Remuer/secouer, un cadre de sécurité des communications, a été introduit en réponse aux préoccupations croissantes concernant la prévalence et les effets des appels non sollicités sur les réseaux de télécommunications. On estime qu’entre 3 et 5 milliards d’« appels automatisés » sont effectués chaque mois – et que plus de 40 % de ces communications sont liées d’une manière ou d’une autre à une fraude.
[Source de l'image : magna5global.com]
Pour les aider dans leurs efforts pour accéder à des informations précieuses ou à des actifs financiers, les acteurs criminels ont souvent recours à une technique connue sous le nom de spoofing. Ici, ils utilisent diverses méthodes pour modifier l'origine apparente de leurs appels téléphoniques sortants, dans l'espoir de tromper le destinataire pour qu'il réponde à ce qu'il pense être un appel provenant d'un lieu, d'un individu ou d'une institution connus.
À l'extrémité la plus douce de l'échelle, une telle tromperie peut aider l'auteur à se faire une oreille attentive pour un argumentaire publicitaire ou une enquête de collecte d'informations. Dans les cas les plus graves, l'usurpation d'identité peut être utilisée par des fraudeurs et des criminels pour inciter les destinataires d'appels à débloquer des fonds ou à divulguer des données sensibles.
[Source de l'image : ftc.gov]
Le Federal Communications Commission (FCC) préconise des initiatives visant à limiter ce type d'activité depuis 2014. En réponse, le secteur des télécommunications a développé le cadre de sécurité des communications et la norme technologique connus sous le nom de STIR/SHAKEN.
En fait, depuis le 30 juin 2021, la FCC a adopté des règles obligeant les fournisseurs de services de télécommunications à déployer une solution STIR/SHAKEN - c'est donc certainement quelque chose à savoir.
Que signifie remuer/secouer ?
STIR/SHAKEN est un acronyme combiné. La partie STIR est dérivée des premières lettres de Secure Telephony Identity Revisited et fournit une déclaration d'intention sur ce que le cadre technologique a été créé pour traiter.
SHAKEN est une construction tirée de l'expression Secure Handling of Asserted information using toKENs. Cela renvoie à la méthodologie numérique utilisée dans la gestion des données de communication, sous le protocole STIR/SHAKEN.
Au-delà de son nom, STIR est en réalité un groupe de travail au sein d'un organisme de normalisation Internet connu sous le nom d'IETF (Internet Engineering Task Force). Cette organisation a développé un ensemble de protocoles utilisés pour créer des signatures numériques pour les appels téléphoniques. SHAKEN englobe les normes régissant la manière dont STIR doit être déployé par les fournisseurs de services de télécommunication au sein de leurs réseaux. Il a été officiellement développé par l'IETF (Internet Engineering Task Force). Alliance pour les solutions de l'industrie des télécommunications (ATIS) et est accrédité par l'American National Standards Institute (ANSI).
Principes de base de STIR/SHAKEN
Le groupe de travail STIR s'est doté d'une charte l'obligeant à définir des mécanismes permettant de vérifier l'autorisation d'un appelant à utiliser un numéro de téléphone particulier.
Pour cela, le framework STIR/SHAKEN utilise des certificats numériques, pour garantir la sécurité du numéro d'origine d'un appel téléphonique. Ces certificats sont basés sur les techniques de cryptographie à clé publique commune, selon lesquelles chaque fournisseur de services doit acquérir un certificat numérique auprès d'une autorité de certification à laquelle les autres fournisseurs de services téléphoniques font confiance.
[Source de l'image : getvoip.com]
Essentiellement, la technologie des certificats cryptographiques permet à la partie qui reçoit un appel de vérifier que le numéro appelant est exact et n'a pas été usurpé. Dans un appel STIR/SHAKEN, le fournisseur de services d'origine signera (ou attestera) sa relation avec l'appelant et son droit d'utiliser le numéro appelant.
au sein de la Protocole d'ouverture de session (SIP) d'une communication vocale numérique, STIR offre la possibilité d'authentifier l'identification de l'appelant. Le protocole SHAKEN définit l'architecture de bout en bout requise pour mettre en œuvre l'authentification de l'identification de l'appelant à l'aide de STIR dans le réseau téléphonique.
