STIR/SHAKEN : tout ce qu’il faut savoir

L’appellation « STIR/SHAKEN » désigne un suite de protocoles et procédures pensées pour lutter contre l’usurpation d’identité téléphonique (caller ID spooffing). Le 31 mars dernier, la Federal Communications Commission des états-unis a voté en faveur du déploiement de ces mesures.

Qu’est-ce que le spoofing ?

Le Spoofing désigne l’action de falsifier l’identité d’un site web, d’un numéro de téléphone ou tout autre identifiant numérique (email, adresse IP…). Cette pratique est rendue possible par le manque de systèmes d’authentification dans l’ensemble de protocoles applicatifs issus de la couche IP.

Pourquoi usurper un identifiant numérique ?

Le spoofing peut servir à soutirer des informations sensibles en se faisant passer pour une autorité ou une figure de confiance (en répliquant, par exemple le site internet d’une banque). Mais cette pratique n’est pas toujours frauduleuse, elle peut également permettre de conserver l’anonymat d’une personne ou d’une société.

En ce qui concerne la téléphonie, cette technique est principalement utilisée par les démarcheurs téléphoniques (télémarketeurs).

Associée à un outil automatisant les appels(robocaller), elle forme la combinaison parfaite pour réaliser une prospection de masse automatisée. En utilisant un numéro de téléphone usurpé, ces entreprises peu scrupuleuses s’assurent qu’elles ne seront pas rappelées.

Beaucoup d’entreprises américaines confient ces taches de téléprospection à des sous-traitants étrangers, le plus souvent en Inde. Pour augmenter leurs chances de réponse ces entreprises se cachent derrière des identifiants américains.

Les procédures STIR/SHAKEN ont été mises au point pour faire face à ce problème. La Federal Communications Commission a décidé que les procédures STIR/SHAKEN devraient être appliquées d’ici Juin 2021 aux états unis et Septembre 2020 au Canada.

Comment fonctionne le STIR/SHAKEN ?

Le STIR/SHAKEN est composé de deux ensembles de règles ayant un objectif commun : établir un système de certificats digitaux délivrés par des autorités de certification.

STIR pour Secure Telephony Identity Revisited propose une « note »(A,B ou C) indiquant le niveau de sûreté du numéro appelant. Cette note apparaîtra aux cotés du numéro s’affichant sur le téléphone destinataire. Il sera du devoir du fournisseur d’accès de délivrer cette note : en croisant des listes de numéros pré-établies, le systeme STIR se base sur une chaîne de confiance : chaque opérateur devient une autorité de certification validée par les autres. Les numéros de téléphones se verront alors attribuer ces notes ou certificats digitaux comme c’est déjà le cas pour les sites web dont l’identité est vérifiée et confirmée par les Autorités de Certification (Certificate Authority). La différence se trouve au niveau du système de notation, les sites web sont vérifiés ou non, pour les numéros de téléphone il s’agira d’une note indicative :

-La note A, plus haut niveau de vérification, désigne un numéro dont l’identité est parfaitement reconnue par l’opérateur : il a pu identifier l’entité légale possédant ce numéro et la personne rattachée au poste téléphonique.

Pour obtenir cette note, une entreprise (cette clause s’applique principalement aux call-centers) devra rendre public un numéro ou elle pourra être rappelée.

-La note B, signifiant une vérification partielle, l’opérateur et le client sont connus mais l’identité de la personne rattachée au poste ne peut être vérifiée.

-La note C indique que l’appel vient d’un opérateur connu, mais aucune information sur l’identité de l’appelant n’a pu être vérifiée.

SHAKEN pour Signature-based Handling of Asserted information using toKENs est la solution de substitution pour les téléphones non-VoIP ne pouvant pas déchiffrer et afficher le certificat d’authentification. Le SHAKEN est prévu également pour les débuts du STIR quand les vérifications ne pourront pas être réalisées de bout en bout : tous les opérateurs ne vont pas adopter le système en un temps mais il est nécessaire que de l’information, même sommaire, à propos de l’appel transite.

Challenge pour les fournisseurs d’accès (service-providers)

L’implémentation des procédures STIR/SHAKEN représente un challenge pour les opérateurs, l’attribution de ces notes constitue une grande responsabilité et implique que les procédures de gestion des appels soient repensées.

