Intéressé à savoir quelle est la prochaine étape pour l’industrie du jeu ? Rejoignez les dirigeants du jeu pour discuter des parties émergentes de l’industrie en octobre lors du GamesBeat Summit Next. Inscrivez-vous dès aujourd’hui.
Il y a une raison impérieuse pour laquelle le STIR / SHAKEN de la Federal Communication Commission (FCC) a été si désespérément appelé avant sa mise en œuvre éventuelle le 30 juin 2021. L’Amérique a un vilain problème d’appels automatisés à hauteur d’environ 4 à 5 milliards d’appels automatisés frauduleux chaque mois ( à partir de 2021). Et les attaques sont de plus en plus féroces.
STIR/SHAKEN a été conçu dans un contexte de fraude en constante évolution. Les fraudeurs n’essaient plus de soutirer de l’argent des transactions de télécommunications ; aujourd’hui, il s’agit de récolter des données personnelles et financières. Entrez dans le “Robocall Big Bang”, où les attaquants du monde entier exploitent les vulnérabilités des technologies actuelles pour cibler directement les utilisateurs finaux.
Les régulateurs le savent, d’où STIR/SHAKEN, une suite de normes de protocole technique et de cadre de gouvernance destinées à réprimer les appels automatisés, dont la plupart portent une identification de la ligne d’appel (CLI) ou identification de l’appelant usurpée. C’est ainsi que les fraudeurs font croire aux clients américains qu’ils reçoivent un appel de quelqu’un aux États-Unis alors que ce n’est pas le cas. Étant donné que l’opérateur à l’origine de l’appel est censé “signer” et vérifier que chaque appel est légitime, STIR/SHAKEN était censé apporter la confiance aux utilisateurs finaux et aux opérateurs de terminaison (la destination finale de l’appel – dans ce cas, les États-Unis) lorsqu’ils vérifient un identifiant d’appelant entrant reçu sur un réseau IP.
C’est bien en théorie, mais BICS FraudGuard a révélé une augmentation de 65 % du volume d’attaques contre les abonnés américains entre novembre 2021 et février 2022.
Événement
MetaBeat 2022
MetaBeat réunira des leaders d’opinion pour donner des conseils sur la façon dont la technologie métaverse transformera la façon dont toutes les industries communiquent et font des affaires le 4 octobre à San Francisco, en Californie.
Inscrivez-vous ici
Alors, quel est le problème et comment le résoudre ?
Le trafic d’appels n’est pas une ligne droite : le problème avec STIR/SHAKEN
Au cœur des lacunes de STIR/SHAKEN se trouve une incompréhension du fonctionnement du trafic vocal international.
Le trafic des appels internationaux n’est pas une ligne droite. Il est rare qu’un appel passe directement d’un opérateur dans un pays ou à un opérateur de réseau mobile aux États-Unis. sept ou huit connexions distinctes entre les transporteurs alors que le trafic se propage à travers le monde.
Si un opérateur à Singapour certifie à tort qu’une CLI américaine dans un appel frauduleux est authentique, et si de nombreux sauts se produisent avant la destination finale de l’opérateur américain, alors toutes les réglementations imposant des méthodes pour certifier cette CLI – et donc l’appel – ne signifient finalement rien.
Dès que vous avez beaucoup d’intermédiaires dans le trafic international, vous perdez la traçabilité. La signature de la CLI ne sera transmise aux différents opérateurs de la chaîne que si l’appel transite également par des réseaux IP, ce qui n’est pas toujours le cas. Pire encore, les lois sur la protection des données et les politiques des entreprises empêchent souvent les opérateurs aux États-Unis de retracer l’origine d’un appel. Et comme les opérateurs étrangers ne sont pas liés par les réglementations de la FCC, il y a peu d’incitations à mettre en œuvre STIR/SHAKEN.
Adoption mondiale nécessaire
En d’autres termes, STIR/SHAKEN oblige les fournisseurs de passerelles internationales à signer des CLI – et de manière coûteuse – dont ils ne peuvent en aucun cas savoir qu’elles sont authentiques. Tout ce qu’un fournisseur de passerelle internationale au milieu peut faire est de reconnaître que l’appel a été vérifié par un opérateur antérieur (si la signature CLI est transmise dans les en-têtes SIP). Alternativement, ils peuvent attribuer une «attestation de niveau C» à l’appel (le niveau de confiance le plus bas), confirmant ainsi qu’ils n’ont pas eux-mêmes manipulé un appel entrant provenant d’un endroit complètement différent.
Quelle est la valeur de cette ‘attestation’ ? Pour le confort et la sécurité des clients américains, pas grand-chose.
