Si vous habitez en France, vous avez sans doute déjà reçu des appels frauduleux à propos des dispositifs de crédit formation, et ce même si vous êtes inscrits sur BlocTel ou sur liste rouge.
Vous avez aussi peut-être entendu parler des arnaques téléphoniques telles que celles vues dans ces deux vidéos de Mark Rober :
Eh bien, en suivant l’exemple des USA, l’Union Européenne se prépare à déployer un grand arsenal pour lutter contre ce genre d’arnaques – ici la transcription en loi Française pour qui ça intéresse et sait lire ce genre de document.
Aujourd’hui, quand on appelle quelqu’un, le protocole transmet des métadonnées (dont le numéro de téléphone appelant) à l’appelé. En l’état, on peut mettre un peu n’importe quoi dans ces métadonnées. En particulier, rien n’interdit à ce que mon téléphone de chez FoxArnaques Corp. se présente comme « Service des Impôts », pour mettre l’interlocuteur en confiance.
L’idée est simple, et consiste en trois points :
- Imposer à tout opérateur téléphonique d’authentifier (par un certificat) son appel. En tant que FoxArnaques Corp., je ne pourrai me certifier que sous ce nom.
- Imposer à tous les intermédiaire d’interrompre toute communication dont la chaine de certification n’est pas valable. Ainsi, même si j’arrive en tant que FoxArnaques Corp. à envoyer n’importe quoi d’autres dans les métadonnées, le premier opérateur intermédiaire refusera de router mon appel… qui n’aboutiras donc pas.
- Interdire à tout opérateur hors UE de se présenter sous un numéro dans l’UE. Cette variante du point 2 vise explicitement les cas des vidéos ci-dessus, et les centres d’appels hors UE qui se font passer pour des centres d’appels nationaux.
Les smartphones peuvent afficher l’identité du numéro appelant et indiquer qu’elle est certifiée.
En prime, le système permet aussi de la délégation d’identité : par exemple, Services d’Appels SA pourra appeler au nom de GFÉ Gros Fournisseur d’Énergie, avec possibilité que les deux informations soient présentées à l’appelant, ou seulement l’identité délégatrice (ici GFÉ).
Pour les lectrices et lecteurs les plus férus de techniques, l’implémentation exacte est laissée aux opérateurs téléphoniques1, mais ils semblent à peu près tous s’être mis d’accord pour implémenter un standard commun et préexistant, à savoir une variante de STIR/SHAKEN, protocole déjà en place et qui remplit presque tout le cahier des charges.
Évidemment ça va avoir un cout, ne serait-ce qu’en bande passante supplémentaire pour transférer les certificats et en équipements pour les gérer ; et évidemment il y aura des techniques d’arnaque qui fonctionneront malgré tout ça. Mais ça reste une belle amélioration dans la belle jungle qu’est la gestion actuelle de la téléphonie.
- Qui pour beaucoup ne sont pas ceux que vous connaissez et chez qui vous pouvez souscrire un abonnement !↩
Icône d’après Holger.Ellgaard, CC BY-SA 3.0.