La bonne application du système repose sur la capacité de synergie des différents opérateurs : la mise en place de cette chaîne de confiance ne pourra se faire que si tous les opérateurs sont en mesure d’évaluer chaque numéro. Une fois que la procédure sera adoptée et maîtrisée par une majorité d’opérateurs, les retardataires pourraient voir leurs communications ne pas aboutir: sans transmission de certificat préalable, un opérateur tiers sera en mesure de refuser de faire passer les paquets SIP via son serveur.

En France, le spam vocal ou Ping Calls commence à attirer l’attention des autorités. Ces appels d’une seconde provenant d’indicatifs étrangers essayent d’« hameçonner » le destinataire pour qu’il rappelle, le numéro appelant s’avère ensuite être un numéro surtaxé. La pratique devient de plus en plus insidieuse en masquant le numéro surtaxé derrière un numéro classique du type 01, 02, 06. Il est donc fort probable pour que les procédures STIR/SHAKEN inspirent l’Europe dans un avenir proche.

La solution Diskyver vous accompagne dans ce tournant législatif en vous alertant si l’un de vos abonnés reçoit une communication ayant un indice de confiance critique.

homme au téléphone

Protégez vos communications

Diskyver est un système de détection d’anomalies téléphoniques qui surveille votre infrastructure téléphonique à la recherche d’activités malveillantes ou de violations de politiques.

Découvrez la solution

Découvrez nos dernières publications

SIP Vicious, l’outil de pentest VoIP par excellence

En cybersécurité, la frontière entre piratage éthique et piratage  malveillant est souvent mince. SIPVicious est un parfait exemple de ce phénomène : conçu pour les professionnels de la sécurité, il est aussi largement utilisé par les criminels pour identifier et...

4 conseils pour configurer un SVI user friendly

« A la fin de votre message, si vous souhaitez le modifier, tapez dièse … » Bip !  Si à l’écoute de ces quelques mots un mélange de frustration et d’anxiété vous envahit, vous êtes un humain normalement constitué. Pourtant il s’agit du serveur vocal interactif le...

Le spoofing, les Robocalls, Appels surtaxés : les attaques en vogue sur la VoIP

Le Spoofing et les Robocalls ont fait perdre aux Américains près de 30 milliards de dollars. Un citoyen reçoit jusqu'à 5 appels illégitimes de cybercriminels chaque mois ce qui représente plus de 40 % des 4 à 5 milliards de robocalls passés chaque mois. En France, le...

Installer un serveur Asterisk sécurisé : guide d’installation [Linux]

Quelle solution d’IPBX virtuel choisir ? Avant de démarrer vos recherches d’IPBX il faut définir les besoins de votre entreprise. Prenez votre configuration actuelle comme référence et établissez des impératifs : de manière chiffrée (nombres de lignes, nombres...

Comment vous protéger d’une attaque par TDoS ?

Les entreprises sont la cible d’une grande variété de cyber menaces parmi lesquelles, le TDoS. Ce type d’attaque consiste à inonder de requêtes les serveurs téléphoniques de l’entreprise ciblée pour ensuite exiger une rançon contre la remise en service des serveurs....

Protocole SIP : la référence pour la VoIP

SIP pour Session Initiation Protocol est, depuis 2007, le protocole de référence pour la gestion de la Voix par Internet (VoIP). Il est principalement utilisé en téléphonie mais sert également pour la visio, la réalité virtuelle ou les jeux vidéo en ligne....

Votre Session Border Controller est essentiel, faites le bon choix

Le Session Border Controller est un élément indispensable à toute infrastructure téléphonique, il en est le portier. A la manière d’un agent de sécurité, il contrôle les entrées du réseau, il est important que ses capacités soient adaptées au type de flux à...

Visioconférence : 5 conseils pour assurer la confidentialité et la sécurité de vos réunions.

Depuis le début de la crise sanitaire et avec la généralisation du télétravail, le besoin des entreprises en solutions de visioconférence a explosé. L’offre est large et variée : Zoom, Teams ou encore la solution française certifiée par l’Anssi Tixeo. De plus en plus...

Qu’est-ce que le protocole SIPS ?

Le protocole SIP est le protocole le plus largement utilisé pour la VoIP. Sa version sécurisée, le SIPS a été créé pour répondre aux problèmes de confidentialité des données en transit. Le protocole SIPS assure une opacité des paquets transportés mais est-il pour...
WordPress Cookie Plugin by Real Cookie Banner