Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Spam téléphonique : des protections renforcées sur les appels et les SMS

Ça va couper chérie, v2

Spam téléphonique : des protections renforcées sur les appels et les SMS

À partir d’aujourd’hui, les opérateurs coupent les appels non authentifiés. On vous explique le fonctionnement (et les limitations) de ce mécanisme. On en profite pour revenir sur un renforcement de la sécurité sur les noms des expéditeurs de SMS (OAdC) mis en place début 2023.

Le 01 octobre à 14h35

Le MAN (Mécanisme d’Authentification des Numéros) a été mis en place par le législateur afin « d’apporter une brique supplémentaire dans les mécanismes de protection des consommateurs ». Cela découle de la loi n° 2020 - 901 du 24 juillet 2020 (ou Loi Naegelen) visant à encadrer le démarchage téléphonique et à lutter contre les appels frauduleux.

Dans l’article 10 de la loi du 24 juillet 2020, il est indiqué que « les opérateurs sont tenus de s'assurer que, lorsque leurs clients utilisateurs finals utilisent un numéro issu du plan de numérotation établi par l'autorité comme identifiant d'appelant pour les appels et messages qu'ils émettent, ces utilisateurs finals sont bien affectataires dudit numéro ou que l'affectataire dudit numéro a préalablement donné son accord pour cette utilisation ».

Ne pas être trompé sur l’identité de la personne

Son but est de « garantir que toute personne recevant un appel ou un message ne soit pas trompée sur l’identité de la personne à l’origine de cette communication ». Il arrive presque deux ans après la protection renforcée de l’OAdC, un identifiant permettant de personnaliser le nom de l’expéditeur d’un SMS (nous allons y revenir).

Dans le cas du MAN, la cible est large : il concerne tous les opérateurs qui exploitent des ressources en numérotation ou par qui transitent des appels (peu importe leurs interconnexions avec les autres opérateurs). Le déploiement s’est fait en deux phases, avec du retard à l’allumage.

La première a eu lieu le 1ᵉʳ juin de cette année : « Tous les opérateurs ont déployé le MAN […] et effectuent les remontées prévues (traces et volumétries) sur la plateforme MAN de façon à pouvoir communiquer des éléments consolidés et effectuer le suivi du dispositif ».

Depuis aujourd’hui, le mécanisme passe la seconde avec la coupure des appels non authentifiés. Elle devait initialement entrer en vigueur l’année dernière (le 25 juillet). « C’est un dispositif technique commun, très long et complexe à mettre en œuvre, et qui doit être déployé simultanément chez plus de 200 opérateurs présents sur le marché », expliquait Romain Bonenfant (directeur général de la Fédération française des télécoms) au Parisien en février dernier.

STIR et SHAKEN aux commandes, avec des limitations

Le fonctionnement est basé sur le couple STIR (Secure Telephone Identity Revisite) et SHAKEN (Signature-based Handling of Asserted information using toKENs). Ça ne vous parle pas plus que ça ? Lexing Avocats propose une version un peu plus digeste :

Stir « vise à prévenir les appels frauduleux utilisant la technologie VoIP, en vérifiant l’identité téléphonique grâce à des signatures numériques et à des attestations d’identité ». De son côté, Shaken « s’occupe de l’authentification des communications téléphoniques. Il vise à fournir une preuve tangible et fiable que l’appel provient réellement de l’identité de son émetteur ». La FFTélécoms a mis en ligne de la documentation technique par ici (.pdf).

Il y a plusieurs limitations à prendre en compte, précise Lexing Avocats. La plus importante est certainement que « le Réseau Téléphonique Commuté (RTC) ou les réseaux mobiles 2G et 3G par exemple, même s’ils sont amenés à progressivement disparaître, ne gèrent pas le protocole Stir/Shaken. Comme Stir/Shaken ne fonctionne que pour les appels VoIP, les réseaux d’anciennes générations n’assureront pas l’authentification ».

Pour rappel, la VoLTE (Voix over LTE ou 4G) est maintenant en bonne place dans le paysage des télécoms (sans être présente partout), alors que la VoNR (Voice over New Radio) commence seulement à arriver. Autre point, la certification « peut poser un problème avec les appels depuis l’international puisque les opérateurs étrangers ne sont pas soumis à la législation française ».

Les noms des expéditeurs de SMS mieux encadrés

Toujours dans le but de mieux protéger les utilisateurs des arnaques téléphoniques, une protection renforcée de l’OAdC (Originator Address Code Information) a été mise en place au début de l’année 2023.

