Authentification de l'identité de l'appelant STIR/SHAKEN avec Aircall

Les appels indésirables et les appels automatisés illégaux sont une source fréquente de plaintes auprès des autorités de régulation des télécommunications dans de nombreux pays. Pour lutter contre l'usurpation d'identité de l'appelant et les appels frauduleux, les régulateurs en Amérique du Nord et en France déploient des cadres basés sur STIR/SHAKEN, et en France spécifiquement le projet MAN (Mécanisme d’Authentification des Numéros).

Cet article explique ce qu'est STIR/SHAKEN, comment fonctionnent les niveaux d'attestation, comment il est utilisé pour les appels aux États-Unis et au Canada, et comment l'authentification de l'identité de l'appelant est mise en œuvre en France, y compris des informations sur les plages de numéros Aircall et les exigences de l'ARCEP.

Qu'est-ce que STIR/SHAKEN ?

En termes simples, STIR/SHAKEN est un ensemble de spécifications et de cadres pour attester, signer et vérifier l'identité de l'appelant. L'objectif est d'appliquer des technologies de certificats numériques et de sécurité aux appels téléphoniques, similaires à celles utilisées pour les transactions sur Internet, afin de réduire l'usurpation d'identité de l'appelant.

• STIR (Secure Telephony Identity Revisited)

  • Une norme IETF

  • Définit une signature pour vérifier le numéro appelant

  • Spécifie comment cette signature est transportée dans la signalisation SIP

• SHAKEN (Signature-based Handling of Asserted information using toKENs)

  • Un cadre développé par le groupe de travail ATIS/SIP Forum IP-NNI

  • Fournit un profil d'implémentation pratique de STIR que les fournisseurs de services vocaux peuvent utiliser

Niveaux d'attestation STIR/SHAKEN, États-Unis et Canada

Aux États-Unis et au Canada, STIR/SHAKEN utilise trois niveaux d'attestation. Ceux-ci décrivent à quel point le fournisseur de services d'origine a confiance dans l'identité de l'appelant et son droit d'utiliser le numéro.

• Complète, attestation A
  Le fournisseur de services a authentifié le client à l'origine de l'appel et a confirmé qu'il est autorisé à utiliser le numéro appelant.

• Partielle, attestation B
  Le fournisseur de services a authentifié le client à l'origine de l'appel mais ne peut pas vérifier qu'il est autorisé à utiliser le numéro appelant spécifique.

• Passerelle, attestation C
  Le fournisseur de services a authentifié le point à partir duquel il a reçu l'appel, par exemple une passerelle internationale, mais ne peut pas authentifier la source d'appel d'origine.

STIR/SHAKEN et Aircall aux États-Unis et au Canada

Depuis le 1er juillet 2021, pour les États-Unis, STIR/SHAKEN a été activé sur tous les appels nationaux aux États-Unis et au Canada.

• Tous les appels atteignent au moins l'attestation B.

• De nombreux appels atteignent l'attestation A.

Cela signifie que les appels sortants Aircall ne devraient pas être signalés ou bloqués par d'autres fournisseurs en raison d'un manque de conformité à ce système.

Certains appels peuvent encore être signalés comme spam par d'autres systèmes. Pour plus d'informations à ce sujet, veuillez consulter Numéro Aircall affiché comme spam.

Authentification de l'identité de l'appelant et STIR/SHAKEN en France

En France, les appels indésirables et les appels automatisés illégaux sont également clairement identifiés comme un problème.

Deux éléments principaux soutiennent l'authentification de l'identité de l'appelant :

• Une action législative du Parlement français, appelée loi Naegelen, qui vise à mieux encadrer le démarchage téléphonique.

• Des règles définies par le régulateur national ARCEP (Autorité de régulation des communications électroniques, des postes et de la distribution de la presse).

Ensemble, ces éléments ont conduit au déploiement d'un mécanisme d'authentification des numéros appelants, appelé projet MAN (Mécanisme d’Authentification des Numéros). Ce mécanisme vise à empêcher l'usurpation d'identité de l'appelant et constitue une étape importante dans l'encadrement du démarchage téléphonique et la lutte contre la fraude.

Plages de numéros Aircall et conformité ARCEP

Aircall utilise ses propres plages de numéros, officiellement attribuées par l'ARCEP.

Ces numéros :

• Ne sont pas sous-alloués ni revendus par un autre opérateur

• Sont enregistrés directement au nom d'Aircall

Cela permet à Aircall de :

• Assurer une traçabilité complète des numéros utilisés

• Maintenir une conformité totale avec les obligations réglementaires françaises relatives à la prévention de la fraude et au démarchage abusif

Implémentation basée sur STIR/SHAKEN en France

En France, l'authentification de l'identité de l'appelant est mise en œuvre à l'aide d'un modèle basé sur les principes STIR/SHAKEN, adapté au contexte français.

Dans l'architecture choisie :

• Le fournisseur de services d'origine est responsable de :

  • Attester du niveau de confiance dans l'identité de l'appelant

  • Obtenir un certificat signé associé à l'appel

  • Transmettre ce certificat aux fournisseurs de services de transit et de terminaison

• L'opérateur de terminaison est responsable de :

  • Vérifier le certificat signé reçu avec l'appel

  • Utiliser cette information lors du traitement de l'appel selon les règles applicables

Pour plus d'informations, vous pouvez consulter la documentation technique STIR/SHAKEN – Implémentation en France (RBBN)

Calendrier réglementaire en France

Compte tenu des mesures législatives et réglementaires déjà en place, la loi française a imposé le déploiement, en juillet 2023, d'un mécanisme interopérable d'authentification des identifiants appelants entre opérateurs.

La solution utilisée en France est basée sur les mécanismes STIR/SHAKEN qui ont été mis en œuvre aux États-Unis et au Canada, avec des différences administratives et opérationnelles propres à l'environnement français.

Résumé

• STIR/SHAKEN fournit un moyen standardisé d'attester, signer et vérifier l'identité de l'appelant à l'aide de certificats numériques.

• Aux États-Unis et au Canada, Aircall applique STIR/SHAKEN sur tous les appels nationaux, chaque appel recevant au moins une attestation B et de nombreux appels recevant une attestation A.

• En France, l'authentification de l'identité de l'appelant est mise en œuvre via le projet MAN, qui s'appuie sur les principes STIR/SHAKEN et respecte la loi Naegelen et les règles de l'ARCEP.

• Les plages de numéros Aircall en France sont directement attribuées par l'ARCEP, ce qui soutient la traçabilité et la conformité dans la lutte contre la fraude et le démarchage abusif.