11 Avr Authentification des numéros – Facteurs-clés de succès
aux USA, au Canada, en France et au Royaume-Uni. – 20240408
Il y a quatre ans, je publiais un post qui affirmait que l’approche américaine de l’authentification des numéros avait davantage de chances de réussir que l’approche française, car la loi américaine était beaucoup plus précise que la loi française, que son application était mieux suivie par le législateur et qu’elle donnait au régulateur des télécoms de beaucoup plus grands pouvoirs de prendre des mesures précises de mise en œuvre de cette technologie.
Il y a deux ans, je publiais un second post qui soulignait la stagnation américaine en matière d’adoption de STIR/Shaken et émettait des doutes quand à la capacité de la France à mettre en œuvre l’interruption des appels non authentifiés.
Aujourd’hui, la situation américaine en matière d’authentification des numéros a peu évolué, en dépit de l’extension de l’obligation de publier un plan contre les robocalls illégaux aux petits opérateurs. En revanche, avec un an de retard, la Fédération Française des Télécoms a publié un calendrier ferme de mise en œuvre de la signature des appels au 1er juin 2024 et d’interruption des appels non authentifiés au 1er octobre 2024. Mais quelle proportion des appels sera réellement concernée par ces entrées en service des mécanismes d’authentification ?
Pendant ce temps, le régulateur canadien lance une consultation publique pour renforcer les obligations de dépistage des appels importuns par les opérateurs, et le Royaume-Uni tourne le dos à l’authentification des numéros, préférant les mesures de filtrage des appels provenant de l’étranger et affichant des numéros britanniques, comme le fait la France depuis 2019.
En faisant l’hypothèse que les engagements des opérateurs français seront tenus, la France aura-t-elle accompli au 1er octobre 2024 un déploiement plus complet de l’authentification sur les réseaux fixes que les Etats-Unis ou le Canada, pourtant partis plus tôt dans la course ? Certains facteurs jouent clairement dans ce sens :
- Une loi plus ambitieuse (pas d’exemption à l’obligation d’authentifier pour les anciennes technologies, obligation d’interrompre les appels non authentifiés),
- Une quasi-extinction de l’interconnexion TDM pour les réseaux fixes, qui n’est plus la technologie de référence pour l’interconnexion fixe depuis 2011 en France,
- Une habitude des opérateurs français d’élaborer et de mettre en œuvre ensemble des solutions technologiques aux exigences réglementaires (portabilité, services à valeur ajoutée, localisation des appels d’urgence, …).
Pourtant, en matière de téléphonie mobile, les Etats-Unis sont dans une situation plus favorable que la France pour mettre en œuvre STIR/Shaken. Deux des trois grands réseaux mobiles américains (Verizon Wireless et T-Mobile) annoncent avoir mis en œuvre complètement STIR/Shaken, alors que le troisième, AT&T Mobility, en annonce une mise en œuvre partielle. En revanche, à l’interconnexion, les quatre réseaux mobiles français restent tous englués dans la technologie SIP-I, une émulation de la signalisation TDM dans une trame SIP. SIP-I, à la différence de SIP, ne supporte pas la technologie STIR/Shaken de l’authentification des numéros.
Enfin, la renonciation par l’Ofcom à imposer l’authentification des numéros au Royaume-Uni s’explique par le fait que la plupart des facteurs clés de succès de l’authentification ne sont pas présents au Royaume-Uni.
Tableau 1 – Facteurs-clés de succès du déploiement de l’authentification des numéros
USA | Canada | UK | France | |
Base de données commune des numéros portés | Oui | Oui | Non | Oui |
Adoption de la VoIP côté usagers | Forte | Forte | Faible | Forte |
Adoption de SIP côté interconnexion fixe | Faible | Faible | Faible | Forte |
Adoption de SIP côté interconnexion mobile | Moyenne | Faible | Faible | Faible |
Ambition du législateur | Moyenne | Moyenne | Faible | Forte |
Implication et ambition du régulateur | Forte | Forte | Faible | Moyenne |
1 L’ambition de la loi
La loi américaine oblige tous les opérateurs à mettre en oeuvre STIR/Shaken, à condition que leurs réseaux supportent cette technologie. Dans le cas contraire, les opérateurs doivent « avoir (i) pris des mesures raisonnables pour mettre en œuvre un cadre d’authentification d’appel efficace ; et (ii) [être] capables de mettre pleinement en œuvre une stratégie efficace du cadre d’authentification des appels au plus tard [au 1er juillet 2022]. » En revanche, pour l’opérateur d’arrivée, la loi américaine ne prévoit aucune obligation d’interrompre les appels qui ne seraient pas authentifiés.