Comme le rappelle la Banque de France (.pdf), cette fonctionnalité permet de remplacer le numéro de téléphone de l’expéditeur par un code alphanumérique avec un maximum de 11 caractères. Airbnb, Nespresso, Telegram, Microsoft, Doctolib, etc. Les exemples sont nombreux et vous en avez certainement dans la liste de vos SMS.

Problème, en cas d’une utilisation frauduleuse, cela laisse « entendre au destinataire du SMS que ce dernier provient d’un expéditeur légitime (banque, service public, etc.) ». L’AF2M (Association Française pour le développement des services et usages Multimédias Multi-opérateurs) a donc renforcé son mécanisme de protection.

Il comprend deux volets :

  • L’usage des OAdC correspondant à des marques, entreprises ou services publics existants est réservé à leur détenteur légitime. Ces OAdC ne doivent être utilisés qu’avec l’autorisation de ce détenteur.
  • L’usage des OAdC pouvant susciter une confusion avec une marque, une entreprise ou un service public existant est interdit. À ce titre, l’AF2M établit une liste noire des OAdC présentant une proximité trompeuse avec les OAdC sensibles, et pour lesquels l’émission de SMS doit être bloquée par les opérateurs.

La Banque de France ajoute que la liste des OAdC sensibles et interdits est mise à jour régulièrement, « notamment sur la base des signalements envoyés par les particuliers au 33700 (plateforme nationale de déclaration des SMS non sollicités mise en place par l’AF2M) ».

Des listes mises à jour en continu

Brigitte De Ducla (responsable déontologie fraude chez Orange) expliquait il y a quelques mois que ces « règles sont en évolution constante et mises à jour en permanence ». Nous n’avons pas trouvé de listes publiques des OAdC sensibles ou interdits sur le site de l’AF2M.

On trouve par contre des exemples dans les CGV de Networth, une société spécialisée dans « les solutions télécoms sur mesure pour les entreprises ». L’opérateur bloque les OAdC constitués d’une lettre et de quatre chiffres, comprenant uniquement des chiffres, ainsi que « les noms sensibles tels que "Orange", "Gouv", "Impôt", "Ameli", "CPF", "BRED", "Paypal", "EDF", "COLISSIMO" et d’autres de nature similaire ».

« Les opérateurs, sur la base de ces signalements, en fonction de leur récurrence et de leur gravité, peuvent se retourner contre les expéditeurs de messages et les émetteurs d’appels, et peuvent aller jusqu’à la fermeture des numéros », indique l'Arcep. Un signalement au 33700 est donc important.

Un appel du 0800 112 112 ? Décrochez, ce n’est pas un spam

Une dernière information importante pour la route : « À compter du 1ᵉʳ octobre 2024, les appels émis par les centres d'opérations de la gendarmerie, de la police, des pompiers et du SAMU, s'identifieront sur votre téléphone par le 0800 112 112. Il ne s'agit pas d'un appel malveillant ou commercial, mais celui d'un service d'urgence. Vous pourrez y répondre en toute confiance et sans aucun coût pour vous ».

Commentaires (36)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
"Dans l’article 10 de la loi du 24 juillet 2020, il est indiqué que « les opérateurs sont tenus de s'assurer que, lorsque leurs clients utilisateurs finals utilisent un numéro issu du plan de numérotation établi par l'autorité comme identifiant d'appelant pour les appels et messages qu'ils émettent, ces utilisateurs finals sont bien affectataires dudit numéro ou que l'affectataire dudit numéro a préalablement donné son accord pour cette utilisation »."

Pourtant aujourd'hui encore, le téléphone fixe de mes parents reçoit des appels de numéros bidonnés.

"Depuis aujourd’hui, le mécanisme passe la seconde avec la coupure des appels non authentifiés."

En espérant que ça fonctionne, c'est une excellente nouvelle.

"« peut poser un problème avec les appels depuis l’international puisque les opérateurs étrangers ne sont pas soumis à la législation française »"

merde

"Les opérateurs, sur la base de ces signalements"

Quels signalements ? Je n'ai pas compris cette partie.

