Re: [FRnOG] [MISC] Spoofing téléphonique : où en est-on ?
>Heureusement que ce n'est pas encore implémenté chez beaucoup d'opérateurs, car évidemment, sans certificat valide, plus d'appels tout court. Hmm wait.. ça veut dire que si des flics sonnent à ma porte, je dois préférer croire que des (faux) flics (ou faux tech erdf) viennent me rassurer en me cambriolant par derrière? Nous sommes censés préférer qu'un dispositif de sécurité soit désactivé plutot que le système aussi étanche qu'une passoire? ça aurait été l'absolue et parfaite opportunité, cette coupure, pour mettre les opérateurs au pieds du mur de leur responsabilité : soit traiter manu militari le problème des escroqueries téléphoniques, soit couper toutes les comm' ; que je sache, en cas d'embrasement des cités, il est bien mis sur la table par les gouvernements de couper la 4/5G? >ce service aurait du être porté par un service d’État pour assurer une neutralité de traitement et une anonymisation des données. l'état "responsable" quant aux données, comme pour la souveraineté, n'existe plus depuis longtemps, pour ce domaine... ça me rappelle complèteemnt le fiasco "bloctel" géré en sous main par une entité privée.. >Par ailleurs, ça fait déjà plus de 1 an que cette technologie devrait être "obligatoire", mais la date est continuellement repoussée pour tous les problèmes cités précédemment. Elle est prévue d'être repoussée encore après 2030.. >j'ai le sentiment que ce sujet va être encore plus compliqué que ipv6 à être déployé nous avons le pays le plus compliqué au monde, et c'est pas pour redresser la barre.. pour revenir à une réflexion plus posée : pourquoi les opérateurs ne proposent pas, lors de l'ouverture de la ligne, par exemple la possibilité d'interdire tout appel entrant provenant d'un opérateur qui n'est pas sur le sol français? ça en filtrerait un paquet.. je trouve ça plus qu'irresponsable de laisser ce spoofing encore "dans la nature", dans quelques années ça finira.. au pénal? From: Jeremy To: Daniel ; frnog@frnog.org Subject: Re: [FRnOG] [MISC] Spoofing téléphonique : où en est-on ? Date: 14/05/2024 23:25:40 Europe/Paris Mais dans la réalité, l'implantation du MAN se déroule extrêmement mal autant coté opérateurs que coté APNF. Pour exemple, pas plus tard que la semaine dernière, l'un des certificat racine permettant d'authentifier les appels n'a pas été renouvelé dans les temps par les équipes en charge. Heureusement que ce n'est pas encore implémenté chez beaucoup d'opérateurs, car évidemment, sans certificat valide, plus d'appels tout court. Nous sommes également plusieurs opérateurs à avoir émis de sérieux doutes quand à la capacité de l'infrastructure à tenir la charge des flux lié aux demandes d'authentification de la part des opérateurs, ou de l’interopérabilité avec les appels venant de l'étranger. Je suis également particulièrement agacé que ce dispositif soit porté par un groupement d'opérateur (principalement nationaux) qui ont de ce fait tout loisir de disposer d'informations, de statistiques et de données liés à leur concurrents et à leur volume d'échange d'appels, ou autrement dit, leur part de marché. J'ai toujours pensé que ce service aurait du être porté par un service d’État pour assurer une neutralité de traitement et une anonymisation des données. Évidemment, l'équipe dirigeante m'a assuré de cette discrétion mais dans les faits, je n'ai reçu aucune garantie technique ou juridique me permettant d'être certain que nos flux ne seront pas inspectés en détail. OPA, quand tu nous tiens... La documentation, l'accompagnement et la définition précise de la nouvelle norme MAN semblent être aux abonnés absents puisque nous sommes nombreux à être laissé pour compte au bord de la route. Heureusement qu'on est accompagné par un infogéreur expérimenté qui s'est déjà amusé sur cette technologie, et qui n'a fait que confirmer nos craintes. Par ailleurs, ça fait déjà plus de 1 an que cette technologie devrait être "obligatoire", mais la date est continuellement repoussée pour tous les problèmes cités précédemment. A noter qu'aux USA, seul 40% des appels sont désormais authentifiés, alors que la norme est obligatoire depuis plusieurs années déjà. Les opérateurs sont donc contraint de continuer à laisser passer les appels non authentifier au risque de ne plus rien recevoir. En bref, j'ai le sentiment que ce sujet va être encore plus compliqué que ipv6 à être déployé, sans compte le cout (que je considère) exorbitant pour adhérer à l'APNF et à la certification MAN, cout qui ne trouve, à mon sens, aucune justification vu la qualité de l'accompagnement et du déploiement. Conclusion, soyez patient, et priez. Jérémy Le 14/05/2024 à 15:27, Daniel via frnog a écrit : > Bonjour. Aux dernières nouvelles le MAN devrait être actif > définitivement en septembre > > Le 14/05/2024 à 15:22, Hervé BRY via frnog a écrit : >&g
Re: [FRnOG] [MISC] Spoofing téléphonique : où en est-on ?