Un flux de travail STIR / SHAKEN typique
Lorsqu'une personne initie un appel téléphonique, l'appelant émet une INVITE SIP, qui est transmise au fournisseur de services d'origine. Une fois reçu, le fournisseur vérifie la source de l'appel et le numéro appelant pour déterminer leur niveau d'attestation. Trois options sont généralement disponibles :
- Dans l'attestation complète ou « A », le fournisseur de services sait qui est le client et peut se porter garant de son droit d'utiliser un numéro de téléphone particulier.
- Dans l'attestation partielle ou « B », le fournisseur de services connaît le client, mais ne connaît pas la source du numéro de téléphone.
- Dans la passerelle ou l'attestation "C", le fournisseur de services ne peut pas authentifier la source d'un appel (qui peut, par exemple, être une passerelle internationale) - même si le fournisseur de services lance l'appel sur le réseau.
Le fournisseur de services d'origine utilisera un service d'authentification pour créer un en-tête d'identité SIP chiffré. Celui-ci se compose de plusieurs éléments, dont :
- Le numéro d'où provient l'appel
- Le numéro de réception
- La date actuelle et un horodatage de l'appel
- Le niveau d'attestation
- Un identifiant d'origine unique, qui aide à retracer l'appel
Après cela, l'invitation SIP et l'en-tête d'identité SIP sont envoyés au fournisseur de terminaison, qui transmet l'invitation SIP à un service de vérification. Si l'appel est vérifié avec succès, le fournisseur de terminaison prend une décision finale sur l'opportunité de terminer ou de bloquer l'appel. Pour prendre cette décision, ils tiendront compte du niveau d'attestation, ainsi que d'autres facteurs tels que les informations pertinentes contenues dans leurs propres analyses d'appels.
Comment ça marche plus en détail
Dans les coulisses, une implémentation typique de STIR/SHAKEN se compose de plusieurs composants. Ils comprennent:
Le serveur d'authentification STI (STI-AS) : Cela fournit une interface de programmation d'application connue sous le nom d'API REST, qui est responsable de la signature des demandes. A cette fin, l'API a accès aux clés privées dans le SKS (Secure Key Store).
Le serveur de vérification STI (STI-VS) : Cela fournit l'API REST qui joue un rôle dans le traitement des demandes de vérification. Cette API récupère également les clés publiques de l'Internet public à l'aide de l'URL contenue dans la demande de vérification.
L'authentificateur : Il s'agit du composant du réseau de l'opérateur qui appelle les services d'authentification et de signature pour créer et vérifier les signatures numériques.
Le magasin de clés sécurisé (SKS) : Étant donné que chaque clé privée utilisée dans la vérification STIR/SHAKEN est un secret connu uniquement de l'opérateur qui signe l'appel, il est important de protéger ces actifs. Le SKS sert de référentiel sécurisé à cette fin. Il fournit également les clés privées telles qu'elles sont utilisées par le STI-AS dans les demandes de signature.
Le référentiel de certificats STI (STI-CR) : Ce serveur Web sécurisé héberge des certificats publics et est accessible aux fournisseurs de services sur l'Internet public. Chaque fournisseur de services avec des clés privées SHAKEN dans un Secure Key Store doit avoir un STI-CR correspondant où ses certificats publics sont publiés.
Le serveur de gestion de clés (SP-KMS) : Cela fournit une gestion automatisée des certificats et des clés et remplit un certain nombre de fonctions. Le SP-KMS demande et reçoit un jeton du STI-PA via une interface HTTP, en plus de demander un certificat STI du STI-CA. Il génère également une paire de clés privée et publique pour la signature et la vérification, en les stockant respectivement dans le SKS et le STI-CR.
