STIR/SHAKEN : l'arme absolue contre les arnaques téléphoniques ?

À partir du 25 juillet 2023, pour lutter contre les arnaques téléphoniques, les opérateurs français devront implanter la technologie STIR/SHAKEN permettant de bloquer les appels non authentifiés. Une mesure louable mais difficile à mettre en place.

Les arnaques par téléphone sont une véritable plaie. La technique la plus en vogue aujourd'hui est celle dite du vishing – contraction de voice et de phishing –, qui consiste à faire apparaitre un faux numéro entrant afin detromper le destinataire, les escrocs et les spammeurs disposant de moyens évolués pour modifier les numéros qui s'affichent. C'est cette astuce qui leur permet d'usurper l'identité d'organismes officiels, comme la Banque de France, la CNIL ou encore d'un conseiller bancaire, afin de soustraire des informations personnelles et sensibles à leurs victimes, qui croient avoir affaire à un interlocuteur légitime. Droit au CPF, étiquettes Crit'Air… On ne compte plus les escroqueries récentes qui reposent cette méthode détestable. Une pratique qui s'ajoute au démarchage commercial classique, et qui incite de nombreux usagers à ne plus décrocher leur téléphone quand ils reçoivent un appel d'un numéro qu'ils ne connaissent pas. 

STIR/SHAKEN : l'arme absolue contre les appels frauduleux ?

C'est précisément pour lutter contre ce type d'appels frauduleux qu'a été développée la technologie STIR/SHAKEN, un ensemble de protocoles permettant d'authentifier des appels entrants et de limiter les usurpations d'identité. La bonne nouvelle, c'est que les opérateurs téléphoniques français seront obligés d'implanter ce système d'identification dès le 25 juillet 2023. Et qu'il devront systématiquement bloquer les appels non authentifiés afin de protéger les usagers des arnaques par vishing. Une mesure appréciable, mais qui va, en pratique, se heurter à plusieurs écueils.

Cette mesure "révolutionnaire" découle directement de la loi Naegelen, adoptée en 2020, qui vise à encadrer le démarchage téléphonique et à lutter contre les appels frauduleux. D'après l'article L44, "lorsque le dispositif d'authentification [ndlr : il s'agit du protocole STIR/SHAKEN] n'est pas utilisé ou qu'il ne permet pas de confirmer l'authenticité d'un appel ou message destiné à l'un de ses clients utilisateurs finals ou transitant par son réseau, l'opérateur interrompt l'acheminement de l'appel ou du message". Dans le cas où les opérateurs ne se soumettraient pas à cette obligation, l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (Arcep) sera en mesure de les sanctionner. Une belle avancée sur le papier, mais difficile à mettre en place, surtout dans le temps imparti…

STIR : un protocole pour vérifier l'identité téléphonique

La technologie STIR/SHAKEN permet de mieux prévenir le vishing en ajoutant de nouvelles étapes de vérification au processus d'identification de l'appelant. Les deux protocoles fonctionnent de façon combinée et complémentaire. STIR (Secure Telephone Identity Revisited, soit "identité téléphonique sécurisée revisitée" français) vise à prévenir les appels frauduleux utilisant la technologie VoIP, en vérifiant l'identité téléphonique grâce à des signatures numériques et à des attestations d'identité. Pour faire simple, chaque appel dispose d'une attestation d'identité, qui est l'association d'une signature numérique au numéro de téléphone de l'appelant. Cette signature, qui est une sorte de certification numérique, est créée par le fournisseur de services téléphoniques de l'appelant, qui l'ajoute à l'entête dit SIP d'un appel. Cela lui permet de vérifier si le numéro de téléphone affiché lors de la communication est authentique ou s'il a été falsifié. S'il est authentique, l'appelant est considéré comme légitime et l'identifiant d'appelant est confirmé. Si l'attestation d'identité échoue ou si aucune attestation n'est fournie, cela peut être un signe que le numéro de téléphone a été falsifié..

SHAKEN : une procédure pour vérifier l'authenticité et la fiabilité des appels

Si STIR vise à vérifier l'identité téléphonique, le protocole SHAKEN (Signature-based Handling of Asserted information using toKENs, soit "gestion basée sur des signatures de l'information affirmée à l'aide de jetons" en français) s'occupe de l'authentification des communications téléphoniques. Il vise à fournir une preuve tangible et fiable que l'appel provient réellement de l'identité qu'il prétend être.

