MAN : comprendre le Mécanisme d'Authentification des Numéros en France
Le spoofing téléphonique — l'usurpation du numéro appelant — est devenu un fléau majeur en France. Arnaques au CPF, faux conseillers bancaires, démarchage abusif… Des millions de Français sont touchés chaque année. Pour y répondre, la Fédération Française des Télécoms (FFTelecoms) a mis en place le MAN : le Mécanisme d'Authentification des Numéros.
Qu'est-ce que le MAN ?
Le MAN est un dispositif sectoriel qui garantit que toute personne recevant un appel ne soit pas trompée sur l'identité de l'émetteur. Il repose sur le protocole STIR/SHAKEN, déjà déployé aux États-Unis et au Canada, adapté au contexte réglementaire français.
STIR — Secure Telephone Identity Revisited
STIR (RFC 8224, 8225, 8226) définit un mécanisme de signature cryptographique de l'identité appelante dans les flux SIP. Concrètement :
- L'opérateur d'origine signe l'identité de l'appelant avec un certificat X.509 délivré par une autorité de certification
- La signature est encapsulée dans un jeton PASSporT (Personal Assertion Token)
- Ce jeton est inséré dans le header SIP
Identity - L'opérateur de terminaison vérifie la signature en consultant l'autorité de certification
SHAKEN — Signature-based Handling of Asserted information using toKENs
SHAKEN ajoute une couche d'attestation : l'opérateur d'origine indique son niveau de confiance sur l'identité de l'appelant :
| Niveau | Nom | Description |
|---|---|---|
| A | Complet | L'opérateur a authentifié son client et vérifié que celui-ci est autorisé à utiliser le numéro appelant |
| B | Partiel | L'opérateur a authentifié son client mais ne peut pas vérifier l'autorisation d'usage du numéro |
| C | Passerelle | L'opérateur a authentifié la source de l'appel (ex : passerelle internationale) mais pas l'appelant lui-même |
Le rôle de l'APNF
L'APNF (Association des Plateformes de Normalisation des Flux interopérateurs) joue un rôle central dans le dispositif :
- Autorité de certification : délivre les certificats X.509 aux opérateurs
- Base centralisée : gère la base de données des certificats pour le contrôle des signatures
- Gouvernance : définit les règles de fonctionnement du MAN via le Code de Procédures
Chaque opérateur exploitant des ressources du plan de numérotation français doit obtenir un certificat auprès de l'APNF pour participer au MAN.
Calendrier de déploiement
Le déploiement du MAN suit un calendrier progressif défini par la FFTelecoms :
Juin 2024 — Déploiement généralisé
- Tous les opérateurs déploient le MAN sur l'ensemble de leurs interconnexions SIP
- Pas de coupure : les appels non authentifiés sont encore acheminés
- Les opérateurs transmettent les données de traçabilité (traces et métriques) à la plateforme MAN pour le suivi consolidé
Octobre 2024 — Coupure des appels non authentifiés
- Début de la coupure des appels non authentifiés : un appel sans signature valide peut être rejeté par l'opérateur de terminaison
- Les opérateurs doivent être pleinement opérationnels
Impact technique pour les opérateurs VoIP
Ce que vous devez implémenter
Si vous exploitez une infrastructure VoIP (FreeSWITCH, Kamailio, Ostelio, etc.), voici les actions concrètes :
- Obtenir un certificat APNF : contacter l'APNF pour obtenir votre certificat X.509 d'opérateur
- Configurer la signature STIR sur votre SBC/proxy SIP sortant :
- Générer le jeton PASSporT avec votre clé privée
- Insérer le header
Identitydans chaque INVITE sortant - Définir le niveau d'attestation (A, B ou C) selon le contexte
- Configurer la vérification sur votre SBC/proxy SIP entrant :
- Vérifier la présence du header
Identity - Décoder le jeton PASSporT
- Vérifier la validité du certificat (chaîne de confiance, révocation)
- Vérifier la cohérence entre les données de l'appel et le jeton
- Reporter les métriques à la plateforme MAN
Exemple de header SIP Identity
Identity: eyJhbGciOiJFUzI1NiIsInBwdCI6InNoYWtlbiIsInR5cCI6InBhc3Nwb3
J0IiwieDV1IjoiaHR0cHM6Ly9jZXJ0LmFwbmYuZnIvY2VydHMvb3BlcmF0b3
IuY2VyIn0.eyJhdHRlc3QiOiJBIiwiZGVzdCI6eyJ0biI6WyIzMzYxMjM0NT
Y3OCJdfSwiaWF0IjoxNjg4MDAwMDAwLCJvcmlnIjp7InRuIjoiMzMxNDU2Nzg
5MCJ9LCJvcmlnaWQiOiJ1dWlkIn0.signature;info=<https://cert.apnf.fr/certs/operator.cer>;alg=ES256;ppt=shaken
Configuration FreeSWITCH (principe)
FreeSWITCH supporte STIR/SHAKEN via le module mod_stir_shaken (disponible à partir de la version 1.10.x) :
<!-- conf/autoload_configs/stir_shaken.conf.xml -->
<configuration name="stir_shaken.conf" description="STIR/SHAKEN">
<settings>
<param name="private-key-file" value="/etc/freeswitch/certs/apnf-private.pem"/>
<param name="certificate-file" value="/etc/freeswitch/certs/apnf-cert.pem"/>
<param name="certificate-url" value="https://cert.apnf.fr/certs/your-operator.cer"/>
<param name="default-attestation" value="A"/>
<param name="verify-incoming" value="true"/>
</settings>
</configuration>
Les 3 principes fondamentaux du MAN
- Interopérabilité : des standards techniques communs entre tous les opérateurs
- Authentification : vérification de l'identité de l'appelant et de son droit d'usage du numéro
- Coupure : interruption des appels dont l'authentification échoue ou n'est pas correctement validée
Conclusion
Le MAN représente une avancée majeure dans la lutte contre la fraude téléphonique en France. Pour les opérateurs VoIP, c'est une obligation réglementaire qui nécessite des adaptations techniques significatives sur les infrastructures SIP.
Chez Technixis, nous accompagnons les opérateurs dans le déploiement du MAN sur leurs plateformes FreeSWITCH et Kamailio : obtention des certificats APNF, configuration STIR/SHAKEN, tests d'interopérabilité et mise en conformité.
Besoin d'accompagnement ? Contactez-nous ou appelez le 0800 012 013.
Sources :
- FFTelecoms — Calendrier MAN
- Code de procédures MAN v1.2 (PDF)
- RFC 8224, 8225, 8226 (STIR) — IETF
Laisser un commentaire