En France, la loi prévoit une obligation générale d’authentifier les appels au départ et, à l’arrivée, d’interrompre les appels non valablement signés, sans distinction de technologie. La loi française est donc plus stricte. Elle donnera lieu à un début de mise en œuvre en 2024, un an après la date prescrite du 25 juillet 2023.
Au Canada, c’est le CRTC, le régulateur des télécoms, qui a décidé d’imposer aux opérateurs la mise en œuvre de STIR/Shaken, sur des bases comparables à ce qui est exigé d’eux aux Etats-Unis. Cette obligation est entrée en vigueur par étapes, le 30 novembre 2021 pour les appels standard, et le 31 mai 2022 pour les appels d’urgence.
Au Royaume-Uni également, c’est le régulateur, l’Ofcom, qui a proposé par une consultation publique en 2023 d’adopter STIR/Shaken, mais qui a renoncé à cette ambition début 2024.
2 Adoption de la Voix sur IP côté usager
L’authentification des numéros a été conçue pour le standard SIP de voix sur IP. S’il existe des standards pour l’authentification, dite out-of-band, hors signalisation SIP, aucun déploiement significatif n’en est annoncé. Pour faire une authentification STIR/Shaken de bout en bout, il est donc nécessaire que les abonnés au téléphone soient desservis par la technologie SIP. Quelle est la situation à ce sujet dans les différents pays de notre échantillon ?
Aux Etats-Unis, 100% des abonnés des trois grands réseaux mobiles utilisent une technologie (la 4G ou la 5G) compatible avec STIR/Shaken. Les réseaux 2G et 3G ont été arrêtés.
Tableau 2 – Dates d’arrêt de la 2G et de la 3G aux Etats-Unis
Pays | Opérateur | Arrêt de la 2G | Arrêt de la 3G |
Etats-Unis | AT&T Mobility | 01/01/2017 | 22/02/2022 |
Etats-Unis | T-Mobile USA, Inc | 02/04/2024 | 01/07/2022 |
Etats-Unis | Verizon Wireless | 31/12/2020 | 31/12/2022 |
Côté fixe, 29% des abonnés américains sont encore desservis par la technologie TDM, incompatible avec STIR/Shaken. Mais compte tenu de la prééminence du mobile en nombre d’abonnements, ce sont 85% des abonnés (fixes et mobiles) qui utilisent une technologie rendant a priori possible l’authentification STIR/Shaken de bout en bout.
Figure 1 – Technologie de desserte des abonnés au téléphone aux Etats-Unis
En France, au contraire, la 2G ne s’arrêtera qu’à fin 2025 et la 3G qu’à fin 2028 (pour Orange et SFR). Pour Bouygues Telecom, ce sera fin 2026 pour l’arrêt de la 2G et fin 2029 pour l’arrêt de la 3G, Iliad/Free, arrivé sur le marché à l’heure de la 4G, n’étant pas concerné. En conséquence, 46% des abonnés mobiles (abonnés 2G/3G) et 12% des abonnés fixes (abonnés au RTC ou au RNIS) ne peuvent utiliser que la voix TDM, qui n’est pas compatible avec l’authentification STIR/Shaken. Compte tenu de la domination du mobile en nombre d’abonnements, le nombre d’abonnés desservis par une technologie permettant a priori l’authentification STIR/Shaken de bout en bout n’est que 60% en France.
Figure 2 – Technologie de desserte des abonnés au téléphone en France
Au Canada, si la 2G (CDMA) a été arrêtée il y a plusieurs années, la 3G a encore plusieurs années devant elle. Un seul des trois grands opérateurs a annoncé commencer l’arrêt de la 3G en mars 2025. Ceci n’augure pas d’un déploiement rapide de bout en bout de STIR/Shaken sur les réseaux mobiles canadiens.
