Bonjour, Voici dans les grandes lignes ma compréhension du système à date.
Une fois que le MAN sera déployé et complètement activé, les opérateurs (de transit et de terminaison) sont supposés couper les appels non signés ou mal signés, et remonter l'information à l'APNF. Concrètement, chaque appel porte une signature, apposé par un opérateur (identifié par le certificat dont il indique la référence dans l'en-tête), avec un niveau de confiance : - A : J'ai injecté l'appel sur le réseau, je connais le client source, et j'ai vérifié qu'il avait le droit de présenter ce numéro - B : J'ai injecté l'appel sur le réseau, je connais le client source, mais je n'ai pas vérifié qu'il avait le droit de présenter ce numéro - C : J'ai injecté l'appel sur le réseau, mais depuis une source tierce ; je n'ai rien pu vérifier (appel international, transfert d'appel). Lorsqu'un opérateur de transit ou de terminaison reçoit un appel, il est censé : 0. Laisser passer les appels d'urgence 1. Couper l'appel s'il présente un numéro appelant français, un numéro appelé français, mais pas de signature ou une signature malformée ; 2. Récupérer de sa copie locale de la base de certificats le certificat référencé dans l'en-tête STIR/Shaken ; 3. Vérifier la signature — et couper l'appel si elle est invalide. Concrètement, rien n'empêche à ce stade un opérateur de signer au niveau A un appel qu'il reçoit d'un centre d'appel international ou autre. En revanche, l'opérateur en question prend de fait la responsabilité de l'appel ; les opérateurs de terminaison peuvent donc déterminer d'où vient la fraude. Cela donnera des éléments concrets pour soit bloquer les appels émanant de cet opérateur, soit le signaler à l'ARCEP pour punition. In fine, tout dépendra de la volonté de l'ARCEP à policer ce beau monde, et de la capacité des opérateurs de terminaison à identifier les appels abusifs… Mais le MAN a été accéléré par l'ARCEP suite à une hausse de la grogne côté politique ; et les banques commencent à avoir de vrais soucis de fraude à l'usurpation de numéro appelant, ce qui a de bonnes chances d'augmenter la pression sur ce beau monde. -- Raphaël Barrois On Thu, 16 May 2024 at 10:29, Gérald Vannier <gerald.vann...@mmtt.fr> wrote: > Oui, le MAN s’applique au niveau national, mais il faut intégrer ce genre > d’usages qui exist(ai)ent : > > * Call center à l’étranger, branché sur un opérateur local à > l’étranger qui envoie vers la France en passant par un opérateur français > * Envoi appel vers France avec des numéros sources français > * Le numéro source « appartient » à l’opérateur français qui reçoit > l’appel / L’opérateur français termine l’appel > * Le numéro source « n’appartient pas » à l’opérateur français qui > reçoit l’appel / L’opérateur français ne termine pas l’appel et le > transmet (transit) > > Comment l’opérateur français va noter/évaluer la confiance/la légitimité > de l’appel dans le numéro ? > Je ne sais pas si finalement c’est encore autorisé. Le client étranger > doit ( ?) contractualiser avec un opérateur français. > Ce point est important car de ce que nous avons expérimenté, les > usurpations arrivaient à travers des opérateurs étrangers. > > Idem, j’appelle un numéro étranger qui redirige vers un numéro français : > l’appel part sur opérateur étranger et revient.. > > J’avoue que je ne sais pas trop où on en est sur ces cas d’usages. > Quelqu’un sait côté frnog ? > > Gérald > > > > From: Adrien Versnaeyen <a.versnae...@gmail.com> > Sent: mercredi 15 mai 2024 23:08 > To: Gérald Vannier <gerald.vann...@mmtt.fr> > Cc: Jeremy <li...@freeheberg.com>; Daniel <t...@tootai.net>; > frnog@frnog.org > Subject: Re: [FRnOG] [MISC] Spoofing téléphonique : où en est-on ? > > Bonjour, > > Pour le moment je suis plutot d'accord avec votre ressenti. > > En revanche je pensais que ce dispositif n'allait s'appliquer que pour des > appels nationaux et que , part conséquent, la vérification ne serait pas > activée sur les intercos avec des carriers internationaux. Du coup les > appels a destination de clients français en France sont aussi pris en > compte ? > > Cdt, > > Adrien > > > Le mer. 15 mai 2024, 09:40, Gérald Vannier <gerald.vann...@mmtt.fr<mailto: > gerald.vann...@mmtt.fr>> a écrit : > Bonjour, > Je n'ai pas tout à fait le même sentiment. > L'implémentation rencontre qlq soucis, mais ça reste rare et sans doute > normal, tout le monde est encore en phase de rodage. > Prendre un incident (important certes) et s'appuyer dessus pour dire que > ça se déroule mal me semble abusé. > Un point pour vous : le projet a dj un bon décalage de planning. > > Sur la robustesse de l'infra, nous avons choisi de ne pas faire d'appel en > temps réel à chq appel, nous rechargeons uniquement lors de changement de > certificats notifié par le système, cela ne doit pas écrouler la partie > serveur. C'est vrai que si tous les opérateurs interrogent le service à chq > appel, ça peut devenir chaud. > > Je vous rejoins sur l'implémentation : zones d'ombres restantes, > interfaces déclarées mais la mise en place réelle est toujours d'actualité > (certains opérateurs "importants" ont écrit ne pas être tout à fait prêts > et nous sommes en attente de réalisation de tests sur leurs interco). > Septembre devra être scruté avec bcp d'attention puisque c'est à ce moment > que les opérateurs pourraient couper les appels "illégitimes" au sens MAN. > Je partage vos doutes sur les appels internationaux, les derniers spoofing > que nous avons traités