> Le 16 mai 2024 à 14:27, Gérald Vannier a écrit : > > Disons que je ne sais pas bien où ça en est sur le sujet mais il existe > toujours ces call-centers qui utilisent des numéros français pour appeler en > France, certains ne commerce(çaient) pas directement avec un opérateur > français. > > Un autre cas, et je vais prendre l'autre point de vue : nous opérateur > français pouvons présenter des numéros étrangers. > Prenons France vers Belgique par exemple : il est possible pour un opérateur > français de prendre un numéro belge: en gros tu achètes un numéro belge (il y > a des sociétés qui sont spécialisées), tu associes un numéro en 09x. Qd > le numéro belge, reçoit un appel, il y a une redirection vers le 09xxx qui > revient vers l'opérateur français pour faire sonner la ligne qu'il tient. > L'opérateur qui donc a ce numéro belge peut envoyer des appels vers la > Belgique en présentant un numéro belge, en passant pas un transitaire > français (Orange par exemple)... > C'est un service qui se vend en France, pour des entreprises qui ont des > entités à l'international et qui veulent gérer leur téléphonie en centralisé > sur une offre locale. En fait, on en revient à un problème simple qu’on connait déjà en BGP: c’est à l’opérateur qui a le client final (dont client qui lui n’est pas opérateur) de vérifier si ce que le client envoie est autorisé, car il détient bien les ressources. C’est je pense la volonté du MAN, et ça marchera peut-être au niveau national (peut-être car il y a tous les cas « gris » qui vont probablement faire échouer le truc comme aux US), mais ça ne marchera jamais au niveau international, car il y aura toujours un shady opérateur dans un shady pays pour pas se plier à la règle. Après, comme le transit téléphonique international dépend de moins de 10 acteurs, ceux-là pourraient mettre des filtres sévères sur ce qui vient des shady pays, mais là, on rentre dans la géopolitique. David --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Spoofing téléphonique : où en est-on ?
Bonjour, >Pour exemple, pas plus tard que la semaine dernière, l'un des certificat >racine permettant d'authentifier les appels n'a pas été renouvelé dans >les temps par les équipes en charge. Il me semble que c'est la CRL de certificat ROOT, bien que ce n'est pas terrible, les certificats de signature restent valides. вт, 14 мая 2024 г. в 23:26, Jeremy : > Mais dans la réalité, l'implantation du MAN se déroule extrêmement mal > autant coté opérateurs que coté APNF. > Pour exemple, pas plus tard que la semaine dernière, l'un des certificat > racine permettant d'authentifier les appels n'a pas été renouvelé dans > les temps par les équipes en charge. > Heureusement que ce n'est pas encore implémenté chez beaucoup > d'opérateurs, car évidemment, sans certificat valide, plus d'appels tout > court. > > Nous sommes également plusieurs opérateurs à avoir émis de sérieux > doutes quand à la capacité de l'infrastructure à tenir la charge des > flux lié aux demandes d'authentification de la part des opérateurs, ou > de l’interopérabilité avec les appels venant de l'étranger. > Je suis également particulièrement agacé que ce dispositif soit porté > par un groupement d'opérateur (principalement nationaux) qui ont de ce > fait tout loisir de disposer d'informations, de statistiques et de > données liés à leur concurrents et à leur volume d'échange d'appels, ou > autrement dit, leur part de marché. J'ai toujours pensé que ce service > aurait du être porté par un service d’État pour assurer une neutralité > de traitement et une anonymisation des données. Évidemment, l'équipe > dirigeante m'a assuré de cette discrétion mais dans les faits, je n'ai > reçu aucune garantie technique ou juridique me permettant d'être certain > que nos flux ne seront pas inspectés en détail. OPA, quand tu nous tiens... > > La documentation, l'accompagnement et la définition précise de la > nouvelle norme MAN semblent être aux abonnés absents puisque nous sommes > nombreux à être laissé pour compte au bord de la route. Heureusement > qu'on est accompagné par un infogéreur expérimenté qui s'est déjà amusé > sur cette technologie, et qui n'a fait que confirmer nos craintes. > > Par ailleurs, ça fait déjà plus de 1 an que cette technologie devrait > être "obligatoire", mais la date est continuellement repoussée pour tous > les problèmes cités précédemment. > > A noter qu'aux USA, seul 40% des appels sont désormais authentifiés, > alors que la norme est obligatoire depuis plusieurs années déjà. Les > opérateurs sont donc contraint de continuer à laisser passer les appels > non authentifier au risque de ne plus rien recevoir. > > En bref, j'ai le sentiment que ce sujet va être encore plus compliqué > que ipv6 à être déployé, sans compte le cout (que je considère) > exorbitant pour adhérer à l'APNF et à la certification MAN, cout qui ne > trouve, à mon sens, aucune justification vu la qualité de > l'accompagnement et du déploiement. > > Conclusion, soyez patient, et priez. > > Jérémy > > Le 14/05/2024 à 15:27, Daniel via frnog a écrit : > > Bonjour. Aux dernières nouvelles le MAN devrait être actif > > définitivement en septembre > > > > Le 14/05/2024 à 15:22, Hervé BRY via frnog a écrit : > >> Bonjour la liste, > >> > >> Je viens une nouvelle fois, comme probablement nombre d'entre vous, > >> d'être > >> victime d'un spoofing de mon numéro mobile : une personne m'appelle > >> en me > >> disant "qui êtes vous, vous venez de m'appeler ?" alors que bien > >> évidemment > >> je ne l'ai jamais appelé. Cela semble se multiplier ces derniers > >> mois. Un > >> collègue m'a même fait part d'un appel qu'il a reçu usurpant le > >> numéro d'un > >> commissariat parisien et, contactée, la police ne pouvait rien faire > >> d'autre que confirmer le problème ! > >> > >> J'avais en tête depuis une conférence FRnOG il y a quelques temps > >> déjà que > >> la mise en place des protocoles STIR/SHAKEN et autres joyeusetés > >> était en > >> cours en France. Savez-vous où en est le déploiement ? Y a-t-il une > >> échéance pour le filtrage des appels non authentifiés ? > >> > >> Hervé BRY > >> Head of Infrastructure > >> Geneanet (http://www.geneanet.org) > >> > >> --- > >> Liste de diffusion du FRnOG > >> http://www.frnog.org/ > > > > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [MISC] Spoofing téléphonique : où en est-on ?
