Le MAN (Mécanisme d’Authentification des Numéros) a été mis en place par le législateur afin « d’apporter une brique supplémentaire dans les mécanismes de protection des consommateurs ». Cela découle de la loi n° 2020 - 901 du 24 juillet 2020 (ou Loi Naegelen) visant à encadrer le démarchage téléphonique et à lutter contre les appels frauduleux.

Dans l’article 10 de la loi du 24 juillet 2020, il est indiqué que « les opérateurs sont tenus de s'assurer que, lorsque leurs clients utilisateurs finals utilisent un numéro issu du plan de numérotation établi par l'autorité comme identifiant d'appelant pour les appels et messages qu'ils émettent, ces utilisateurs finals sont bien affectataires dudit numéro ou que l'affectataire dudit numéro a préalablement donné son accord pour cette utilisation ».

Ne pas être trompé sur l’identité de la personne

Son but est de « garantir que toute personne recevant un appel ou un message ne soit pas trompée sur l’identité de la personne à l’origine de cette communication ». Il arrive presque deux ans après la protection renforcée de l’OAdC, un identifiant permettant de personnaliser le nom de l’expéditeur d’un SMS (nous allons y revenir).

Dans le cas du MAN, la cible est large : il concerne tous les opérateurs qui exploitent des ressources en numérotation ou par qui transitent des appels (peu importe leurs interconnexions avec les autres opérateurs). Le déploiement s’est fait en deux phases, avec du retard à l’allumage.

La première a eu lieu le 1ᵉʳ juin de cette année : « Tous les opérateurs ont déployé le MAN […] et effectuent les remontées prévues (traces et volumétries) sur la plateforme MAN de façon à pouvoir communiquer des éléments consolidés et effectuer le suivi du dispositif ».

Depuis aujourd’hui, le mécanisme passe la seconde avec la coupure des appels non authentifiés. Elle devait initialement entrer en vigueur l’année dernière (le 25 juillet). « C’est un dispositif technique commun, très long et complexe à mettre en œuvre, et qui doit être déployé simultanément chez plus de 200 opérateurs présents sur le marché », expliquait Romain Bonenfant (directeur général de la Fédération française des télécoms) au Parisien en février dernier.

STIR et SHAKEN aux commandes, avec des limitations

Le fonctionnement est basé sur le couple STIR (Secure Telephone Identity Revisite) et SHAKEN (Signature-based Handling of Asserted information using toKENs). Ça ne vous parle pas plus que ça ? Lexing Avocats propose une version un peu plus digeste :

Stir « vise à prévenir les appels frauduleux utilisant la technologie VoIP, en vérifiant l’identité téléphonique grâce à des signatures numériques et à des attestations d’identité ». De son côté, Shaken « s’occupe de l’authentification des communications téléphoniques. Il vise à fournir une preuve tangible et fiable que l’appel provient réellement de l’identité de son émetteur ». La FFTélécoms a mis en ligne de la documentation technique par ici (.pdf).

Il y a plusieurs limitations à prendre en compte, précise Lexing Avocats. La plus importante est certainement que « le Réseau Téléphonique Commuté (RTC) ou les réseaux mobiles 2G et 3G par exemple, même s’ils sont amenés à progressivement disparaître, ne gèrent pas le protocole Stir/Shaken. Comme Stir/Shaken ne fonctionne que pour les appels VoIP, les réseaux d’anciennes générations n’assureront pas l’authentification ».

Pour rappel, la VoLTE (Voix over LTE ou 4G) est maintenant en bonne place dans le paysage des télécoms (sans être présente partout), alors que la VoNR (Voice over New Radio) commence seulement à arriver. Autre point, la certification « peut poser un problème avec les appels depuis l’international puisque les opérateurs étrangers ne sont pas soumis à la législation française ».

• Free saute le pas de la 5G SA sur son réseau national

Les noms des expéditeurs de SMS mieux encadrés

Toujours dans le but de mieux protéger les utilisateurs des arnaques téléphoniques, une protection renforcée de l’OAdC (Originator Address Code Information) a été mise en place au début de l’année 2023.

Comme le rappelle la Banque de France (.pdf), cette fonctionnalité permet de remplacer le numéro de téléphone de l’expéditeur par un code alphanumérique avec un maximum de 11 caractères. Airbnb, Nespresso, Telegram, Microsoft, Doctolib, etc. Les exemples sont nombreux et vous en avez certainement dans la liste de vos SMS.

Problème, en cas d’une utilisation frauduleuse, cela laisse « entendre au destinataire du SMS que ce dernier provient d’un expéditeur légitime (banque, service public, etc.) ». L’AF2M (Association Française pour le développement des services et usages Multimédias Multi-opérateurs) a donc renforcé son mécanisme de protection.

Il comprend deux volets :

• L’usage des OAdC correspondant à des marques, entreprises ou services publics existants est réservé à leur détenteur légitime. Ces OAdC ne doivent être utilisés qu’avec l’autorisation de ce détenteur.
• L’usage des OAdC pouvant susciter une confusion avec une marque, une entreprise ou un service public existant est interdit. À ce titre, l’AF2M établit une liste noire des OAdC présentant une proximité trompeuse avec les OAdC sensibles, et pour lesquels l’émission de SMS doit être bloquée par les opérateurs.

La Banque de France ajoute que la liste des OAdC sensibles et interdits est mise à jour régulièrement, « notamment sur la base des signalements envoyés par les particuliers au 33700 (plateforme nationale de déclaration des SMS non sollicités mise en place par l’AF2M) ».

Des listes mises à jour en continu

Brigitte De Ducla (responsable déontologie fraude chez Orange) expliquait il y a quelques mois que ces « règles sont en évolution constante et mises à jour en permanence ». Nous n’avons pas trouvé de listes publiques des OAdC sensibles ou interdits sur le site de l’AF2M.

On trouve par contre des exemples dans les CGV de Networth, une société spécialisée dans « les solutions télécoms sur mesure pour les entreprises ». L’opérateur bloque les OAdC constitués d’une lettre et de quatre chiffres, comprenant uniquement des chiffres, ainsi que « les noms sensibles tels que "Orange", "Gouv", "Impôt", "Ameli", "CPF", "BRED", "Paypal", "EDF", "COLISSIMO" et d’autres de nature similaire ».

« Les opérateurs, sur la base de ces signalements, en fonction de leur récurrence et de leur gravité, peuvent se retourner contre les expéditeurs de messages et les émetteurs d’appels, et peuvent aller jusqu’à la fermeture des numéros », indique l'Arcep. Un signalement au 33700 est donc important.

Un appel du 0800 112 112 ? Décrochez, ce n’est pas un spam

Une dernière information importante pour la route : « À compter du 1ᵉʳ octobre 2024, les appels émis par les centres d'opérations de la gendarmerie, de la police, des pompiers et du SAMU, s'identifieront sur votre téléphone par le 0800 112 112. Il ne s'agit pas d'un appel malveillant ou commercial, mais celui d'un service d'urgence. Vous pourrez y répondre en toute confiance et sans aucun coût pour vous ».

[IMPORTANT]⚠️
A compter d'aujourd'hui, tous les 📞 émis par les opérateurs 18/112 🚒 seront identifiés: 0 800 112 112.
De même pour les appels du SAMU ou de la Gendarmerie. Alors si vous recevez un 📞de ce numéro, décrochez sans crainte ! Les numéros d'urgence restent inchangés. pic.twitter.com/qrMYy4G5dq

— Pompiers17 (@SDIS17) September 30, 2024