La Federal Communications Commission (FCC) a présenté ses plans pour arrêter les attaques par échange de carte SIM et les appels automatisés dans le but de protéger les utilisateurs de smartphones américains contre la fraude et le vol d’identité.
Pour ceux qui ne sont pas familiers, l’échange de carte SIM est une technique utilisée par un attaquant dans laquelle ils convainquent un opérateur mobile de transférer le numéro de téléphone d’une victime de sa carte SIM vers celle qu’il possède et contrôle. Une fois en contrôle du numéro d’une victime, l’attaquant peut recevoir des messages d’authentification à deux facteurs (2FA) pour s’emparer de ses comptes en ligne.
L’avis de proposition de réglementation de la FCC propose un certain nombre de façons de traiter l’échange de cartes SIM, telles que la modification des règles d’information sur le réseau propriétaire (CPNI) et de portabilité des numéros locaux afin que les opérateurs de téléphonie mobile doivent authentifier qu’un client est vraiment celui qu’ils prétendent être. avant de rediriger son numéro de téléphone vers une nouvelle carte SIM ou un nouvel appareil. Dans le même temps, l’avis propose d’obliger les opérateurs de téléphonie mobile à informer immédiatement les clients chaque fois qu’un changement de carte SIM ou une demande de port est effectué sur leurs comptes.
En plus de l’échange de carte SIM, ces nouvelles modifications traiteront également de la fraude au portage qui se produit lorsqu’un attaquant se fait passer pour une victime et ouvre un compte auprès d’un autre opérateur à son nom. Ils organisent ensuite le transfert ou le « portage » du numéro de téléphone de la victime sur le compte du nouvel opérateur de téléphonie mobile qu’ils contrôlent.
Sommaire
Base de données d’atténuation des appels automatisés
Afin de lutter contre les appels automatisés, la FCC a fixé une date limite au 20 juin de cette année pour que les grands opérateurs de téléphonie mobile mettent en œuvre les protocoles STIR/SHAKEN, tandis que les plus petits opérateurs de téléphonie mobile ont reçu une prolongation pour le faire jusqu’en juin 2023. Dans le cadre de ces efforts, les opérateurs de téléphonie mobile étaient tenus de certifier qu’ils avaient mis en œuvre STIR/SHAKEN, bien qu’ils aient également dû soumettre un plan détaillé d’atténuation des appels automatisés à la FCC.
Cependant, à partir d’aujourd’hui, si la certification d’un opérateur mobile et d’autres informations requises ne figurent pas dans la base de données d’atténuation des appels automatisés de la FCC, il sera interdit aux autres opérateurs mobiles et fournisseurs intermédiaires d’accepter directement le trafic de ces fournisseurs. Cela signifie que si un opérateur mobile n’a pas soumis les documents nécessaires, les autres opérateurs ne pourront pas envoyer d’appels depuis son réseau à leurs clients.
La date limite semble cependant fonctionner, car 4 798 entreprises ont déposé leur dossier dans la base de données d’atténuation des appels Robocall et tous les plus grands opérateurs de téléphonie mobile aux États-Unis ont certifié leur mise en œuvre des protocoles SHIR/SHAKEN.
La présidente par intérim de la FCC, Jessica Rosenworcel, a fourni de plus amples détails sur la façon dont l’agence gouvernementale lutte contre les appels automatisés dans un communiqué de presse, déclarant :
« La FCC utilise tous les outils possibles pour lutter contre les appels automatisés malveillants et l’usurpation d’identité, des amendes substantielles infligées aux mauvais acteurs aux changements de politique en passant par les innovations techniques telles que STIR/SHAKEN. La date limite d’aujourd’hui établit un outil très puissant pour bloquer les appels automatisés illégaux. Nous continuerons à faire tout ce qui est en notre pouvoir pour protéger les consommateurs contre les escrocs qui inondent nos maisons et nos entreprises d’appels automatisés frauduleux. »
