à ce numéro authentifié, un nom ou la raison de l’appel et de le faire transiter dans les réseaux des opérateurs, indépendamment de toute application.

Source : Arcep

trekker92 · « **Réponse #3 le:** 05 mars 2024 à 14:31:19 »

Citation de: vivien le 05 mars 2024 à 14:13:14

En 2022, 18 millions de Français se sont fait avoir pour un préjudice total d’au moins 340 millions d’euros. Une équipe d’Envoyé spécial s’est infiltrée dans ce réseau extrêmement bien organisé qui réunit des dizaines de milliers de jeunes partout en France. Ne ratez pas notre enquête, vous êtes peut-être leur prochaine victime !

18 millions de français.. source?

Sinon, les dégâts :
https://lafibre.info/bistro-sujet-libre/faux-conseillers-ils-sont-nombreux-un-bagout-de-dingue-pour-vos-ptits-sous/

Le jour où la téléphonie (fixe&mobile) rendra obligatoire le titulaire de la ligne dans le champ clip-id pour éviter de se trimballer un répertoire..

PDuke · « **Réponse #4 le:** 05 mars 2024 à 14:40:25 »

Citation de: trekker92 le 05 mars 2024 à 14:31:19

le jour où la téléphonie (fixe&mobile) rendra obligatoire le titulaire de la ligne dans le champ clip-id pour éviter de se trimballer un répertoire..

C'est à dire ? Tu voudrais connaitre le numéro de tel de quelqu'un juste en connaissant son nom ?

Je ne suis pas sur d'avoir bien compris si tu peux développer pour les ignares ;-)

trekker92 · « **Réponse #5 le:** 05 mars 2024 à 15:48:26 »

Non.
j'aurais du approfondir par une explication :
le clip-id est mis en place par l'équipement de téléphonie, pour transmettre lors de la communication le numéro appelant.

eg :
Le numéro affiché (le CLIP / Calling Line Identification Presentation) est celui que tu veux faire afficher, il n'y a aucune vérification ni validation d'aucune sorte, on peut mettre ce qu'on veut, il est positionné par l'appelant (qui a la maitrise de son switch voix/VoIP). On y met ce qu'on veut et ça n'a aucune valeur, c'est un champ «user provided, not verified».

Bien sûr dans le cas des particuliers avec leur poste analogique (y compris via une box), c'est l'opérateur de l'abonné appelant qui place la bonne valeur dans ce champ dans la signalisation (et qui correspondra bien au «vrai» numéro de l'appelant).
Edit: évidement c'est pareil avec un portable/GSM (qui est totalement numérique, mais qui ne laisse pas le client accéder au CLI).

Le vrai numéro de la ligne appelante est effectivement placé par l'opérateur mais dans un autre champ (le Calling Party Number, crois-je me souvenir), inaccessible de l'extérieur (ce n'est pas celui-là qui s'affiche).

Source : https://en.wikipedia.org/wiki/Caller_ID_spoofing

c'est en gros ce qu'utilisent les institutions, services privés, services public, pour afficher un numéro générique lors d'un appel sortant.
par ex, pole emploi ou la sncf te joignent toujours avec un numéro générique, qui est utilisé sur autant de communications parallèles que nécessaire.

l'idée aurait été, au lieu d'avoir le numéro, d'avoir directement le titulaire de l'organisme qui s'affiche, de manière à savoir qui est l'appelant avant meme d'avoir décroché (et que celui-ci soit identique au nom administratif du titulaire de la ligne)

vivien · « **Réponse #6 le:** 05 mars 2024 à 16:30:12 »

Le protocole STIR-SHAKEN a pour but de bloquer les appels dont le numéro de téléphone affiché ne correspond pas au titulaire de la ligne.

C'est une obligation en France depuis le 25 juillet 2023, mais il y a visiblement un peu de retard (à cause d'Orange et Free si j'ai bien compris l'article de "En-Contact").

Bien sûr, il y a le risque de voir des opérateurs filou, qui authentifient des données incorrectes, mais je pense que jouer à ce jeu sera très dangereux, vu que l'on devrait pouvoir remonter à l'opérateur qui a émis l'appel, à défaut de pouvoir identifier le client.

LOI n° 2020-901 du 24 juillet 2020 visant à encadrer le démarchage téléphonique et à lutter contre les appels frauduleux
(cliquez sur la miniature ci-dessous - le document est au format PDF)

vivien · « **Réponse #7 le:** 08 mars 2024 à 13:22:31 »

Selon les personnes que j'interroge, les avis divergent.

Le protocole Stir (Secure Telephone Identity Revisited) vise à prévenir les appels frauduleux en vérifiant l’identité téléphonique grâce à des signatures numériques et à des attestations d’identité transmises par SIP.