"et peuvent aller jusqu’à la fermeture des numéros"

:mdr: ah oui la punition est sévère.
votre avatar
Le blocage d'un numéro ne sert à rien. Il faut aller jusqu'à interdire d'ouvrir une ligne pour que ça soit efficace.
votre avatar
3615 Code MaVie
Mon fils de 23 ans qui vit encore chez moi s'est fait refiler une assurance complémentaire santé l'année dernière (juin 2023). Heureusement, on a pu résilier dans le délai de rétractation.
Puis il y a 15 jours, un appel parce qu'il n'avait pas payé les mensualités d'un autre contrat (même pas de complémentaire santé) contracté en octobre 2023. Or, mon fils ne se souvient pas d'avoir contracté quelque contrat que ce soit (surtout après la première histoire). Sauf que la personne au bout du fil sait mettre la pression et qu'il lui a envoyé en plus un mail avec le contrat, l'échéancier et le mandat SEPA signé numériquement par lui. Il a malheureusement cédé à la pression et payé. Sauf que le soir, quand je suis rentré, on a vérifié sur son compte, il avait bien été prélevé tous les mois (ok, il ne regarde pas ses relevés de comptes).
Donc, 1) le non paiement des mensualités est un faux prétexte, 2) quelqu'un a souscrit un contrat à sa place.
Plainte à la police dès le lendemain et je suis en train de voir comment régler ça avec notre banque, Que Choisir et la DGCCRF.

Interdire le démarchage téléphonique est la seule solution.
votre avatar
Tous les prélèvements, autorisés ou non, des 8 dernières semaines sont remboursables sur simple demande à la banque. Ca fait déjà 2 mois de récupérés sans même réfléchir à d'autres démarches plus complexes.

Pour les prélèvements non autorisé, même chose mais sur les 13 derniers mois, la banque doit rembourser sur simple demande. S'il a été autorisé (même si vous n'en avez pas souvenir), ou pour les prélèvements antérieurs à 13 mois, la banque ne pourra plus intervenir.

A votre place, je demanderais à la banque de rembourser immédiatement les 13 derniers mois en disant qu'il s'agit d'un prélèvement non autorisé, charge à elle de prouver qu'il était autorisé, sachant que les banques ne reçoivent plus les mandats de prélèvement, elle devra contacter le créancier ou sa banque pour l'obtenir (ne le lui donnez pas vous-même même si vous en trouvez un). Si elle y arrive, elle devra rembourser quand-même les 2 derniers mois, sinon les 13 derniers. Et voir ensuite s'il reste des sommes non récupérées pour engager des procédures contre le créancier.

Si la banque casse les pieds, mise en demeure puis médiateur, c'est simple et normalement efficace.
votre avatar
La banque a déjà remboursé les 2 derniers prélèvements (8 semaines).
Mais elle n'a pas proposé les autres.
Je vais leur demander de les rembourser. Avez vous une référence de texte sur lequel m'appuyer ?
En plus il y a un truc (de plus) de bizarre : les 6 premiers prélèvements apparaissent sous le nom d'un service en ligne de recouvrement de factures et les autres sous le nom de la société d'assurances.
Tout ça ne sent pas bon. J'espère que l'enquête de police aboutira à quelque chose, même si je ne suis pas hyper confiant, vu les sommes en jeu.
Merci pour ces conseils.
votre avatar
Je n'ai pas de lien comme ça vers l'article de loi, mais une recherche rapide vous donnera des résultats dont celui-ci : service-public.fr Service Public

Les prélèvements non autorisés sont remboursables sous 13 mois sur simple demande sauf si la banque peut prouver qu'ils étaient autorisés. Si vous lui avez déjà dit qu'il était autorisé, c'est délicat du coup et c'est peut-être pour ça qu'elle ne vous a pas proposé mieux.

