Stir et Shaken : à quoi servent-ils ?

Qui n’a pas été submergé d’appels téléphoniques de prospection, commerciale ou non, souvent passés au mépris des inscriptions sur des listes d’opposition, comme Bloctel, ou utilisant des numéros trompeurs quant à leur origine géographique ?

C’est pour tenter de lutter contre les appels téléphoniques non sollicités que les protocoles Stir et Shaken, qui servent à authentifier l’appelant et les données associées à celui-ci et à l’appel qu’il émet, ont été imaginés. L’objectif principal de ces protocoles, qui fonctionnent de façon combinée et sont complémentaires tout en étant adaptés aux communications utilisant la VoIP, est de réduire les appels automatisés frauduleux, afin de contribuer à atténuer les cas d’usurpation d’identité et autres menaces pesant sur la sécurité des réseaux.

Le protocole Stir (Secure Telephone Identity Revisited) vise à prévenir les appels frauduleux utilisant la technologie VoIP, en vérifiant l’identité téléphonique grâce à des signatures numériques et à des attestations d’identité.

Le protocole Shaken (Signature-based Handling of Asserted information using toKENs) s’occupe de l’authentification des communications téléphoniques. Il vise à fournir une preuve tangible et fiable que l’appel provient réellement de l’identité de son émetteur.

Mise en application

Le 25 juillet 2023 a constitué une échéance importante dans la mise en œuvre de ces deux protocoles, puisque leur déploiement, prévu par la loi Naegelen du 24 juillet 2020, devait être achevé à cette date.

Depuis, en effet, les opérateurs français seront tenus de mettre en place la technologie Stir-Shaken afin de filtrer les appels qui ne sont pas authentifiés. Le mécanisme Stir-Shaken opère au moyen d’infrastructures de clés cryptographiques classiques, qui autorisent les opérateurs à authentifier et à confirmer les en-têtes des appels téléphoniques SIP. Dans cette optique, il exploite des signatures numériques, approuvées par des certificats d’autorité, afin de certifier que l’appelant est effectivement la personne qu’il prétend être.

Ce processus se déroule en six étapes techniques principales qui, si elles sont correctement franchies, permettent, à chaque appel, que ce dernier soit acheminé normalement jusqu’à son destinataire final.
En cas d’échec, en revanche, l’opérateur qui ne parvient pas à authentifier correctement l’auteur de l’appel (qui peut être l’opérateur de départ, un opérateur de transit ou l’opérateur de terminaison de l’appel) a l’obligation légale d’interrompre l’acheminement de l’appel, sauf pour lui à se faire sanctionner par
l’Autorité de régulation des communications électroniques et des postes, selon les procédures prévues en ce cas par le code des postes et des communications électroniques.

Pas si facile…

Reste que, pour vertueuse que puisse apparaître l’intention poursuivie, des freins apparaissent :
la technologie concernée ne fonctionne pas sur les réseaux d’ancienne génération (RTC ou réseaux mobiles 2G et 3G qui ne sont pas à même de gérer les deux protocoles) qui, même s’ils sont en perte de vitesse, voire en cours d’abandon, existent encore.

Par ailleurs, tous les opérateurs, notamment ceux situés à l’étranger, ne sont pas prêts à déployer ces protocoles, ce qui entraîne légitimement quelques doutes sur l’effectivité du mécanisme de coupure des appels.

Enfin, concernant les délais d’application de la loi, la Fédération française des télécoms a déjà indiqué que les appels non authentifiés ne seraient pas bloqués à compter du 25 juillet 2023. Si la phase de rodage de l’application des protocoles Stir et Shaken a bien commencé le 30 juin 2023, le mécanisme de coupure n’est pas encore prêt.

De plus, comme la loi est assez binaire – il faut soit authentifier l’appel, soit le bloquer –, la mise en application des procédures se fera de façon progressive, avec une phase d’observation.

Bio express

Avocat à la cour d’appel de Paris, Frédéric Forster dirige, depuis 2006, le pôle Télécoms du cabinet Alain Bensoussan Avocats Lexing. Il était précédemment directeur juridique du groupe SFR. Il est aussi vice-président du réseau international d’avocats Lexing.