Tableau 3 – Dates d’arrêt de la 2G et de la 3G au Canada
Pays | Opérateur | Arrêt de la 2G | Arrêt de la 3G |
Canada | Bell Mobility Inc. | 30/04/2019 | |
Canada | Rogers | 31/12/2020 | 31/03/2025 (start) |
Canada | Telus | 31/05/2017 |
Enfin, au Royaume-Uni, deux opérateurs arrêtent la 3G, puis la 2G (EE, Vodafone), un autre prévoit d’arrêter la 3G, mais non la 2G (02) et le dernier (Hutchison)qui a arrêté très tôt la 2G arrêtera bientôt la 3G. Une telle situation n’est pas non plus propice au déploiement de STIR/Shaken de bout en bout sur les réseaux mobiles britanniques.
Tableau 4 – Dates d’arrêt de la 2G et de la 3G au Royaume-Uni
Pays | Opérateur | Arrêt de la 2G | Arrêt de la 3G |
Royaume-Uni | EE Limited | 31/12/2025 | 31/12/2024 |
Royaume-Uni | Hutchison 3G UK Limited | 01/01/2015 | 31/12/2024 |
Royaume-Uni | O2 | 31/12/2025 | |
Royaume-Uni | Vodafone Ltd | 31/12/2025 | 31/03/2024 |
Par ailleurs, côté fixe, selon Frontier Economics, le Royaume-Uni comptait en 2002 encore 19,5 millions d’abonnés desservis en technologie TDM. BT prévoit d’’avoir migré tous ses clients TDM vers l’IP pour fin 2025, mais des doutes s’élèvent quant au respect de la date de cet ambitieux objectifs.
Tableau 5 – Subsistance du RTC en 2022 au Royaume-Uni (nombre de lignes fixes)
BT | Virgin Media | Kcom | Total | |
Total | 15,000,000 | 4,380,000 | 165,000 | 19,545,000 |
Entreprises | 4,000,000 | n/a | 18,305 | |
Grand public | 11,000,000 | n/a | 146,695 |
On comprend dans ces conditions pourquoi l’Ofcom n’a pas fait du déploiement de STIR/Shaken une priorité en 2024.
Remarque : la desserte d’un abonné au téléphone par une technologie autre que SIP ne veut pas dire que les appels de cet abonné ne peuvent être authentifiés selon STIR/Shaken, mais qu’une telle authentification suppose la présence d’un équipement de conversion vers SIP dont l’utilité disparaitra avec la technologie de desserte de cet abonné. Les opérateurs sont-ils disposés à une telle dépense pour une technologie en fin de vie ? Le régulateur est-il décidé à l’exiger au nom de la loi ?
3 Subsistance ou disparition de l’interconnexion fixe TDM
Aux Etats-Unis, la tarification de l’interconnexion inclut traditionnellement le coût de la boucle locale sur laquelle l’appel est délivré. Et ce coût peut être majoré quand c’est une zone rurale que dessert l’opérateur de boucle locale en question. Quand la migration des réseaux téléphoniques de TDM vers IP a commencé, en 2015, la FCC a commencé par édicter une règle de symétrie qui permettait à un fournisseur de voix sur IP over-the-top, c’est-à-dire sans boucle locale, de percevoir la même redevance de terminaison d’appel qu’un opérateur TDM local. AT&T a contesté avec succès cette règle et la FCC a dû, en 2019, restreindre sa règle de symétrie VoIP au cas où le fournisseur de voix sur IP est associé à l’opérateur de boucle locale au client duquel l’appel est délivré. Bien que cette controverse n’ait pas évolué depuis 2019, elle a fortement ralenti la migration des interconnexions fixes de TDM vers IP aux Etats-Unis.
A contrario, depuis l’ouverture à la concurrence des télécommunications en Europe, par une directive adoptée en 1997, le cadre réglementaire européen a exclu le coût de la boucle locale des charges d’interconnexion. En Europe, toute compensation entre opérateurs au titre de leurs coûts de boucle locale relève du service universel et ne doit pas impacter l’interconnexion. En 2011, quand la transition vers l’IP des réseaux téléphoniques a commencé, le régulateur français, l’ARCEP, est allé plus loin en déclarant que la technologie de référence d’un opérateur de téléphonie efficace était l’IP, ce que impliquait que les coûts de conversion IP/TDM à l’interconnexion étaient à supporter par l’opérateur TDM, que celui-ci soit l’offreur ou le demandeur. Il est résulté de ces règles que la transition des interconnexions fixes vers l’IP en France est quasiment achevée. Par ailleurs, cette transition s’est faite avec la technologie SIP, qui permet l’authentification STIR/Shaken.
