12 Nov Il y a une solution au problème des appels téléphoniques non sollicités et des numéros usurpés !
La confiance dans le numéro de téléphone a été laminée par la montée de la prospection téléphonique non sollicitée et des usurpations de numéros. L’ARCEP a pris quelques mesures à ce propos, en confiant le sujet aux opérateurs sans exiger d’eux de résoudre le problème en temps réel. La DGCCRF pilote un groupe de travail du CNC (Conseil national de la consommation) qui doit se positionner sur l’opt-in des consommateurs en matière de prospection téléphonique. Mais rien n’est fait en France pour tuer le problème dans l’œuf, c’est à dire lors de l’établissement d’appel. Pourtant, il existe une technologie, qui fait l’objet d’un développement ultra-rapide et d’une adoption massive aux Etats-Unis. Il s’agit de la suite de protocoles IETF Stir / Shaken.
Stir veut dire Secure Telephony Identity Revisited et Shaken Secure Handling of Asserted information using toKENs.
Comment fonctionne Shaken ? Un appel de voix sur IP (SIP INVITE) est reçu par un opérateur téléphonique. Celui-ci authentifie l’appelant, crée une en-tête d’identité SIP (SIP Identity Header), qui comprend le numéro de l’appelant, celui de l’appelé, le jour et l’heure, une attestation et un identifiant unique, avant de transmettre l’appel muni de ce certificat de sécurité à l’opérateur de l’appelé. Ce dernier vérifie que le certificat de sécurité reçu est bien authentique, avant de transmettre l’appel à l’appelé.
Stir et Shaken sont une technologie, qui permet de vérifier la légitimité du numéro appelant. Une technologie ne suffit pas à assurer une fonction de sécurité. Il faut une doctrine d’emploi coordonné de cette technologie entre les acteurs responsables que sont les opérateurs de communications électroniques. Cette doctrine d’emploi est mise au point aux Etats-Unis au sein de l’ATIS, Alliance for Telecommunications Industry Solutions (atis.org) qui a mis à la disposition des opérateurs américains un banc d’essai de Stir et Shaken. Pour que les opérateurs fassent en même temps quelque chose, il n’y a qu’un seul moyen : que le législateur ou le régulateur le leur impose ou les enjoignent de le faire. C’est ce qu’a fait la FCC (Federal Communication Commission), régulateur américain des télécommunications au niveau fédéral.
Si je tape « Stir Shaken USA » sur Google, je vois apparaitre les noms d’ATT, de Verizon et de toute l’industrie américaine de la cybersécurité, avec un soutien très fort de la FCC. Si je tape « Stir Shaken France », il n’est question que de recettes de cocktails.
Ce post est un appel à créer un groupe d’intérêt sur Stir et Shaken en France, afin d’orienter opérateurs, industriels et régulateur vers une solution organisationnelle et technique à l’échelle du problème des appels non sollicités.
Emmanuel Tricaud
et@etu-etc.com