Qu’est-ce que le STIR/SHAKEN ?

par | Jan 13, 2021

L’appellation « STIR/SHAKEN » désigne un suite de protocoles et procédures pensées pour lutter contre l’usurpation d’identité téléphonique (caller ID spooffing). Le 31 mars dernier, la Federal Communications Commission des états-unis a voté en faveur du déploiement de ces mesures.

Qu’est-ce que le spoofing ?

Le Spoofing désigne l’action de falsifier l’identité d’un site web, d’un numéro de téléphone ou tout autre identifiant numérique (email, adresse IP…). Cette pratique est rendue possible par le manque de systèmes d’authentification dans l’ensemble de protocoles applicatifs issus de la couche IP.

Pourquoi usurper un identifiant numérique ?

Le spoofing peut servir à soutirer des informations sensibles en se faisant passer pour une autorité ou une figure de confiance (en répliquant, par exemple le site internet d’une banque). Mais cette pratique n’est pas toujours frauduleuse, elle peut également permettre de conserver l’anonymat d’une personne ou d’une société.

En ce qui concerne la téléphonie, cette technique est principalement utilisée par les démarcheurs téléphoniques (télémarketeurs).

Associée à un outil automatisant les appels(robocaller), elle forme la combinaison parfaite pour réaliser une prospection de masse automatisée. En utilisant un numéro de téléphone usurpé, ces entreprises peu scrupuleuses s’assurent qu’elles ne seront pas rappelées.

Beaucoup d’entreprises américaines confient ces taches de téléprospection à des sous-traitants étrangers, le plus souvent en Inde. Pour augmenter leurs chances de réponse ces entreprises se cachent derrière des identifiants américains.

Les procédures STIR/SHAKEN ont été mises au point pour faire face à ce problème. La Federal Communications Commission a décidé que les procédures STIR/SHAKEN devraient être appliquées d’ici Juin 2021 aux états unis et Septembre 2020 au Canada.

Comment fonctionne le STIR/SHAKEN ?

Le STIR/SHAKEN est composé de deux ensembles de règles ayant un objectif commun : établir un système de certificats digitaux délivrés par des autorités de certification.

STIR pour Secure Telephony Identity Revisited propose une « note »(A,B ou C) indiquant le niveau de sûreté du numéro appelant. Cette note apparaîtra aux cotés du numéro s’affichant sur le téléphone destinataire. Il sera du devoir du fournisseur d’accès de délivrer cette note : en croisant des listes de numéros pré-établies, le systeme STIR se base sur une chaîne de confiance : chaque opérateur devient une autorité de certification validée par les autres. Les numéros de téléphones se verront alors attribuer ces notes ou certificats digitaux comme c’est déjà le cas pour les sites web dont l’identité est vérifiée et confirmée par les Autorités de Certification (Certificate Authority). La différence se trouve au niveau du système de notation, les sites web sont vérifiés ou non, pour les numéros de téléphone il s’agira d’une note indicative :

-La note A, plus haut niveau de vérification, désigne un numéro dont l’identité est parfaitement reconnue par l’opérateur : il a pu identifier l’entité légale possédant ce numéro et la personne rattachée au poste téléphonique.

Pour obtenir cette note, une entreprise (cette clause s’applique principalement aux call-centers) devra rendre public un numéro ou elle pourra être rappelée.

-La note B, signifiant une vérification partielle, l’opérateur et le client sont connus mais l’identité de la personne rattachée au poste ne peut être vérifiée.

-La note C indique que l’appel vient d’un opérateur connu, mais aucune information sur l’identité de l’appelant n’a pu être vérifiée.

SHAKEN pour Signature-based Handling of Asserted information using toKENs est la solution de substitution pour les téléphones non-VoIP ne pouvant pas déchiffrer et afficher le certificat d’authentification. Le SHAKEN est prévu également pour les débuts du STIR quand les vérifications ne pourront pas être réalisées de bout en bout : tous les opérateurs ne vont pas adopter le système en un temps mais il est nécessaire que de l’information, même sommaire, à propos de l’appel transite.

Challenge pour les fournisseurs d’accès (service-providers)

L’implémentation des procédures STIR/SHAKEN représente un challenge pour les opérateurs, l’attribution de ces notes constitue une grande responsabilité et implique que les procédures de gestion des appels soient repensées.

La bonne application du système repose sur la capacité de synergie des différents opérateurs : la mise en place de cette chaîne de confiance ne pourra se faire que si tous les opérateurs sont en mesure d’évaluer chaque numéro. Une fois que la procédure sera adoptée et maîtrisée par une majorité d’opérateurs, les retardataires pourraient voir leurs communications ne pas aboutir: sans transmission de certificat préalable, un opérateur tiers sera en mesure de refuser de faire passer les paquets SIP via son serveur.

En France, le spam vocal ou Ping Calls commence à attirer l’attention des autorités. Ces appels d’une seconde provenant d’indicatifs étrangers essayent d’« hameçonner » le destinataire pour qu’il rappelle, le numéro appelant s’avère ensuite être un numéro surtaxé. La pratique devient de plus en plus insidieuse en masquant le numéro surtaxé derrière un numéro classique du type 01, 02, 06. Il est donc fort probable pour que les procédures STIR/SHAKEN inspirent l’Europe dans un avenir proche.

La solution Diskyver vous accompagne dans ce tournant législatif en vous alertant si l’un de vos abonnés reçoit une communication ayant un indice de confiance critique.

Découvrez nos derniers articles