Les appels automatisés frauduleux (par lesquels un message enregistré est lu à l’appelé) restent un problème pour les fournisseurs de services de télécommunications du monde entier. Ils créent des appels indésirables et des risques potentiels pour la sécurité, car ils peuvent être d’origine criminelle. Même si un appel provient de l’autre bout du monde, il peut être présenté comme local pour que les cibles répondent à ces appels.
Stir/Shaken : la solution contrer les appels intempestifs ?
Les appels frauduleux constituent un problème récurrent pour l'industrie des télécommunications. L'une des manières dont l'industrie des télécommunications lutte contre ce fléau est STIR/SHAKEN, une approche standard développée spécifiquement pour la téléphonie IP.
STIR/SHAKEN est basé sur la technologie et, dans les régions où il a été mis en œuvre, le non-respect de STIR/SHAKEN pourrait entraîner le blocage des appels vers les utilisateurs.
Cela signifie que sa prise en compte est presque obligatoire.
STIR/SHAKEN a déjà été adoptée aux États-Unis, au Canada et depuis juillet 2023 en France et les discussions autour de cette solution technologique s'intensifient dans d'autres pays. Par exemple, fin 2021, au Royaume-Uni, l'Ofcom et l'ICO ont annoncé un plan pour lutter contre les appels intempestifs et leur communication publique mentionne spécifiquement STIR/SHAKEN.
Les efforts précédents au Royaume-Uni n’ont pas suffi
Une authentification plus stricte de l'identification de l'appelant est essentielle pour limiter les appels indésirables et, au Royaume-Uni, la responsabilité de l'identification de la ligne d'appel a été transférée au fournisseur de services de communication des entreprises. Les fournisseurs de services font ce qu'ils peuvent, par exemple en essayant de travailler uniquement avec d'autres fournisseurs réputés pour partager le trafic et en fermant les numéros ou les itinéraires d'appel non autorisés si nécessaire, mais cela peut s'avérer très difficile à mettre en œuvre et consommateur de nombreuses ressources.
Alors, pourquoi l’industrie des télécommunications aurait-elle besoin de cette approche technologique de l’identification de l’appelant ? Au fil des années, diverses tentatives ont été faites pour atténuer l’impact des appels automatisés indésirables, mais il n’y a jamais eu de solution idéale. Par exemple, au Royaume-Uni, le Telephone Preference Service (TPS) et le Corporate Telephone Preference Service (CTPS) permettent aux utilisateurs de refuser de recevoir des appels marketing. Toutefois, si un appel provient d’un acteur international du marché gris, il n’empêchera pas cette communication entrante sans une intervention réactive des utilisateurs ou des fournisseurs.
De plus, si un fournisseur de services transfère un appel international sur l'une de ses propres lignes réseau et s'il n'est pas formaté correctement ou s'il s'agit d'un numéro de mobile d'un autre pays, le fournisseur de services peut alors encourir un coût inattendu et amplifié. En d’autres termes, un appel entrant apparemment gratuit devient coûteux. Ainsi, les appels internationaux non autorisés constituent non seulement une nuisance pour l’appelé, mais aussi un problème potentiellement coûteux à gérer pour le fournisseur de télécommunications.
STIR/SHAKEN adopte une approche différente pour le monde
Le cadre STIR/SHAKEN suscite un intérêt croissant, en tant qu'approche standard d'identification de l'appelant basée sur des normes et protocoles techniques qui authentifient et vérifient les appels sur les réseaux. En pratique, STIR/SHAKEN permet de valider l'origine des appels et même s'il ne les bloque pas, il permettra aux utilisateurs d'ignorer tous les appels provenant de sources non fiables.
STIR/SHAKEN signifie ‘Secure Telephone Identity Revisited (STIR) et traitement basé sur la signature des informations affirmées (Signature-based Handling of Asserted Information) à l'aide de toKEN’ (SHAKEN). Lorsque les appels transitent par des réseaux de télécommunications interconnectés, leur identifiant est « signé » comme légitime (ou non) afin que les destinataires puissent répondre en toute confiance au trafic entrant légitime. Ainsi, STIR/SHAKEN traite la fausse identité à sa source.
Il est important de noter que STIR/SHAKEN ne peut pas être reproduit de la même manière dans tous les pays en raison des différences dans la manière dont les numéros sont attribués et gérés. Cependant, même si les détails peuvent varier, STIR/SHAKEN prend de l'ampleur.
Aux États-Unis, les règles de la FCC exigent déjà que les fournisseurs mettent en œuvre STIR/SHAKEN dans les parties IP de leurs réseaux et démontrent que cela a été fait. De l’autre côté de la frontière canadienne, la décision 2021-123 du CRTC exige que tous les fournisseurs de services de télécommunications (FST) du pays – y compris les FST revendeurs – mettent en œuvre STIR/SHAKEN sur les parties IP de leurs réseaux.
Puis, le 24 juillet 2023, la France a également introduit STIR/SHAKEN dans le cadre de son Mécanisme d'authentification des numéros (MAN). L’ARCEP, le régulateur des télécommunications du pays, a chargé l’autorité de gestion de la portabilité APND de mettre en place un mécanisme d’authentification des numéros d’appel et des messages. MAN en est le résultat et a été conçu avec la participation approfondie des principaux opérateurs de télécommunications du pays.
L’approche de la France
Par ailleurs, les autorités françaises ont précisé que si un opérateur souhaite terminer des appels avec CLI dans le pays, il doit disposer de lignes réseau d'origine française. Les fournisseurs de services doivent également enregistrer et signaler tous les appels entrants dont la certification est incertaine dans la base de données nationale. Actuellement, seules les communications vocales sont couvertes, mais les messages SMS seront ajoutés ultérieurement.
L’application STIR/SHAKEN varie d’un pays à l’autre, mais voici comment cela fonctionne en France en termes simples. L'appelant doit indiquer au destinataire que ce numéro lui appartient ou non et qu'il provient d'une autre source. Il existe trois niveaux de certification :
A – on sait que le numéro appartient à l’utilisateur
B – le numéro appartient au tenant, mais je ne sais pas s'il appartient à l'utilisateur selon CLI
C – aucune information sur la source du numéro, comme un numéro international non identifié.
Pour les certifications A et B, le destinataire peut vérifier dans la base de données française que la « signature » du fournisseur de services est valide. Les appels du certificat C pourraient, en théorie, toujours être transférés au sein du réseau de télécommunications, et la partie destinataire décide de la manière de les gérer, mais en précisant que le fournisseur de services de transfert ne garantit pas sa validité. En pratique, la question de savoir si cela est autorisé variera probablement en fonction de chaque pays.
Rendre la mise en œuvre plus simple
Bien entendu, la mise en œuvre de STIR/SHAKEN pourrait créer beaucoup de travail supplémentaire pour un fournisseur de services, c'est pourquoi des éditeurs tels que Enreach commencent à inclure des fonctionnalités qui permettent d'éliminer une grande partie du travail de fond. STIR/SHAKEN a été inclus dans la dernière version d'Enreach UP, la plateforme de communications unifiées et de contacts convergent d’enreach for Service Providers et est déjà utilisée par les opérateurs français, avec les informations de certificat automatiquement incluses dans un appel entrant ou de transfert.
STIR/SHAKEN n’en est qu’à ses débuts et il sera intéressant de voir comment elle évolue, y compris le déploiement en France et les projets qui apparaissent dans d’autres pays. La grande question est de savoir si cette solution permettra de lutter une fois pour toutes contre les appels automatisés, car toute méthode permettant de réduire ces appels illégitimes mérite d’être examinée de plus près.