Disons que je ne sais pas bien où ça en est sur le sujet mais il existe toujours ces call-centers qui utilisent des numéros français pour appeler en France, certains ne commerce(çaient) pas directement avec un opérateur français. Un autre cas, et je vais prendre l'autre point de vue : nous opérateur français pouvons présenter des numéros étrangers. Prenons France vers Belgique par exemple : il est possible pour un opérateur français de prendre un numéro belge: en gros tu achètes un numéro belge (il y a des sociétés qui sont spécialisées), tu associes un numéro en 09x. Qd le numéro belge, reçoit un appel, il y a une redirection vers le 09xxx qui revient vers l'opérateur français pour faire sonner la ligne qu'il tient. L'opérateur qui donc a ce numéro belge peut envoyer des appels vers la Belgique en présentant un numéro belge, en passant pas un transitaire français (Orange par exemple)... C'est un service qui se vend en France, pour des entreprises qui ont des entités à l'international et qui veulent gérer leur téléphonie en centralisé sur une offre locale. Là si la Belgique implémente le MAN, ça va grincer également. (pour info, les pays européens commencent à faire du protectionnisme, ça bouge, on ne peut plus faire cela depuis récemment avec certains pays européens). Si ce que tu penses était vrai, on pourrait depuis longtemps couper les appels de spoofing qui viennent d'opérateurs étrangers or ce n'est réellement pas le cas... En même temps tu me diras, entre ce qu'on peut faire et ce qu'on fait, il peut y avoir un écart. -Original Message- From: David Ponzone Sent: jeudi 16 mai 2024 14:08 To: Gérald Vannier Cc: Raphaël Barrois ; Adrien Versnaeyen ; Jeremy ; Daniel ; frnog@frnog.org Subject: Re: [FRnOG] [MISC] Spoofing téléphonique : où en est-on ? > Le 16 mai 2024 à 13:51, Gérald Vannier a écrit : > > Les appels sur les interco étrangères ne seront pas signées. > Si rien n’empêche un opérateur de signer A, je crois surtout, qu’il ne > prendra pas de risques (ou moins) et signera C. > En l’état, le spoofing venant de l’étranger ne sera pas arrêter. > > MAIS, il faut mettre cette disposition à côté des législations sur les > numéros, NPV, etc. « Normalement » les call-centers doivent utiliser des > numéros spécifiques, légaux (au moins, si pas légitime). Et donc, il > resterait qu’un appel direct (non redirigé) émis via un opérateur étranger > avec un numéro non « spécifique » devient louche. > En mettant ces dispositions ensemble, on devrait améliorer la situation « > spoofing ». > Gérald, Je suis pas sûr de comprendre. S’il n’est pas redirigé, un appel entrant venant d’un opérateur étranger devrait être bloqué s’il vient de +33, et surtout s’il l’appel est aussi pour +33. De la même manière que je bloque tout paquet IP qui veut entrer sur mon réseau et dont l’IP source est à moi. David --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Spoofing téléphonique : où en est-on ?
> Le 16 mai 2024 à 13:51, Gérald Vannier a écrit : > > Les appels sur les interco étrangères ne seront pas signées. > Si rien n’empêche un opérateur de signer A, je crois surtout, qu’il ne > prendra pas de risques (ou moins) et signera C. > En l’état, le spoofing venant de l’étranger ne sera pas arrêter. > > MAIS, il faut mettre cette disposition à côté des législations sur les > numéros, NPV, etc. « Normalement » les call-centers doivent utiliser des > numéros spécifiques, légaux (au moins, si pas légitime). Et donc, il > resterait qu’un appel direct (non redirigé) émis via un opérateur étranger > avec un numéro non « spécifique » devient louche. > En mettant ces dispositions ensemble, on devrait améliorer la situation « > spoofing ». > Gérald, Je suis pas sûr de comprendre. S’il n’est pas redirigé, un appel entrant venant d’un opérateur étranger devrait être bloqué s’il vient de +33, et surtout s’il l’appel est aussi pour +33. De la même manière que je bloque tout paquet IP qui veut entrer sur mon réseau et dont l’IP source est à moi. David --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [MISC] Spoofing téléphonique : où en est-on ?
Les appels sur les interco étrangères ne seront pas signées. Si rien n’empêche un opérateur de signer A, je crois surtout, qu’il ne prendra pas de risques (ou moins) et signera C. En l’état, le spoofing venant de l’étranger ne sera pas arrêter. MAIS, il faut mettre cette disposition à côté des législations sur les numéros, NPV, etc. « Normalement » les call-centers doivent utiliser des numéros spécifiques, légaux (au moins, si pas légitime). Et donc, il resterait qu’un appel direct (non redirigé) émis via un opérateur étranger avec un numéro non « spécifique » devient louche. En mettant ces dispositions ensemble, on devrait améliorer la situation « spoofing ». Gérald From: Raphaël Barrois Sent: jeudi 16 mai 2024 10:47 To: Gérald Vannier Cc: Adrien Versnaeyen ; Jeremy ; Daniel ; frnog@frnog.org Subject: Re: [FRnOG] [MISC] Spoofing téléphonique : où en est-on ? Bonjour, Voici dans les grandes lignes ma compréhension du système à date. Une fois que le MAN sera déployé et complètement activé, les opérateurs (de transit et de terminaison) sont supposés couper les appels non signés ou mal signés, et remonter l'information à l'APNF. Concrètement, chaque appel porte une signature, apposé par un opérateur (identifié par le certificat dont il indique la référence dans l'en-tête), avec un niveau de confiance : - A : J'ai injecté l'appel sur le réseau, je connais le client source, et j'ai vérifié qu'il avait le droit de présenter ce numéro - B : J'ai injecté l'appel sur le réseau, je connais le client source, mais je n'ai pas vérifié qu'il avait le droit de présenter ce numéro - C : J'ai injecté l'appel sur le réseau, mais depuis une source tierce ; je n'ai rien pu vérifier (appel international, transfert d'appel). Lorsqu'un opérateur de transit ou de terminaison reçoit