arrivaient sur notre interco Orange à partir > d'opérateurs étrangers (j'avoue que je n'ai pas tout le chemin) : les > opérateurs pourront noter l'appel avec une note basse mais pourra-t-on > couper, aura-t-on tous les éléments permettant de le faire à bon escient ? > (et avoir une solution international semble compliqué : > https://commsrisk.com/global-stir-shaken-is-dead-what-comes-next/) > > La documentation gérée par l'APNF me semble très correcte, à quoi > faites-vous référence ? Nous recevons des notification emails qd il y a des > mises à jour. Il y a eu qlq visio pour expliquer et répondre aux questions > (peu nombreuses ces visio, mais je n'ai pas identifié qu'elles n'étaient > pas suffisantes). Les équipes APNF sont réactives et répondent aux > questions. > > Votre remarque sur le fait que le dispositif soit porté par un groupement > d'opérateurs : bien vu ! Je n'avais pas mis le doigt dessus. Plus > généralement, plusieurs services qui devraient relever de l'état sont > confiés à l'APNF (les urgences...), c'est effectivement un point qui peut > gratter. > > A suivre... mais ça me semble aller un peu plus vitre que l'IPV6 😉 > > Gérald > > -----Original Message----- > From: frnog-requ...@frnog.org<mailto:frnog-requ...@frnog.org> < > frnog-requ...@frnog.org<mailto:frnog-requ...@frnog.org>> On Behalf Of > Jeremy > Sent: mardi 14 mai 2024 23:26 > To: Daniel <t...@tootai.net<mailto:t...@tootai.net>>; frnog@frnog.org > <mailto:frnog@frnog.org> > Subject: Re: [FRnOG] [MISC] Spoofing téléphonique : où en est-on ? > > Mais dans la réalité, l'implantation du MAN se déroule extrêmement mal > autant coté opérateurs que coté APNF. > Pour exemple, pas plus tard que la semaine dernière, l'un des certificat > racine permettant d'authentifier les appels n'a pas été renouvelé dans les > temps par les équipes en charge. > Heureusement que ce n'est pas encore implémenté chez beaucoup > d'opérateurs, car évidemment, sans certificat valide, plus d'appels tout > court. > > Nous sommes également plusieurs opérateurs à avoir émis de sérieux doutes > quand à la capacité de l'infrastructure à tenir la charge des flux lié aux > demandes d'authentification de la part des opérateurs, ou de > l’interopérabilité avec les appels venant de l'étranger. > Je suis également particulièrement agacé que ce dispositif soit porté par > un groupement d'opérateur (principalement nationaux) qui ont de ce fait > tout loisir de disposer d'informations, de statistiques et de données liés > à leur concurrents et à leur volume d'échange d'appels, ou autrement dit, > leur part de marché. J'ai toujours pensé que ce service aurait du être > porté par un service d’État pour assurer une neutralité de traitement et > une anonymisation des données. Évidemment, l'équipe dirigeante m'a assuré > de cette discrétion mais dans les faits, je n'ai reçu aucune garantie > technique ou juridique me permettant d'être certain que nos flux ne seront > pas inspectés en détail. OPA, quand tu nous tiens... > > La documentation, l'accompagnement et la définition précise de la nouvelle > norme MAN semblent être aux abonnés absents puisque nous sommes nombreux à > être laissé pour compte au bord de la route. Heureusement qu'on est > accompagné par un infogéreur expérimenté qui s'est déjà amusé sur cette > technologie, et qui n'a fait que confirmer nos craintes. > > Par ailleurs, ça fait déjà plus de 1 an que cette technologie devrait être > "obligatoire", mais la date est continuellement repoussée pour tous les > problèmes cités précédemment. > > A noter qu'aux USA, seul 40% des appels sont désormais authentifiés, alors > que la norme est obligatoire depuis plusieurs années déjà. Les opérateurs > sont donc contraint de continuer à laisser passer les appels non > authentifier au risque de ne plus rien recevoir. > > En bref, j'ai le sentiment que ce sujet va être encore plus compliqué que > ipv6 à être déployé, sans compte le cout (que je considère) exorbitant pour > adhérer à l'APNF et à la certification MAN, cout qui ne trouve, à mon sens, > aucune justification vu la qualité de l'accompagnement et du déploiement. > > Conclusion, soyez patient, et priez. > > Jérémy > > Le 14/05/2024 à 15:27, Daniel via frnog a écrit : > > Bonjour. Aux dernières nouvelles le MAN devrait être actif > > définitivement en septembre > > > > Le 14/05/2024 à 15:22, Hervé BRY via frnog a écrit : > >> Bonjour la liste, > >> > >> Je viens une nouvelle fois, comme probablement nombre d'entre vous, > >> d'être victime d'un spoofing de mon numéro mobile : une personne > >> m'appelle en me disant "qui êtes vous, vous venez de m'appeler ?" > >> alors que bien évidemment je ne l'ai jamais appelé. Cela semble se > >> multiplier ces derniers mois. Un collègue m'a même fait part d'un > >> appel qu'il a reçu usurpant le numéro d'un commissariat parisien et, > >> contactée, la police ne pouvait rien faire d'autre que confirmer le > >> problème ! > >> > >> J'avais en tête depuis une conférence FRnOG il y a quelques temps > >> déjà que la mise en place des protocoles STIR/SHAKEN et autres > >> joyeusetés était en cours en France. Savez-vous où en est le > >> déploiement ? Y a-t-il une échéance pour le filtrage des appels non > >> authentifiés ? > >> > >> Hervé BRY > >> Head of Infrastructure > >> Geneanet (http://www.geneanet.org) > >> > >> --------------------------- > >> Liste de diffusion du FRnOG > >> http://www.frnog.org/ > > > > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