Vu que vous n'êtes apparemment pas sûr de l'avoir autorisé (la soi-disant signature du mandat fourni par e-mail par l'arnaqueur ne prouve rien, on peut écrire n'importe quoi dans un PDF), vous pouvez toujours avancer que vous vous êtes trompé et que finalement ce prélèvement n'était pas autorisé et demander le remboursement des 11 mois qui manquent. La banque ira vérifier le mandat et vous verrez bien le résultat.
votre avatar
Si la banque casse les pieds, mise en demeure puis médiateur, c'est simple et normalement efficace.
La banque n'a pas d'intérêt à casser les pieds, ce n'est pas elle qui paie.
Elle se fait rembourser par la banque du créancier (qui, elle, supporte un risque)
votre avatar
Il y a toujours des banques qui cassent les pieds, quelle que soit la raison, ne serait-ce que par flemme quand les montants sont petits.
votre avatar
Voilà pourquoi il faut TOUJOURS regarder ses comptes, régulièrement.
votre avatar
Le choix du 0800 112 112 est franchement mauvais. Pour le commun des mortels, 0800 c'est déjà la direction de la poubelle.
Un identifiant ultra court à 2 chiffres (comme les 15, 17, 18) ou 3 chiffres (117, 119, etc.) aurait été infiniment plus pertinent.
votre avatar
Pour le commun des mortels, 0800, c'est un numéro gratuit et c'est quasiment toujours mentionné à coté du numéro.
votre avatar
Il a raison, pour beaucoup de gens 08 = payant = poubelle.
votre avatar
Non, 0800 c'est gratuit, ça l'a toujours été depuis le début, comme les 05 à l'époque de la numérotation à 8 chiffres. Il en existe plein depuis des lustres, notamment en services publics, et c'est toujours indiqué gratuit donc les gens sont normalement au courant, notamment ceux qui regardent souvent la TV où il en passe très souvent. 08 c'est la catégorie de numéros spéciaux, qui comprend les 0800 gratuits, les 080 au prix d'une communication nationale, et les autres, notamment 083 et 084, surtaxés.

A contrario les numéros courts hors urgences ne sont pas gratuits, ils ne sont pas surtaxés non plus mais coûtent le prix d'une communication nationale, donc décomptés du forfait ou réellement payants en hors forfait. Un 0800 n'est pas décompté du forfait et n'est jamais payant tant qu'on l'appelle depuis la France.
votre avatar
08 c'est poubelle
votre avatar
Tu dis ça parce que l'on ne paye plus les appels vocaux à la durée puisqu'on a à peu près tous des forfaits et que l'intérêt des 0800 est devenu très faible.

Mais comme dit plus haut, le 0800 est un numéro gratuit.

On peut lire sur le site economie.gouv.fr :
Les numéros en 08 répondent à trois types de tarification :
>gratuite : c'est 100 % gratuit pour l'usager, même lorsqu'il appelle depuis un mobile. Cette tarification gratuite correspond aux indicatifs 0800 à 0805
>banalisée : le coût de la communication peut être facturé (cela dépend de votre opérateur et de votre abonnement), mais sans paiement du service lui-même. Cette tarification correspond aux indicatifs 0806 à 0809
>majorée ou surtaxée : c’est-à-dire avec un service payant, en plus du coût de communication. Cette tarification correspond aux indicatifs 081, 082, 089 et numéros à quatre chiffres de type 3xxx.

Donc, pour la plupart des gens, de 0800 à 0809, rien de plus à payer que son abonnement téléphonique.

La confusion vient du fait que des numéros de services payants ont été ajoutés dans la tranche des 08. Vu qu'il n'y a que 9 chiffres utilisables pour les tranches de numérotation, c'était difficile de faire différemment.
votre avatar
La confusion vient plutôt des numéros surtaxés en 089 (qui ne datent pas d'hier) car la plupart des gens ont pris l'habitude à raison de se méfier mais à tort de ne regarder que les 2 premiers chiffres, donc 08.
votre avatar
C'est exactement de ça dont je parle, mais je n'arrive pas à citer correctement sur le site, ce qui rend la lecture pas facile. (C'est si compliqué d'intégrer un interpréteur correct du Markdown ?)

On est d'accord qu'il faut regarder les 4 premiers chiffres et pas seulement les 2 premiers (08).
votre avatar
C'est surtout que je n'ai à ma connaissance jamais reçu d'appels légitimes d'un 08 à part d'Ingram.
votre avatar
Pour moi, les 0800 c'était payant. Et je ne pense pas que la majorité des gens s'amuse à croiser les données pour comprendre/apprendre que les 0800-0809 sont gratuits, mais les 081/etc. sont payants...

Tous les numéros dans les pubs sont en 08xx donc le 08 est associé au payant.

Je maintiens que prendre cette base pour un service d'une telle importance est un choix stupide. Et je maintiens qu'un numéro court aurait été judicieux.
votre avatar
Tu auras au moins appris quelque chose. Les numéros verts, ça ne te dit rien ? C'étaient des 0800 et c'est en œuvre depuis le plan de numérotation à 10 chiffres d'octobre 1996. On parle d'une époque où les communications téléphoniques étaient facturées à la durée, d'où leur intérêt. :phiphi:

Et utiliser un numéro court , le 112 par exemple aurait généré trop d'appels vers le service d'urgence 112. Un autre numéro court aurait été incompris et en plus, il faut les économiser, ces numéros.