un appel, il est censé : 0. Laisser passer les appels d'urgence 1. Couper l'appel s'il présente un numéro appelant français, un numéro appelé français, mais pas de signature ou une signature malformée ; 2. Récupérer de sa copie locale de la base de certificats le certificat référencé dans l'en-tête STIR/Shaken ; 3. Vérifier la signature — et couper l'appel si elle est invalide. Concrètement, rien n'empêche à ce stade un opérateur de signer au niveau A un appel qu'il reçoit d'un centre d'appel international ou autre. En revanche, l'opérateur en question prend de fait la responsabilité de l'appel ; les opérateurs de terminaison peuvent donc déterminer d'où vient la fraude. Cela donnera des éléments concrets pour soit bloquer les appels émanant de cet opérateur, soit le signaler à l'ARCEP pour punition. In fine, tout dépendra de la volonté de l'ARCEP à policer ce beau monde, et de la capacité des opérateurs de terminaison à identifier les appels abusifs… Mais le MAN a été accéléré par l'ARCEP suite à une hausse de la grogne côté politique ; et les banques commencent à avoir de vrais soucis de fraude à l'usurpation de numéro appelant, ce qui a de bonnes chances d'augmenter la pression sur ce beau monde. -- Raphaël Barrois On Thu, 16 May 2024 at 10:29, Gérald Vannier mailto:gerald.vann...@mmtt.fr>> wrote: Oui, le MAN s’applique au niveau national, mais il faut intégrer ce genre d’usages qui exist(ai)ent : * Call center à l’étranger, branché sur un opérateur local à l’étranger qui envoie vers la France en passant par un opérateur français * Envoi appel vers France avec des numéros sources français * Le numéro source « appartient » à l’opérateur français qui reçoit l’appel / L’opérateur français termine l’appel * Le numéro source « n’appartient pas » à l’opérateur français qui reçoit l’appel / L’opérateur français ne termine pas l’appel et le transmet (transit) Comment l’opérateur français va noter/évaluer la confiance/la légitimité de l’appel dans le numéro ? Je ne sais pas si finalement c’est encore autorisé. Le client étranger doit ( ?) contractualiser avec un opérateur français. Ce point est important car de ce que nous avons expérimenté, les usurpations arrivaient à travers des opérateurs étrangers. Idem, j’appelle un numéro étranger qui redirige vers un numéro français : l’appel part sur opérateur étranger et revient.. J’avoue que je ne sais pas trop où on en est sur ces cas d’usages. Quelqu’un sait côté frnog ? Gérald From: Adrien Versnaeyen mailto:a.versnae...@gmail.com>> Sent: mercredi 15 mai 2024 23:08 To: Gérald Vannier mailto:gerald.vann...@mmtt.fr>> Cc: Jeremy mailto:li...@freeheberg.com>>; Daniel mailto:t...@tootai.net>>; frnog@frnog.org<mailto:frnog@frnog.org> Subject: Re: [FRnOG] [MISC] Spoofing téléphonique : où en est-on ? Bonjour, Pour le moment je suis plutot d'accord avec votre ressenti. En revanche je pensais que ce dispositif n'allait s'appliquer que pour des appels nationaux et que , part conséquent, la vérification ne serait pas activée sur les intercos avec des carriers internationaux. Du coup les appels a desti
Re: [FRnOG] [MISC] Spoofing téléphonique : où en est-on ?
Bonjour, Voici dans les grandes lignes ma compréhension du système à date. Une fois que le MAN sera déployé et complètement activé, les opérateurs (de transit et de terminaison) sont supposés couper les appels non signés ou mal signés, et remonter l'information à l'APNF. Concrètement, chaque appel porte une signature, apposé par un opérateur (identifié par le certificat dont il indique la référence dans l'en-tête), avec un niveau de confiance : - A : J'ai injecté l'appel sur le réseau, je connais le client source, et j'ai vérifié qu'il avait le droit de présenter ce numéro - B : J'ai injecté l'appel sur le réseau, je connais le client source, mais je n'ai pas vérifié qu'il avait le droit de présenter ce numéro - C : J'ai injecté l'appel sur le réseau, mais depuis une source tierce ; je n'ai rien pu vérifier (appel international, transfert d'appel). Lorsqu'un opérateur de transit ou de terminaison reçoit un appel, il est censé : 0. Laisser passer les appels d'urgence 1. Couper l'appel s'il présente un numéro appelant français, un numéro appelé français, mais pas de signature ou une signature malformée ; 2. Récupérer de sa copie locale de la base de certificats le certificat référencé dans l'en-tête STIR/Shaken ; 3. Vérifier la signature — et couper l'appel si elle est invalide. Concrètement, rien n'empêche à ce stade un opérateur de signer au niveau A un appel qu'il reçoit d'un centre d'appel international ou autre. En revanche, l'opérateur en question prend de fait la responsabilité de l'appel ; les opérateurs de terminaison peuvent donc déterminer d'où vient la fraude. Cela donnera des éléments concrets pour soit bloquer les appels émanant de cet opérateur, soit le signaler à l'ARCEP pour punition. In fine, tout dépendra de la volonté de l'ARCEP à policer ce beau monde, et de la capacité des opérateurs de terminaison à identifier les appels abusifs… Mais le MAN a été accéléré par l'ARCEP suite à une hausse de la grogne côté politique ; et les banques commencent à avoir de vrais soucis de fraude à l'usurpation de numéro appelant, ce qui a de bonnes chances d'augmenter la pression sur ce beau monde. -- Raphaël Barrois On Thu, 16 May 2024 at 10:29, Gérald Vannier wrote: > Oui, le MAN s’applique au niveau national, mais il faut intégrer ce genre > d’usages qui exist(ai)ent : > > * Call center à l’étranger, branché sur un opérateur local à > l’étranger qui envoie vers la France en passant par un opérateur français > * Envoi appel vers France avec des numéros sources français > * Le numéro source « appartient » à l’opérateur français qui reçoit > l’appel / L’opérateur français termine l’appel > * Le numéro source « n’appartient pas » à l’opérateur français qui > reçoit l’appel / L’opérateur