L'Arcep ne rigole plus : voici ses nouvelles mesures contre les appels frauduleux

L'Arcep ne rigole plus : voici ses nouvelles mesures contre les appels frauduleux
Maurine Briantais

Pour lutter contre les arnaques téléphoniques reposant sur l'usurpation de numéros, l'Arcep impose de nouvelles mesures aux opérateurs, notamment pour les appels provenant de l'étranger. De quoi en finir avec ce fléau ?

Depuis plusieurs années, les usurpations de numéros de téléphone se multiplient en France, malgré les dispositifs de sécurité déjà mis en place par les opérateurs – c'est ce qu'on appelle le spoofing. C'est bien simple, malgré toutes les mesures de protection mises en place, près de 18 000 signalements ont été effectués sur "J'alerte l'Arcep" depuis janvier 2025. Aussi, l'autorité qui régule les télécoms a publié, le 2 décembre, une nouvelle décision qui renforce ces protections. Elle s'appuie notamment sur la loi du 30 juin 2025 relative à la lutte contre les fraudes aux aides publiques. La majorité des nouvelles mesures entreront en vigueur le 1er janvier 2026.

Appels frauduleux :  masquer les numéros français non authentifiés provenant de l'international

Pour comprendre le problème, il faut revenir sur un premier dispositif mis en place en 2020. La loi de cette année-là a imposé l'authentification obligatoire du numéro d'appelant. Chaque opérateur doit vérifier que le numéro présenté par son client lui appartient vraiment grâce au mécanisme d'authentification du numéro d'appelant (MAN) – qui repose notamment sur la technologie STIR/SHAKEN – et couper les appels non authentifiés. Cette méthode a permis de grandement améliorer la traçabilité des appels frauduleux. Toutefois, ce système reste partiellement contournable, notamment depuis l'étranger. 

En effet, l'un des points faibles identifiés par l'Arcep concerne les appels internationaux. De nombreuses fraudes proviennent de l'étranger en utilisant de faux numéros mobiles français. Or, les opérateurs ne peuvent pas toujours les distinguer des appels légitimes que les abonnés français émettent lorsqu'ils sont en itinérance. S'ils ont bien les outils techniques pour authentifier les numéros de leurs abonnés quand ceux-ci voyagent, il faut du temps pour les généraliser – les nouveaux protocoles d'authentification devraient couvrir plus de 80 % des appels en itinérance d'ici à 2026. Aussi, en attendant, l'Arcep impose aux opérateurs de masquer tout numéro mobile français non authentifié lorsqu'un appel vient de l'international.

Sur le téléphone du destinataire, l'appel apparaîtra en "numéro masqué". Cela ne signifie pas forcément qu'il s'agit d'une tentative frauduleuse : cela peut aussi être un appel légitime dont l'identification n'a pas pu être transmise pour des raisons techniques. Cette mesure vise surtout à éviter qu'un numéro usurpé n'apparaisse comme authentique. Elle sera appliquée dès le 1er janvier 2026, sauf à Saint-Martin où elle arrivera en 2028.

Appels frauduleux : un meilleur contrôle des numéros autorisés

Mais l'Arcep ne s'arrête pas là. Une des limites du mécanisme MAN est que les technologies vieillissantes, comme le Réseau Téléphonique Commuté (RTC) ou les réseaux mobiles 2G et 3G par exemple, ne gèrent pas le protocole STIR/SHAKEN, ce qui empêche la transmission correcte des informations d'authentification, notamment lors de renvois d'appels. Une faiblesse qui peut tout à fait être exploitée par des fraudeurs expérimentés. Aussi, l'autorité recommande de masquer aussi les numéros dans ces situations. Les opérateurs devront cependant conserver la trace de l'appel d'origine, expliquer les raisons du masquage et l'informer des actions mises en place pour résoudre les problèmes techniques.

Autre mesure pour éviter les abus : l'Arcep impose désormais aux opérateurs d'ajouter dans les contrats la liste des numéros que le client peut utiliser. Techniquement, le client ne pourra plus afficher un numéro qui n'est pas inscrit dans ce contrat. L'autorité met également en œuvre une disposition de la loi contre les fraudes aux aides publiques du 30 juin 2025, qui demande la création de numéros "consacrés aux appels et messages concourant à un objectif d'intérêt général", qui seront affectés à des organisations de confiance désignées par un arrêté ministériel. Cela concerne, par exemple, certaines alertes ou notifications publiques.

Enfin, le régulateur impose aux opérateurs de ne pas réattribuer un numéro à un autre utilisateur final avant un délai minimum de 45 jours lorsque la résiliation a été effectuée à son initiative. Ce délai doit permettre à l'abonné concerné de demander la récupération de son numéro résilié avant qu'il ne soit réutilisé par quelqu'un d'autre.