À la limite, ils auraient pu utiliser le 0900 112 112, mais la tranche 090012 est déjà attribuée à Worldline France et le numéro peut-être déjà attribué.
votre avatar
Les 0800 a partir d'un mobil peut-être hors forfait...
C'est à partir d'un fixe qu'il est assure:ent gratuit (et depuis la France )
votre avatar
C'est clair. Je pense que je vais l'enregistrer en tant que contact pour éviter de le zapper si on m'appelle avec.
votre avatar
C'est bien, on fait un pas vers une vraie politique anti-spam des opérateurs.

LOL, ça a raccroché :D
votre avatar
Bon, j"ai quand même reçu un SPAM SMS aujourd'hui. Leur système est tout sauf parfait (mon tel l'avait quand même classé en SPAM ceci dit).
votre avatar
Idem, 1 SMS et 2 Appels (en 02...) heureusement identifiés par l'appli d'Orange qui est vraiment pratique :p
votre avatar
ENFIN !

Sur le plan technique, il faudrait que je lise les whitepaper mais je me demande s'il n'y pas un faille dans stir/shaken du fait qu'un opérateur peu coopératif dans un pays du tiers monde pourrait se permettre de signer n'importe quel appel ? Même si j'imagine qu'à ce moment là son certificat risque d'être révoqué par l'autorité de certification et donc de voir TOUS ses appels sortants bloqués.
D'ailleurs je me demande bien quelles sont les autorités de certifications actuelles.
votre avatar
Il n'y a qu'une autorité de certification, celle du MAN (APNF).
votre avatar
Je ne sais pas si ça marche vraiment, car j'ai reçu deux appels aujourd'hui. Un à 16h50 et un autre à 18h23.
votre avatar
Tant qu'ils présentent un numéro pour lequel ils ont un contrat, ça passe.
Osef bloctel.
La seule chose que ça évite, c'est l'usurpation de numéro. Le truc qui, perso, ne m'est jamais arrivé.
votre avatar
Ok, j'avais pas pigé ça. Merci pour la précision.
votre avatar
Ce système empêche l'affichage d'un numéro factice, par exemple 06 66 66 66 66 au moment de l'appel pour éviter toute usurpation d'identité. Il n'empêche en aucun cas le démarchage téléphonique.

Edit : Oups, je n'avais pas actualisé la page de l'appli PWA sur mobile. Du coup je n'avais pas vu la réponse de ZeMeilleur, my bad pour le doublon :D !
votre avatar
Sur ce sujet, je ne crois que ce que je vois, cela fait tellement d'années qu'on nous fait tourner en rond pour mettre fin aux appels publicitaires, et qu'aucune des parties ne fait vraiment les choses sérieusement (État et opérateurs) pour y mettre fin... Les prospecteurs doivent utiliser des plages de numéro spécifiques, mais qui propose une option pour bloquer de facto ces plages? Pourquoi Bloctel est une usine à gaz inefficace ?...
votre avatar
Quelqu'un a dit (dans l'actu précédente je crois), qu'une telle option est illégale en France.
votre avatar
Et interdire purement et simplement le démarchage par n’importe quel moyen (dont le porte à porte) c’est pour quand ? (Question réthorique vu la tête de notre assemblée…)
votre avatar
Mais "interdire" ça veux dire quoi en pratique ?
Encore faut-il avoir les moyens de faire respecter cette interdiction , sinon c'est juste du yakafokon.
Or actuellement il existe déjà des systèmes prévu pour les arnaques & nuisances téléphonique , c'est le 33700. Ca permet surtout de rassembler des faisceaux de preuve pour une action à long terme pour les plus gros abuseurs , mais clairement les plateformes étrangères...

Quant au porte-à-porte... pareil je vois pas trop comment faire à part appeler les flics à chaque fois (déjà qu'ils viennent pas quand il y a des violences ou du tapage nocturne...)
votre avatar
Bon apparemment ça n'a pas l'air très fonctionnel...
Centho arrive toujours à usurper les numéros. Sur mobile ?

Spam téléphonique : des protections renforcées sur les appels et les SMS

  • Ne pas être trompé sur l’identité de la personne

  • STIR et SHAKEN aux commandes, avec des limitations

  • Les noms des expéditeurs de SMS mieux encadrés

  • Des listes mises à jour en continu

  • Un appel du 0800 112 112 ? Décrochez, ce n’est pas un spam

Fermer