français ne termine pas l’appel et le > transmet (transit) > > Comment l’opérateur français va noter/évaluer la confiance/la légitimité > de l’appel dans le numéro ? > Je ne sais pas si finalement c’est encore autorisé. Le client étranger > doit ( ?) contractualiser avec un opérateur français. > Ce point est important car de ce que nous avons expérimenté, les > usurpations arrivaient à travers des opérateurs étrangers. > > Idem, j’appelle un numéro étranger qui redirige vers un numéro français : > l’appel part sur opérateur étranger et revient.. > > J’avoue que je ne sais pas trop où on en est sur ces cas d’usages. > Quelqu’un sait côté frnog ? > > Gérald > > > > From: Adrien Versnaeyen > Sent: mercredi 15 mai 2024 23:08 > To: Gérald Vannier > Cc: Jeremy ; Daniel ; > frnog@frnog.org > Subject: Re: [FRnOG] [MISC] Spoofing téléphonique : où en est-on ? > > Bonjour, > > Pour le moment je suis plutot d'accord avec votre ressenti. > > En revanche je pensais que ce dispositif n'allait s'appliquer que pour des > appels nationaux et que , part conséquent, la vérification ne serait pas > activée sur les intercos avec des carriers internationaux. Du coup les > appels a destination de clients français en France sont aussi pris en > compte ? > > Cdt, > > Adrien > > > Le mer. 15 mai 2024, 09:40, Gérald Vannier gerald.vann...@mmtt.fr>> a écrit : > Bonjour, > Je n'ai pas tout à fait le même sentiment. > L'implémentation rencontre qlq soucis, mais ça reste rare et sans doute > normal, tout le monde est encore en phase de rodage. > Prendre un incident (important certes) et s'appuyer dessus pour dire que > ça se déroule mal me semble abusé. > Un point pour vous : le projet a dj un bon décalage de planning. > > Sur la robustesse de l'infra, nous avons choisi de ne pas faire d'appel en > temps réel à chq appel, nous rechargeons uniquement lors de changement de > certificats notifié par le système, cela ne doit pas écrouler la partie > serveur. C'est vrai que si tous les opérateurs interrogent le service à chq &g
RE: [FRnOG] [MISC] Spoofing téléphonique : où en est-on ?
Oui, le MAN s’applique au niveau national, mais il faut intégrer ce genre d’usages qui exist(ai)ent : * Call center à l’étranger, branché sur un opérateur local à l’étranger qui envoie vers la France en passant par un opérateur français * Envoi appel vers France avec des numéros sources français * Le numéro source « appartient » à l’opérateur français qui reçoit l’appel / L’opérateur français termine l’appel * Le numéro source « n’appartient pas » à l’opérateur français qui reçoit l’appel / L’opérateur français ne termine pas l’appel et le transmet (transit) Comment l’opérateur français va noter/évaluer la confiance/la légitimité de l’appel dans le numéro ? Je ne sais pas si finalement c’est encore autorisé. Le client étranger doit ( ?) contractualiser avec un opérateur français. Ce point est important car de ce que nous avons expérimenté, les usurpations arrivaient à travers des opérateurs étrangers. Idem, j’appelle un numéro étranger qui redirige vers un numéro français : l’appel part sur opérateur étranger et revient.. J’avoue que je ne sais pas trop où on en est sur ces cas d’usages. Quelqu’un sait côté frnog ? Gérald From: Adrien Versnaeyen Sent: mercredi 15 mai 2024 23:08 To: Gérald Vannier Cc: Jeremy ; Daniel ; frnog@frnog.org Subject: Re: [FRnOG] [MISC] Spoofing téléphonique : où en est-on ? Bonjour, Pour le moment je suis plutot d'accord avec votre ressenti. En revanche je pensais que ce dispositif n'allait s'appliquer que pour des appels nationaux et que , part conséquent, la vérification ne serait pas activée sur les intercos avec des carriers internationaux. Du coup les appels a destination de clients français en France sont aussi pris en compte ? Cdt, Adrien Le mer. 15 mai 2024, 09:40, Gérald Vannier mailto:gerald.vann...@mmtt.fr>> a écrit : Bonjour, Je n'ai pas tout à fait le même sentiment. L'implémentation rencontre qlq soucis, mais ça reste rare et sans doute normal, tout le monde est encore en phase de rodage. Prendre un incident (important certes) et s'appuyer dessus pour dire que ça se déroule mal me semble abusé. Un point pour vous : le projet a dj un bon décalage de planning. Sur la robustesse de l'infra, nous avons choisi de ne pas faire d'appel en temps réel à chq appel, nous rechargeons uniquement lors de changement de certificats notifié par le système, cela ne doit pas écrouler la partie serveur. C'est vrai que si tous les opérateurs interrogent le service à chq appel, ça peut devenir chaud. Je vous rejoins sur l'implémentation : zones d'ombres restantes, interfaces déclarées mais la mise en place réelle est toujours d'actualité (certains opérateurs "importants" ont écrit ne pas être tout à fait prêts et nous sommes en attente de réalisation de tests sur leurs interco). Septembre devra être scruté avec bcp d'attention puisque c'est à ce moment que les opérateurs pourraient couper les appels "illégitimes" au sens MAN. Je partage vos doutes sur les appels internationaux, les derniers spoofing que nous avons traités arrivaient sur notre interco Orange à partir d'opérateurs étrangers (j'avoue que je n'ai pas tout le chemin) : les opérateurs pourront noter l'appel avec une note basse mais pourra-t-on couper, aura-t-on tous les éléments permettant de le faire à bon escient ? (et avoir une solution international semble compliqué : https://commsrisk.com/global-stir-shaken-is-dead-what-comes-next/) La documentation gérée par l'APNF me semble très correcte, à quoi faites-vous référence ? Nous recevons des notification emails qd il y a des mises à jour. Il y a eu qlq visio pour expliquer et répondre aux questions (peu nombreuses ces visio, mais je n'ai pas identifié qu'elles n'étaient pas suffisantes). Les équipes APNF sont réactives et répondent aux questions. Votre remarque sur le fait que le dispositif soit porté par un groupement d'opérateurs : bien vu ! Je n'avais pas mis le doigt dessus. Plus généralement, plusieurs services qui devraient relever de l'état sont confiés à l'APNF (les urgences...), c'est effectivement un point qui peut gratter. A suivre... mais ça me semble aller un peu plus vitre que l'IPV6 Gérald -Original Message- From: frnog-requ...