Arnaque bancaire téléphonique, la fin du spoofing à l’automne ?

Posted On 13 Fév 2024

Tag: SHAKEN STIR, spoofing phone, usurpation téléphonique

Souvenez-vous. Nous sommes en 2018. ZATAZ vous expliquait la consultation publique mise en place par le gendarme des télécoms, l’ARCEP. En mai 2018, l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse lançait cette consultation pour réviser le système d’attribution et d’utilisation des numéros de téléphone, dans l’optique de contrer les abus et les fraudes.

Cette initiative de l’ARCEP incluait notamment la régulation de la modification des identifiants d’appelant, pratique qui, malgré ses avantages pour le service client des entreprises, facilite l’usurpation d’identité téléphonique. Une modification que je vous présentais, il y a peu, dans le journal de RTL [écouter ci-dessous].

En 2018, l’Arcep préconisait un ensemble de mesures destinées à encadrer l’utilisation des numéros de téléphone et émettait des recommandations spécifiques aux opérateurs. Celles-ci portaient sur l’adoption de dispositifs techniques permettant de bloquer immédiatement les appels et messages issus de numéros frauduleux. La complexité des cadres juridiques de l’époque rendait la mise en œuvre de ces blocages particulièrement ardue, soulignant l’importance de ces nouvelles directives.

Recevez gratuitement, le samedi, PAR MAIL LES ACTUS ZATAZ de la semaine écoulée.

Déjà, à l’époque, ZATAZ alertait sur l’usurpation d’identifiants d’appelant pouvant prendre plusieurs formes : du swatting malintentionné à des fins d’escroquerie plus sophistiquées. Cette pratique peut également servir à orchestrer des attaques de type DDoS téléphonique (TDoS), perturbant gravement les services d’urgence comme nous avons pu le voir, il y a quelques mois. En 2014, je vous montrais des attaques qui n’ont jamais cessées depuis.

Technologie Shaken/STIR

L’initiative de l’Arcep, appuyée par des technologies d’authentification avancées comme SHAKEN/STIR, marquait un pas important vers la sécurisation des communications téléphoniques. Elle suivait les actions menées par les autorités américaines et canadiennes pour lutter contre l’usurpation téléphonique.

En 2020, la loi Naegelen est votée. Il faudra attendre 4 ans supplémentaires pour voir apparaitre les premières actions. Ce blocage doit être mis en place à l’automne 2024. La hausse des fraudes téléphoniques bancaires, dite technique « Allô », mais aussi les FoVI ou autres TDoS ne pouvaient plus laisser indifférentes les instances politiques.

Romain Bonenfant, directeur général de la Fédération française des télécoms, dans une interview accordée au Parisien le 8 février 2024 est revenu sur cette « nouvelle réglementation« . Il a confirmé qu’elle allait rendre impossible l’usurpation des numéros de téléphone à dix chiffres appartenant, aux banques. La mise en œuvre de STIR/SHAKEN nécessite la coopération entre les opérateurs de télécommunication, les fournisseurs de services téléphoniques et les régulateurs. Aux États-Unis, la Federal Communications Commission (FCC) a mandaté l’adoption de STIR/SHAKEN par les opérateurs de téléphonie pour lutter contre les appels indésirables et la fraude téléphonique [Exemples de fraudes vécues en France, en 2024 dans la vidéo ci-dessous].

Adoptée en 2020, la loi Naegelen vise principalement à éradiquer le démarchage téléphonique abusif. Elle exige des opérateurs téléphoniques l’implémentation d’un système d’authentification des numéros, assorti d’une interruption systématique des appels non authentifiés. Les opérateurs sont tenus de s’assurer de la légitimité des numéros utilisés conformément au cadre réglementaire de l’ARCEP. Le déploiement de cette technologie, basée sur le protocole Stir/Shaken américain, est en cours. L’interviewé indique qu’elle sera effective à l’automne.

ABONNEZ-VOUS À NOS ACTUS VIA GOOGLE NEWS.

STIR et SHAKEN sont sur un bateau, lequel dit « Allô » ?

Cette initiative ne viendra pas à bout de toutes les formes d’usurpation d’identité [Exemple en vidéo ici]. Bonenfant, évoquant l’exemple des États-Unis où un dispositif analogue a été mis en place sans entraîner de coupure d’appels, insiste sur la nécessité d’une collaboration étroite entre tous les acteurs concernés. Le protocole Stir/Shaken est conçu pour contrer le « spoofing », l’usurpation de numéros existant. Néanmoins, les pirates pourront toujours vous contacter avec un autre numéro de téléphone.

STIR (Secure Telephone Identity Revisited) et SHAKEN (Signature-based Handling of Asserted information using toKENs) sont des protocoles de télécommunication conçus pour combattre le problème de l’usurpation d’identité d’appelant et du « spoofing » de numéro. Ces protocoles travaillent ensemble pour authentifier les appels téléphoniques passés sur les réseaux de télécommunication, visant à restaurer la confiance dans l’identité de l’appelant affichée aux destinataires des appels.

Comment fonctionnent STIR/SHAKEN ?

Authentification (STIR): Lorsqu’un appel est initié, l’opérateur de l’appelant (ou le service d’origine) utilise STIR pour créer un « token » numérique (ou certificat) qui atteste de l’authenticité du numéro de l’appelant. Ce certificat contient des informations sur l’identité de l’appelant qui sont cryptographiquement signées, empêchant ainsi leur altération.

Vérification (SHAKEN): Lorsque l’appel est reçu, l’opérateur du destinataire (ou le service de destination) utilise SHAKEN pour vérifier le certificat attaché à l’appel. Si la signature numérique est validée, cela confirme que l’identité de l’appelant n’a pas été falsifiée pendant le transit.

Transmission au destinataire: Après la vérification, l’information sur l’authenticité de l’appelant est transmise au destinataire, souvent sous forme d’indicateur visuel sur l’écran de l’appareil, permettant ainsi au destinataire de savoir si l’appel est authentique ou suspect.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.