4 Subsistance de l’interconnexion mobile non-SIP
Aux Etats-Unis, Verizon Wireless et T-Mobile affichent un déploiement complet de STIR/Shaken, alors qu’AT&T Mobility n’en annonce qu’un déploiement partiel, sans doute parce que des interconnexions TDM doivent subsister. Selon la Robocall Mitigation Database de la FCC, les petits opérateurs mobiles sont moins avancés : sur les 154 opérateurs américains dont le nom comprend « Mobil » ou« Wireless », seuls 42% affichent une mise en œuvre complète de STIR/Shaken, 15% une mise en œuvre partielle, 38% une absence de mise en oeuvre et 7% ne répondent pas à la question.
En France, le maintien des anciennes technologies (2G et 3G) conduit les opérateurs mobiles français à conserver pour le moment la technologie SIP-I à l’interconnexion. Cette encapsulation de la signalisation TDM dans une trame SIP ne permet pas de déployer l’authentification STIR/Shaken.
5 Habitude des opérateurs de mettre en œuvre des systèmes ensemble
Dans trois des quatre pays de notre échantillon (Etats-Unis, Canada, France), les opérateurs ont l’habitude de mettre en œuvre des systèmes informatiques communs pour satisfaire certaines obligations réglementaires, à commencer par une base de données nationale des numéros portés. En revanche, rien de tel au Royaume-Uni, où certains opérateurs ont attaqué avec succès en 2008 la décision de l’Ofcom de leur faire mettre en œuvre une telle base de données. L’authentification des numéros passe, lors de chaque appel, par la signalisation, mais la vérification de la signature d’un appel exige la consultation en temps réel d’un système, qu’il est difficile d’imaginer totalement décentralisé. L’Ofcom, dans sa consultation publique de 2023, ne s’y était pas trompée : l’Ofcom proposait une « common numbering database », mais y a renoncé début 2024.
6 Implication du législateur, du régulateur et des forces de l’ordre
Aux Etats-Unis et en France, le législateur s’est emparé du sujet de l’authentification, en donnant de grands pouvoirs de mise en œuvre au régulateur côté américain, et en n’en donnant aucun ex ante côté français.
Cependant, force est de constater que, malgré ces pouvoirs de régulation ex ante, la mise en œuvre de STIR/Shaken patine aux Etats-Unis. En témoignent les statistiques publiées par Transnexus, un fournisseur d’équipements et de systèmes d’authentification des numéros aux Etats-Unis. Ces statistiques sont recueillies par les systèmes équipant plus d’une centaine d’opérateurs, qui reçoivent des appels de 962 autres opérateurs .
Figure 3 – Proportion des appels avec une signature STIR/Shaken reçus par Transnexus
En matière d’authentification, l’ARCEP n’a formellement qu’un pouvoir de sanction (ex post) pour non-respect de la loi par les opérateurs. La loi française étant entrée en vigueur le 25 juillet 2023, l’ARCEP accorde pour le moment un délai de grâce aux opérateurs.
7 Questions ouvertes
Combien de temps cet état de choses va-t-il durer ? Quand les opérateurs mobiles feront-ils passer en SIP leurs interconnexions SIP-I ? Les opérateurs français travaillent à compléter le Mécanisme d’Authentification des Numéros pour les scénarios d’appels imparfaitement traités à ce jour : délégation d’affichage de numéros, puis appels d’urgence, renvois et transferts d’appels. Lesquels de ces retards seront jugés tolérables par le régulateur en raison de l’état de l’art ? Et pour combien de temps ?
La finalité de l’authentification est d’identifier plus rapidement les auteurs d’appels illégaux. L’utilité de l’authentification dépendra donc de l’usage qu’en feront les forces de l’ordre et en particulier leurs échelons spécialisés (OCLCTIC, DGCCRF, …).
La délinquance va-t-elle déplacer les numéros qu’elle affiche vers les failles temporaires du système ? l’apparition récente d’appels présentant des numéros mobiles usurpés tend à le faire penser.
L’authentification des numéros reste une course de longue haleine, dont la mise en service du Mécanisme d’Authentification des Numéros en France en 2024 ne sera qu’une étape.
_________________