Applications actuelles et futures de STIR/SHAKEN
Au fur et à mesure que STIR / SHAKEN se répandra, les systèmes d'analyse en temps réel gagneront en capacité à différencier les appels falsifiés des appels authentiques, et en un pouvoir accru pour filtrer les mauvaises communications qui peuvent nuire à l'expérience téléphonique des abonnés au réseau.
STIR/SHAKEN a également le potentiel de fournir une méthodologie normalisée pour retracer l'origine des appels. Cela a été difficile à réaliser à ce jour, étant donné le nombre de réseaux et de connexions disparates qui sont généralement impliqués. Cependant, STIR/SHAKEN inclut une fonction de traçage normalisée qui représente le point d'origine d'un appel dans chaque réseau. Cela ouvre la possibilité de rationaliser le processus de traçabilité.
À l'avenir, l'adoption de STIR/SHAKEN pourrait également permettre de créer une forme d'affichage standardisé, qui confirme aux destinataires des appels que l'identification de l'appelant de la partie qui lance un appel entrant a été entièrement vérifiée. Il peut s'agir, par exemple, d'un affichage du nom de l'appelant et de l'objet de l'appel.
Remuer/secouer à partir de novembre 2024
Voici quelques-unes des dernières mises à jour sur STIR/SHAKEN en date de novembre 2024 :
- Mises à jour réglementaires de la FCC:
- La FCC affine les réglementations STIR/SHAKEN pour renforcer l'intégrité du cadre, en particulier lorsque les fournisseurs de services font appel à des tiers pour la mise en œuvre. L'objectif est de limiter les appels mal authentifiés et de renforcer la responsabilité dans le processus d'authentification de l'identifiant de l'appelant.
- Les obligations élargies imposent désormais à tous les fournisseurs, y compris les fournisseurs intermédiaires et non-passerelles, de participer à la base de données de réduction des appels automatisés, détaillant les pratiques visant à bloquer les appels automatisés illégaux et décrivant les procédures de « connaissance du fournisseur en amont ». Ces mesures améliorent la traçabilité et l’application des mesures.
- Participation et efficacité:
- La participation au programme STIR/SHAKEN continue de croître. En octobre 2024, le nombre de prestataires autorisés dans le cadre du programme a augmenté de 2.3 %, et le pourcentage d’appels signés est resté stable à un peu moins de 50 % à la fin du programme.
- Alors que le pourcentage d’appels avec une attestation complète de niveau A a légèrement diminué, les attestations de niveau B et C ont connu des augmentations marginales, reflétant un changement dans la façon dont les appels sont signés.
- Tendances des appels automatisés:
- Malgré une participation accrue, les appels automatisés signés avec une attestation de niveau A par des signataires d'appels automatisés prolifiques restent élevés, représentant 58.3 % de ces appels en octobre 2024.
- La FCC a introduit des outils d'application plus stricts, notamment des pénalités par appel et un retrait accéléré de la base de données d'atténuation des appels automatisés en cas de non-conformité.
Ces mises à jour soulignent les efforts continus visant à améliorer l'authentification des appels, à réduire les appels automatisés et à garantir la conformité dans l'ensemble du secteur des télécommunications. Pour plus de détails, vous pouvez consulter des ressources telles que les résumés des réunions publiques de la FCC et les rapports des leaders du secteur tels que TransNexus.
Pour commencer à utiliser STIR/SHAKEN pour authentifier les appels sur votre réseau dès maintenant, vous pouvez accéder à notre outil gratuit ici à IDT.
une réponse
Il n’y a pas si longtemps, vous n’avez pas pu installer cette application sur votre téléphone portable, car il y a de fausses informations ! J'ai besoin d'un paiement précis pour obtenir une application ? Côme baixar