Stir/Shaken

STIR/SHAKEN est une suite de protocoles et de procédures conçue pour lutter contre l'usurpation d'identité de l'appelant sur les réseaux téléphoniques publics. L'usurpation d'identité de l'appelant est utilisée par les automates d'appel pour masquer leur identité ou pour faire croire que l'appel provient d'une source légitime, souvent un numéro local ou une agence bien connue.

Le développement de STIR/SHAKEN a commencé en réponse à l'augmentation des appels automatisés frauduleux, où des acteurs malveillants manipulent les informations d'identité de l'appelant pour dissimuler leur identité. Le cadre a été développé par l'Internet Engineering Task Force (IETF) et repose sur les principes de la cryptographie à clé publique.

STIR/SHAKEN utilise des certificats numériques pour garantir que le numéro d'appel d'un appel téléphonique est sécurisé. Le cadre fonctionne en deux parties principales^[1] :

• STIR : Cette composante spécifie comment l'identité d'un appelant est vérifiée à l'aide de certificats numériques. Elle implique l'utilisation d'en-têtes d'identité SIP pour transporter les informations d'identité.
• SHAKEN : Cette composante décrit les aspects opérationnels de la mise en œuvre de STIR dans les réseaux téléphoniques existants. Elle inclut des directives pour les fournisseurs de services sur la manière de gérer les appels avec des informations d'identité de l'appelant vérifiées.

La mise en œuvre de STIR/SHAKEN comprend plusieurs étapes clés :

1. Gestion des Certificats : Les fournisseurs de services obtiennent des certificats numériques auprès d'une autorité de certification (CA) de confiance. 2. Signature des Appels : Lorsqu'un appel est initié, le fournisseur de services d'origine signe l'appel avec sa clé privée, en attachant une signature numérique. 3. Vérification des Appels : Le fournisseur de services de terminaison vérifie la signature numérique à l'aide de la clé publique du fournisseur de services d'origine. 4. Gestion des Appels : En fonction du résultat de la vérification, le fournisseur de services de terminaison décide de la manière de gérer l'appel (par exemple, autoriser, bloquer ou marquer comme suspect).

Aux États-Unis, la Commission fédérale des communications (FCC) a rendu obligatoire l'utilisation des protocoles STIR/SHAKEN à partir du 30 juin 2021^[2].

Au Canada, le Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC) a imposé l'utilisation des protocoles à partir du 30 novembre 2021^[3].

En France, cette technologie est expérimentée par les opérateurs depuis le 1er octobre 2024^[4].

• Réduit l'incidence de l'usurpation d'identité de l'appelant.
• Améliore la confiance dans le réseau téléphonique.
• Fournit une approche standardisée de l'authentification de l'identité de l'appelant.

• Nécessite une adoption généralisée par les fournisseurs de télécommunications.
• Dépend de la sécurité de l'infrastructure à clés publiques (ICP) sous-jacente.
• Peut ne pas être efficace contre toutes les formes de fraude téléphonique.

• Ne vérifie pas directement l'identité de l'appelant, mais plutôt l'opérateur d'origine.
• Repose sur des autorités de certification de confiance, ce qui peut limiter son efficacité à l'international.
• Nécessite la transmission de signatures numériques, ce qui peut être limitant pour les réseaux non-IP.

• Identification de l'appelant
• Démarchage
• Infrastructure à clés publiques

• Site Officiel de l'IETF
• Informations de la FCC sur STIR/SHAKEN

• Portail des télécommunications