Le protocole Shaken (Signature-based Handling of Asserted information using toKENs) s’occupe de l’authentification des communications téléphoniques. Il vise à fournir une preuve tangible et fiable que l’appel provient réellement de l’identité de son émetteur.

STIR permet d’apporter une meilleure traçabilité des appels pour remonter à la source en utilisant un mécanisme d’authentification forte. Les appels disposent d’une attestation SHAKEN de niveau A, B ou C.
• L’opérateur d’origine est identifié, il est responsable de la signature et des informations qu’il transmet, ces dernières sont certifiées grâce à STIR ;
• L’opérateur d’origine est responsable de positionner un niveau d’attestation conforme aux définitions de la norme Extension Shaken et aux critères spécifiques définis entre les opérateurs ;
• Un appel avec un champ Identity absent ou mal constitué est coupé par l’opérateur de transit hors appels d’urgences et hors appels non-SIP ;
• Un appel non signé ou avec une signature invalide est coupé par l’opérateur de terminaison hors appels d’urgences et hors appels non-SIP ;
• Les appels attestés B ou C ne sont pas coupés, et ce tant que les solutions techniques ne permettent pas de traiter l’ensemble des cas d’usages existants sur le marché : les solutions techniques permettront au fil du temps de classer de plus en plus d’appels avec l’attestation A.

Un mécanisme de lutte contre l’usurpation vient compléter le mécanisme d’authentification.
• Les signalements permettent aux opérateurs d’alerter sur d’éventuels abus et de traquer les fraudeurs : l’opérateur d’origine, identifié par son certificat, devra apporter toute justification requise sur le niveau d’attestation en cas de signalement, permettant ainsi de remonter à l’opérateur ou à l’entreprise indélicat(e) ;
• Des métriques sur les niveaux d’attestation et sur les signalements avérés seront mises en place pour piloter le fonctionnement du mécanisme d’authentification et disposer d’éléments factuels pour le faire évoluer.

Source : Mode opératoire des incidents, signalements et métriques du MAN

STIR-SHAKEN n'est encore utilisé nulle part dans le monde pour bloquer les appels non authentifiés.

Si la phase de rodage de l’application du protocole Stir/Shaken a bien débuté le 30 juin 2023, le mécanisme de coupure n’est pas encore prêt pour bloquer des appels.

Les opérateurs ont établi et validé la mise en œuvre d’un dispositif sectoriel nommé programme MAN (Mécanismes d’Authentification des Numéros) :

(cliquez sur la miniature ci-dessous - le document est au format PDF)

vivien · « **Réponse #8 le:** 08 mars 2024 à 13:30:37 »

"Envoyé Spécial" le 29 février 2024 sur l'arnaque aux faux conseillers bancaires a interrogé les opérateurs :

Contactés, les opérateurs [Orange, Bouygues, SFR, Free] nous confient ne pas avoir trouvé de solution de technique viable pour couper les appels qui usurpent des numéros de téléphones.

De mon coté, j'ai compris que rien ne serait tenté avant la fin de JO 2024, le risque de couper des appels qui devraient passer étant élevé au début.

Bref, rendez-vous fin 2024 pour voir comment avance ce dossier brulant.

xp25 · « **Réponse #9 le:** 08 mars 2024 à 16:02:11 »

Une liste blanche mobile/fixe et basta.

Tu veux absolument joindre, tu laisses message.

Arcep n'a qu'à dire : au 1er Mai si pas de liste blanche, 1 milliards par jour de retard !

Tu vas voir comment ils vont tous trouver la solution pour mettre ça en place.

Commence à y en avoir ras le bol de leur gamineries, ouin ouin on sait pas faire c'est trop dur, ouin ouin faut nous laisser 6 ans et revoir 50x le cahier des charges avec des réunions de 6h à rien faire payées sur le dos des clients qu'ils méprisent !

C'est quoi ça, dans n'importe quel pays on passe aux menaces quand les acteurs d'un secteur font semblant de ne pas voir le problème qui pèse sur leurs clients.

vivien · « **Réponse #10 le:** 08 mars 2024 à 16:31:17 »

Certains acteurs ont des doutes sur le fait qu'il soit possible d'authentifier tous les appels et de bloquer les appels non authentifiés.

Ce sera une première mondiale si le blocage est mis en place (c'est déjà en place aux États unis et au Canada, mais sans blocage).

Je pense que la pression sur les opérateurs va venir des banques, si elles doivent rembourser les clients (aujourd'hui les clients sont rarement remboursés, les banques évoquant la faute de leur client).

rewe · « **Réponse #11 le:** 10 juin 2024 à 21:06:51 »

le problème n'est pas du tout le blocage des numéros **usurpés** mais des **tranches de numéros** assignées au démarchage, mille fois plus emmerdant!
YACB seule solution...