@frnog.org<mailto:frnog-requ...@frnog.org> mailto:frnog-requ...@frnog.org>> On Behalf Of Jeremy Sent: mardi 14 mai 2024 23:26 To: Daniel mailto:t...@tootai.net>>; frnog@frnog.org<mailto:frnog@frnog.org> Subject: Re: [FRnOG] [MISC] Spoofing téléphonique : où en est-on ? Mais dans la réalité, l'implantation du MAN se déroule extrêmement mal autant coté opérateurs que coté APNF. Pour exemple, pas plus tard que la semaine dernière, l'un des certificat racine permettant d'authentifier les appels n'a pas été renouvelé dans les temps par les équipes en charge. Heureusement que ce n'est pas encore implémenté chez beaucoup d'opérateurs, car évidemment, sans certificat valide, plus d'appels tout co
Re: [FRnOG] [MISC] Spoofing téléphonique : où en est-on ?
Bonjour, Pour le moment je suis plutot d'accord avec votre ressenti. En revanche je pensais que ce dispositif n'allait s'appliquer que pour des appels nationaux et que , part conséquent, la vérification ne serait pas activée sur les intercos avec des carriers internationaux. Du coup les appels a destination de clients français en France sont aussi pris en compte ? Cdt, Adrien Le mer. 15 mai 2024, 09:40, Gérald Vannier a écrit : > Bonjour, > Je n'ai pas tout à fait le même sentiment. > L'implémentation rencontre qlq soucis, mais ça reste rare et sans doute > normal, tout le monde est encore en phase de rodage. > Prendre un incident (important certes) et s'appuyer dessus pour dire que > ça se déroule mal me semble abusé. > Un point pour vous : le projet a dj un bon décalage de planning. > > Sur la robustesse de l'infra, nous avons choisi de ne pas faire d'appel en > temps réel à chq appel, nous rechargeons uniquement lors de changement de > certificats notifié par le système, cela ne doit pas écrouler la partie > serveur. C'est vrai que si tous les opérateurs interrogent le service à chq > appel, ça peut devenir chaud. > > Je vous rejoins sur l'implémentation : zones d'ombres restantes, > interfaces déclarées mais la mise en place réelle est toujours d'actualité > (certains opérateurs "importants" ont écrit ne pas être tout à fait prêts > et nous sommes en attente de réalisation de tests sur leurs interco). > Septembre devra être scruté avec bcp d'attention puisque c'est à ce moment > que les opérateurs pourraient couper les appels "illégitimes" au sens MAN. > Je partage vos doutes sur les appels internationaux, les derniers spoofing > que nous avons traités arrivaient sur notre interco Orange à partir > d'opérateurs étrangers (j'avoue que je n'ai pas tout le chemin) : les > opérateurs pourront noter l'appel avec une note basse mais pourra-t-on > couper, aura-t-on tous les éléments permettant de le faire à bon escient ? > (et avoir une solution international semble compliqué : > https://commsrisk.com/global-stir-shaken-is-dead-what-comes-next/) > > La documentation gérée par l'APNF me semble très correcte, à quoi > faites-vous référence ? Nous recevons des notification emails qd il y a des > mises à jour. Il y a eu qlq visio pour expliquer et répondre aux questions > (peu nombreuses ces visio, mais je n'ai pas identifié qu'elles n'étaient > pas suffisantes). Les équipes APNF sont réactives et répondent aux > questions. > > Votre remarque sur le fait que le dispositif soit porté par un groupement > d'opérateurs : bien vu ! Je n'avais pas mis le doigt dessus. Plus > généralement, plusieurs services qui devraient relever de l'état sont > confiés à l'APNF (les urgences...), c'est effectivement un point qui peut > gratter. > > A suivre... mais ça me semble aller un peu plus vitre que l'IPV6 > > Gérald > > -----Original Message- > From: frnog-requ...@frnog.org On Behalf Of > Jeremy > Sent: mardi 14 mai 2024 23:26 > To: Daniel ; frnog@frnog.org > Subject: Re: [FRnOG] [MISC] Spoofing téléphonique : où en est-on ? > > Mais dans la réalité, l'implantation du MAN se déroule extrêmement mal > autant coté opérateurs que coté APNF. > Pour exemple, pas plus tard que la semaine dernière, l'un des certificat > racine permettant d'authentifier les appels n'a pas été renouvelé dans les > temps par les équipes en charge. > Heureusement que ce n'est pas encore implémenté chez beaucoup > d'opérateurs, car évidemment, sans certificat valide, plus d'appels tout > court. > > Nous sommes également plusieurs opérateurs à avoir émis de sérieux doutes > quand à la capacité de l'infrastructure à tenir la charge des flux lié aux > demandes d'authentification de la part des opérateurs, ou de > l’interopérabilité avec les appels venant de l'étranger. > Je suis également particulièrement agacé que ce dispositif soit porté par > un groupement d'opérateur (principalement nationaux) qui ont de ce fait > tout loisir de disposer d'informations, de statistiques et de données liés > à leur concurrents et à leur volume d'échange d'appels, ou autrement dit, > leur part de marché. J'ai toujours pensé que ce service aurait du être > porté par un service d’État pour assurer une neutralité de traitement et > une anonymisation des données. Évidemment, l'équipe dirigeante m'a assuré > de cette discrétion mais dans les faits, je n'ai reçu aucune garantie > technique ou juridique me permettant d'être certain que nos flux ne seront > pas inspectés en détail. OPA, quand tu nous tiens... > > La documentation, l'accompagnement et la définition précise de la nouvelle > norme MAN semblent être aux abonnés absents puisque nous sommes nombreux à > être laissé pour compte au bord de la route. He
RE: [FRnOG] [MISC] Spoofing téléphonique : où en est-on ?
