Bonjour, Pour le moment je suis plutot d'accord avec votre ressenti.
En revanche je pensais que ce dispositif n'allait s'appliquer que pour des appels nationaux et que , part conséquent, la vérification ne serait pas activée sur les intercos avec des carriers internationaux. Du coup les appels a destination de clients français en France sont aussi pris en compte ? Cdt, Adrien Le mer. 15 mai 2024, 09:40, Gérald Vannier <gerald.vann...@mmtt.fr> a écrit : > Bonjour, > Je n'ai pas tout à fait le même sentiment. > L'implémentation rencontre qlq soucis, mais ça reste rare et sans doute > normal, tout le monde est encore en phase de rodage. > Prendre un incident (important certes) et s'appuyer dessus pour dire que > ça se déroule mal me semble abusé. > Un point pour vous : le projet a dj un bon décalage de planning. > > Sur la robustesse de l'infra, nous avons choisi de ne pas faire d'appel en > temps réel à chq appel, nous rechargeons uniquement lors de changement de > certificats notifié par le système, cela ne doit pas écrouler la partie > serveur. C'est vrai que si tous les opérateurs interrogent le service à chq > appel, ça peut devenir chaud. > > Je vous rejoins sur l'implémentation : zones d'ombres restantes, > interfaces déclarées mais la mise en place réelle est toujours d'actualité > (certains opérateurs "importants" ont écrit ne pas être tout à fait prêts > et nous sommes en attente de réalisation de tests sur leurs interco). > Septembre devra être scruté avec bcp d'attention puisque c'est à ce moment > que les opérateurs pourraient couper les appels "illégitimes" au sens MAN. > Je partage vos doutes sur les appels internationaux, les derniers spoofing > que nous avons traités arrivaient sur notre interco Orange à partir > d'opérateurs étrangers (j'avoue que je n'ai pas tout le chemin) : les > opérateurs pourront noter l'appel avec une note basse mais pourra-t-on > couper, aura-t-on tous les éléments permettant de le faire à bon escient ? > (et avoir une solution international semble compliqué : > https://commsrisk.com/global-stir-shaken-is-dead-what-comes-next/) > > La documentation gérée par l'APNF me semble très correcte, à quoi > faites-vous référence ? Nous recevons des notification emails qd il y a des > mises à jour. Il y a eu qlq visio pour expliquer et répondre aux questions > (peu nombreuses ces visio, mais je n'ai pas identifié qu'elles n'étaient > pas suffisantes). Les équipes APNF sont réactives et répondent aux > questions. > > Votre remarque sur le fait que le dispositif soit porté par un groupement > d'opérateurs : bien vu ! Je n'avais pas mis le doigt dessus. Plus > généralement, plusieurs services qui devraient relever de l'état sont > confiés à l'APNF (les urgences...), c'est effectivement un point qui peut > gratter. > > A suivre... mais ça me semble aller un peu plus vitre que l'IPV6 😉 > > Gérald > > -----Original Message----- > From: frnog-requ...@frnog.org <frnog-requ...@frnog.org> On Behalf Of > Jeremy > Sent: mardi 14 mai 2024 23:26 > To: Daniel <t...@tootai.net>; frnog@frnog.org > Subject: Re: [FRnOG] [MISC] Spoofing téléphonique : où en est-on ? > > Mais dans la réalité, l'implantation du MAN se déroule extrêmement mal > autant coté opérateurs que coté APNF. > Pour exemple, pas plus tard que la semaine dernière, l'un des certificat > racine permettant d'authentifier les appels n'a pas été renouvelé dans les > temps par les équipes en charge. > Heureusement que ce n'est pas encore implémenté chez beaucoup > d'opérateurs, car évidemment, sans certificat valide, plus d'appels tout > court. > > Nous sommes également plusieurs opérateurs à avoir émis de sérieux doutes > quand à la capacité de l'infrastructure à tenir la charge des flux lié aux > demandes d'authentification de la part des opérateurs, ou de > l’interopérabilité avec les appels venant de l'étranger. > Je suis également particulièrement agacé que ce dispositif soit porté par > un groupement d'opérateur (principalement nationaux) qui ont de ce fait > tout loisir de disposer d'informations, de statistiques et de données liés > à leur concurrents et à leur volume d'échange d'appels, ou autrement dit, > leur part de marché. J'ai toujours pensé que ce service aurait du être > porté par un service d’État pour assurer une neutralité de traitement et > une anonymisation des données. Évidemment, l'équipe dirigeante m'a assuré > de cette discrétion mais dans les faits, je n'ai reçu aucune garantie > technique ou juridique me permettant d'être certain que nos flux ne seront > pas inspectés en détail. OPA, quand tu nous tiens... > > La documentation, l'accompagnement et la définition précise de la nouvelle > norme MAN semblent être aux abonnés absents puisque nous sommes nombreux à > être laissé pour compte au bord de la route. Heureusement qu'on est > accompagné par un infogéreur expérimenté qui s'est déjà amusé sur cette > technologie, et qui n'a fait que confirmer nos craintes. > > Par ailleurs, ça fait déjà plus de 1 an que cette technologie devrait être > "obligatoire", mais la date est continuellement repoussée pour tous les > problèmes cités précédemment. > > A noter qu'aux USA, seul 40% des appels sont désormais authentifiés, alors > que la norme est obligatoire depuis plusieurs années déjà. Les opérateurs > sont donc contraint de continuer à laisser passer les appels non > authentifier au risque de ne plus rien recevoir. > > En bref, j'ai le sentiment que ce sujet va être encore plus compliqué que > ipv6 à être déployé, sans compte le cout (que je considère) exorbitant pour > adhérer à l'APNF et à la certification MAN, cout qui ne trouve, à mon sens, > aucune justification vu la qualité de l'accompagnement et du déploiement. > > Conclusion, soyez patient, et priez. > > Jérémy > > Le 14/05/2024 à 15:27, Daniel via frnog a écrit : > > Bonjour. Aux dernières nouvelles le MAN devrait être actif > > définitivement en septembre > > > > Le 14/05/2024 à 15:22, Hervé BRY via frnog a écrit : > >> Bonjour la liste, > >> > >> Je viens une nouvelle fois, comme probablement nombre d'entre vous, > >> d'être victime d'un spoofing de mon numéro mobile : une personne > >> m'appelle en me disant "qui êtes vous, vous venez de m'appeler ?" > >> alors que bien évidemment je ne l'ai jamais appelé. Cela semble se > >> multiplier ces derniers mois. Un collègue m'a même fait part d'un > >> appel qu'il a reçu usurpant le numéro d'un commissariat parisien et, > >> contactée, la police ne pouvait rien faire d'autre que confirmer le > >> problème ! > >> > >> J'avais en tête depuis une conférence FRnOG il y a quelques temps > >> déjà que la mise en place des protocoles STIR/SHAKEN et autres > >> joyeusetés était en cours en France. Savez-vous où en est le > >> déploiement ? Y a-t-il une échéance pour le filtrage des appels non > >> authentifiés ? > >> > >> Hervé BRY > >> Head of Infrastructure > >> Geneanet (http://www.geneanet.org) > >> > >> --------------------------- > >> Liste de diffusion du FRnOG > >> http://www.frnog.org/ > > > > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