Chaque appel téléphonique possède un token (un jeton) qui lui est propre et qui contient les informations sur l'appel, comme l'identité de l'appelant ou l'heure de l'appel. Ce tocken est délivré par le fournisseur de services téléphoniques de l'appelant. Lorsque l'appel est acheminé à travers le réseau téléphonique, le jeton est également transmis à l'opérateur du destinataire. Celui-ci peut alors vérifier son authenticité à l'aide de clés de sécurité spéciales, afin de confirmer que l'appel provient bien de l'identité prétendue. Il évalue ensuite la fiabilité des appels selon différents niveaux de confiance, afin de prendre les mesures appropriées.

Une authentification de niveau A est complète et signifie que l'opérateur certifie que l'appelant est autorisé à utiliser le numéro fourni par la communication SIP. Une authentification de niveau B est partielle et signifie que l'opérateur certifie la terminaison à l'origine de l'appel, mais ne peut pas vérifier si l'appelant est autorisé à passer des appels à partir de ce numéro. Enfin, une authentification de niveau C signifie que l'opérateur de l'appelant ne peut certifier que le point de réception de l'appel, sans pouvoir lui-même certifier la source. Ce sont les appels avec une certification  C qui doivent être interrompus. Notons que cela peut poser un problème avec les appels à l'international, puisque les opérateurs étrangers ne sont pas soumis à la législation, et ne sont donc pas obligés de certifier les communications téléphoniques.

STIR/SHAKEN : un protocole difficile à mettre en place

La législation française impose donc aux opérateurs d'authentifier tous les appels téléphoniques – à l'émission – et de vérifier – à la réception – qu'ils sont tous authentiques grâce au protocole STIR/SHAKEN. Si l'authentification n'est pas totale, les services de téléphonie devront, en principe, interrompre l'appel. Il y a toutefois un petit hic : la loi ne prévoit pas d'exception pour les technologies vieillissantes, comme le Réseau Téléphonique Commuté (RTC) ou les réseaux mobiles 2G et 3G par exemple, qui ne gèrent pas le protocole STIR/SHAKEN – même s'ils sont amenés à progressivement disparaître. De plus, cette technologie ne fonctionne que pour les appels VoIP. Par conséquent, ces réseaux n'assureront pas l'authentification et contreviendront donc à la loi.

En théorie, tous les opérateurs devront appliquer la procédure pour le 25 juillet 2023, mais la réalité industrielle est bien plus compliqué, et le mise en pratique de la loi risque d'être beaucoup plus progressive. En effet, cette procédure fait face à de nombreuses difficultés. Le processus d'authentification ne devrait pas poser trop de problèmes, c'est l'interruption qui va être plus délicate. Même si tous les opérateurs ont disposé de trois ans pour se mettre en conformité avec la loi, la tâche est plus ardue pour les petits opérateurs. De plus, certains acteurs des télécoms craignent un alourdissement de la législation, notamment au niveau de la libre concurrence, avec de plus en plus de mécanismes qui alourdissent le travail des opérateurs, comme nous l'explique Stanislas de Goriainoff, le CTO de Sewan.

STIR/SHAKEN : un déploiement plus long que prévu

Les délais d'application de la loi ne sont pas tenables, et la Fédération française des télécoms (FFT) a déjà indiqué que les appels non authentifiés ne seraient pas bloqués à partir du 25 juillet. Si ka phase de rodage de l'application du protocole STIR/SHAKEN a bien débuté le 30 juin, le mécanisme de coupure n'est pas encore prêt. De plus, la loi étant assez binaire – il faut soit authentifier l'appel, soit le bloquer –, la mise en application des procédures se fera de façon progressive, avec une phase d'observation.

Mais, concrètement, qu'est-ce qui va changer pour les utilisateurs à partir du 25 juillet ? Sur le court terme, strictement rien. En effet, dans un premier temps, les opérateurs se contenteront d'identifier et d’authentifier les appels sans rien bloquer. Il n'y aura donc pas d'effet "visible" sur le quotidien des Français. Sur le moyen terme en revanche, les appels qu'ils recevront seront préalablement filtrés – les numéros usurpés ne pourront plus être utilisés – et, par la suite, ils pourraient même avoir des informations sur les appels qui s'afficheront directement sur leur terminal. Notons que cela permettra également à la Direction générale de la concurrence, de la consommation et de la répression des fraude (DGCRCF) de remonter l'origine de l'appel et de sanctionner les arnaqueurs. Mais il s'agit avant tout d'un moyen pour les acteurs de la téléphonie de rétablir la confiance des usagers envers les appels, et ainsi de rattraper leur retard par rapport à des concurrents comme WhatsApp sur ce point.