Bonjour, Je n'ai pas tout à fait le même sentiment. L'implémentation rencontre qlq soucis, mais ça reste rare et sans doute normal, tout le monde est encore en phase de rodage. Prendre un incident (important certes) et s'appuyer dessus pour dire que ça se déroule mal me semble abusé. Un point pour vous : le projet a dj un bon décalage de planning. Sur la robustesse de l'infra, nous avons choisi de ne pas faire d'appel en temps réel à chq appel, nous rechargeons uniquement lors de changement de certificats notifié par le système, cela ne doit pas écrouler la partie serveur. C'est vrai que si tous les opérateurs interrogent le service à chq appel, ça peut devenir chaud. Je vous rejoins sur l'implémentation : zones d'ombres restantes, interfaces déclarées mais la mise en place réelle est toujours d'actualité (certains opérateurs "importants" ont écrit ne pas être tout à fait prêts et nous sommes en attente de réalisation de tests sur leurs interco). Septembre devra être scruté avec bcp d'attention puisque c'est à ce moment que les opérateurs pourraient couper les appels "illégitimes" au sens MAN. Je partage vos doutes sur les appels internationaux, les derniers spoofing que nous avons traités arrivaient sur notre interco Orange à partir d'opérateurs étrangers (j'avoue que je n'ai pas tout le chemin) : les opérateurs pourront noter l'appel avec une note basse mais pourra-t-on couper, aura-t-on tous les éléments permettant de le faire à bon escient ? (et avoir une solution international semble compliqué : https://commsrisk.com/global-stir-shaken-is-dead-what-comes-next/) La documentation gérée par l'APNF me semble très correcte, à quoi faites-vous référence ? Nous recevons des notification emails qd il y a des mises à jour. Il y a eu qlq visio pour expliquer et répondre aux questions (peu nombreuses ces visio, mais je n'ai pas identifié qu'elles n'étaient pas suffisantes). Les équipes APNF sont réactives et répondent aux questions. Votre remarque sur le fait que le dispositif soit porté par un groupement d'opérateurs : bien vu ! Je n'avais pas mis le doigt dessus. Plus généralement, plusieurs services qui devraient relever de l'état sont confiés à l'APNF (les urgences...), c'est effectivement un point qui peut gratter. A suivre... mais ça me semble aller un peu plus vitre que l'IPV6 Gérald -Original Message- From: frnog-requ...@frnog.org On Behalf Of Jeremy Sent: mardi 14 mai 2024 23:26 To: Daniel ; frnog@frnog.org Subject: Re: [FRnOG] [MISC] Spoofing téléphonique : où en est-on ? Mais dans la réalité, l'implantation du MAN se déroule extrêmement mal autant coté opérateurs que coté APNF. Pour exemple, pas plus tard que la semaine dernière, l'un des certificat racine permettant d'authentifier les appels n'a pas été renouvelé dans les temps par les équipes en charge. Heureusement que ce n'est pas encore implémenté chez beaucoup d'opérateurs, car évidemment, sans certificat valide, plus d'appels tout court. Nous sommes également plusieurs opérateurs à avoir émis de sérieux doutes quand à la capacité de l'infrastructure à tenir la charge des flux lié aux demandes d'authentification de la part des opérateurs, ou de l’interopérabilité avec les appels venant de l'étranger. Je suis également particulièrement agacé que ce dispositif soit porté par un groupement d'opérateur (principalement nationaux) qui ont de ce fait tout loisir de disposer d'informations, de statistiques et de données liés à leur concurrents et à leur volume d'échange d'appels, ou autrement dit, leur part de marché. J'ai toujours pensé que ce service aurait du être porté par un service d’État pour assurer une neutralité de traitement et une anonymisation des données. Évidemment, l'équipe dirigeante m'a assuré de cette discrétion mais dans les faits, je n'ai reçu aucune garantie technique ou juridique me permettant d'être certain que nos flux ne seront pas inspectés en détail. OPA, quand tu nous tiens... La documentation, l'accompagnement et la définition précise de la nouvelle norme MAN semblent être aux abonnés absents puisque nous sommes nombreux à être laissé pour compte au bord de la route. Heureusement qu'on est accompagné par un infogéreur expérimenté qui s'est déjà amusé sur cette technologie, et qui n'a fait que confirmer nos craintes. Par ailleurs, ça fait déjà plus de 1 an que cette technologie devrait être "obligatoire", mais la date est continuellement repoussée pour tous les problèmes cités précédemment. A noter qu'aux USA, seul 40% des appels sont désormais authentifiés, alors que la norme est obligatoire depuis plusieurs années déjà. Les opérateurs sont donc contraint de continuer à laisser passer les appels non authentifier au risque de ne plus rien recevoir. En bref, j'ai le sentiment que ce sujet va être encore plus compliqué que ipv6 à être déployé, sans compte le cout (que je considère) exorbitant pour adhérer à l'APNF et à
Re: [FRnOG] [MISC] Spoofing téléphonique : où en est-on ?
Mais dans la réalité, l'implantation du MAN se déroule extrêmement mal autant coté opérateurs que coté APNF. Pour exemple, pas plus tard que la semaine dernière, l'un des certificat racine permettant d'authentifier les appels n'a pas été renouvelé dans les temps par les équipes en charge. Heureusement que ce n'est pas encore implémenté chez beaucoup d'opérateurs, car évidemment, sans certificat valide, plus d'appels tout court. Nous sommes également plusieurs opérateurs à avoir émis de sérieux doutes quand à la capacité de l'infrastructure à tenir la charge des flux lié aux demandes d'authentification de la part des opérateurs, ou de l’interopérabilité avec les appels venant de l'étranger. Je suis également particulièrement agacé que ce dispositif soit porté par un groupement d'opérateur (principalement nationaux) qui ont de ce fait tout loisir de disposer d'informations, de statistiques et de données liés à leur concurrents et à leur volume d'échange d'appels, ou autrement dit, leur part de marché. J'ai toujours pensé que ce service aurait du être porté par un service d’État pour assurer une neutralité de traitement et une anonymisation des données. Évidemment, l'équipe dirigeante m'a assuré de cette discrétion mais dans les faits, je n'ai reçu aucune garantie technique ou juridique me permettant d'être certain que nos flux ne seront pas inspectés en détail. OPA, quand tu nous tiens... La documentation, l'accompagnement et la définition précise de la nouvelle norme MAN semblent être aux abonnés absents puisque nous sommes nombreux à être laissé pour compte au bord de la route. Heureusement qu'on est accompagné par un infogéreur expérimenté qui s'est déjà amusé sur cette technologie, et qui n'a fait que confirmer nos craintes. Par ailleurs, ça fait déjà plus de 1 an que cette technologie devrait être "obligatoire", mais la date est continuellement repoussée pour tous les problèmes cités précédemment. A noter qu'aux USA, seul 40% des appels sont désormais authentifiés, alors que la norme est obligatoire depuis plusieurs années déjà. Les opérateurs sont donc contraint de continuer à laisser passer les appels non authentifier au risque de ne plus rien recevoir. En bref, j'ai le sentiment que ce sujet va être encore plus compliqué que ipv6 à être déployé, sans compte le cout (que je considère) exorbitant pour adhérer à l'APNF et à la certification MAN, cout qui ne trouve, à mon sens, aucune justification vu la qualité de l'accompagnement et du déploiement. Conclusion, soyez patient, et priez. Jérémy Le 14/05/2024 à 15:27, Daniel via frnog a écrit : Bonjour. Aux dernières nouvelles le MAN devrait être actif définitivement en septembre Le 14/05/2024 à 15:22, Hervé BRY via frnog a écrit : Bonjour la liste, Je viens une nouvelle fois, comme probablement nombre d'entre vous, d'être victime d'un spoofing de mon numéro mobile : une personne m'appelle en me disant "qui êtes vous, vous venez de m'appeler ?" alors que bien évidemment je ne l'ai jamais appelé. Cela semble se multiplier ces derniers mois. Un collègue m'a même fait part d'un appel qu'il a reçu usurpant le numéro d'un commissariat parisien et, contactée, la police ne pouvait rien faire d'autre que confirmer le problème ! J'avais en tête depuis une conférence FRnOG il y a quelques temps déjà que la mise en place des protocoles STIR/SHAKEN et autres joyeusetés était en cours en France. Savez-vous où en est le déploiement ? Y a-t-il une échéance pour le filtrage des appels non authentifiés ? Hervé BRY Head of Infrastructure Geneanet (http://www.geneanet.org) --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Spoofing téléphonique : où en est-on ?
Bonjour. Aux dernières nouvelles le MAN devrait être actif définitivement en septembre Le 14/05/2024 à 15:22, Hervé BRY via frnog a écrit : Bonjour la liste, Je viens une nouvelle fois, comme probablement nombre d'entre vous, d'être victime d'un spoofing de mon numéro mobile : une personne m'appelle en me disant "qui êtes vous, vous venez de m'appeler ?" alors que bien évidemment je ne l'ai jamais appelé. Cela semble se multiplier ces derniers mois. Un collègue m'a même fait part d'un appel qu'il a reçu usurpant le numéro d'un commissariat parisien et, contactée, la police ne pouvait rien faire d'autre que confirmer le problème ! J'avais en tête depuis une conférence FRnOG il y a quelques temps déjà que la mise en place des protocoles STIR/SHAKEN et autres joyeusetés était en cours en France. Savez-vous où en est le déploiement ? Y a-t-il une échéance pour le filtrage des appels non authentifiés ? Hervé BRY Head of Infrastructure Geneanet (http://www.geneanet.org) --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Daniel Huhardeaux +33.368460...@tootai.net sip:8...@sip.tootai.net +41.445532...@swiss-itech.chtootaiNET --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [MISC] Spoofing téléphonique : où en est-on ?
Bonjour la liste, Je viens une nouvelle fois, comme probablement nombre d'entre vous, d'être victime d'un spoofing de mon numéro mobile : une personne m'appelle en me disant "qui êtes vous, vous venez de m'appeler ?" alors que bien évidemment je ne l'ai jamais appelé. Cela semble se multiplier ces derniers mois. Un collègue m'a même fait part d'un appel qu'il a reçu usurpant le numéro d'un commissariat parisien et, contactée, la police ne pouvait rien faire d'autre que confirmer le problème ! J'avais en tête depuis une conférence FRnOG il y a quelques temps déjà que la mise en place des protocoles STIR/SHAKEN et autres joyeusetés était en cours en France. Savez-vous où en est le déploiement ? Y a-t-il une échéance pour le filtrage des appels non authentifiés ? Hervé BRY Head of Infrastructure Geneanet (http://www.geneanet.org) --- Liste de diffusion du FRnOG http://www.frnog.org/