Une politique comme STIR/SHAKEN ne peut fonctionner que si elle est appliquée à tous les autres pays envoyant des appels avec des CLI américaines, ce qui n’est pas réaliste. Malgré toute l’influence de l’Amérique en tant qu’acteur géopolitique majeur, elle ne pourrait jamais imposer sa réglementation intérieure aux opérateurs au Japon, au Zimbabwe ou en Australie. Son cadre de gouvernance n’est tout simplement pas conçu pour s’adapter à l’environnement international.
Un rapide coup d’œil à l’indice Robocall révèle que le nombre d’appels automatisés a diminué d’une année sur l’autre, mais pas suffisamment pour justifier les coûts énormes encourus par les opérateurs internationaux pour effectuer des attestations d’appels de faible valeur de niveau C.
L’IA pour lutter contre la fraude
Face au problème des appels automatisés, pour que la réglementation soit efficace, nous aurions besoin d’un cadre mondial qui s’applique de la même manière à toutes les parties internationales. Mais la complexité de cela signifie qu’il est peu probable que cela se produise de sitôt.
Des outils tels que l’analyse et l’apprentissage automatique (ML) peuvent atténuer ce problème et font déjà partie des réglementations de la FCC. En effet, BICS exploite une plate-forme FraudGuard qui puise ses renseignements auprès de plus de 900 fournisseurs de services, puis applique l’IA pour détecter et bloquer les appels et SMS frauduleux entrants. L’année dernière, BICS a bloqué des millions d’appels avant qu’ils n’atteignent les opérateurs et les abonnés américains.
Une partie de la raison pour laquelle l’IA fonctionne ici est que la réponse à la lutte contre la fraude est moins « Connaissez votre client » que « Connaissez votre trafic », et à cet égard, l’IA suit très bien les comportements du trafic. Mais ces outils ne peuvent pas être considérés comme une béquille. Ils doivent être utilisés avec précaution pour éviter de bloquer le trafic légitime et de provoquer des litiges juridiques entre les transporteurs internationaux.
Il est temps de chercher des solutions plus humbles
Les retraçages, également soutenus par la réglementation FCC et dirigés par l’Industry Traceback Group (ITG), sont un processus d’enquête visant à éradiquer la partie responsable de l’origine des appels frauduleux. En commençant par le dernier opérateur, l’appel est retracé via de nombreux opérateurs, contournant les accords de confidentialité et les législations sur la vie privée dans la mesure du possible pour trouver les mauvais acteurs. Punir les robots appelants doit faire partie de notre stratégie, plutôt que de punir les intermédiaires qui font de leur mieux, mais il faut admettre que c’est un processus très long.
Heureusement, il existe des solutions plus modestes. L’une consiste à fournir une plus grande clarté aux opérateurs internationaux sur le plan de numérotation nord-américain (NANPS) pour faciliter la différenciation du “bon” trafic du “mauvais” trafic (c’est-à-dire, quelles CLI américaines sont autorisées à générer du trafic depuis l’étranger en dehors des utilisateurs finaux itinérants ?) .
Les opérateurs attribuent généralement aux entreprises opérant à l’étranger des numéros et des gammes avec lesquels ils peuvent générer du trafic depuis l’extérieur des États-Unis – un centre d’appels desservant des clients américains transportera souvent des CLI américains même s’ils proviennent d’ailleurs. Une liste de ces numéros d’entreprise pourrait être partagée avec la communauté internationale des télécommunications ; tout numéro entrant ne figurant pas sur la liste qui ne montre pas de comportement d’itinérance humaine serait marqué comme suspect.
De nouvelles menaces dans un monde 5G
Adopter davantage de mesures pour lutter contre la fraude et les menaces de sécurité ne deviendra que plus important dans un monde 5G et Internet des objets (IoT).
Cette transition ajoutera de la complexité à l’écosystème des télécommunications, créant inévitablement plus de points d’entrée et de failles à exploiter pour les fraudeurs. Un réseau n’est jamais aussi fort que son maillon le plus faible, nous devrons donc apporter notre jeu A en matière de prévention de la fraude et de protection de la sécurité en tant que communauté internationale. Cela inclut des audits plus stricts des personnes avec lesquelles nous faisons affaire, en particulier s’il s’avère que d’autres parties sont à l’origine d’appels frauduleux.
La prévention de la fraude ne s’arrête jamais. Les fraudeurs s’adaptent et s’étendent constamment sur le plan géographique. Il n’y a pas de solution magique unique, mais nous devons reconnaître que nous ne pourrons jamais éradiquer complètement la fraude. Des protocoles comme STIR/SHAKEN sont un point de départ pour protéger l’écosystème des télécommunications, mais le défi des frontières internationales nécessite une approche collaborative véritablement mondiale de la part de l’ensemble de l’écosystème, y compris les autorités de régulation nationales et les opérateurs.
Katia Gonzales est responsable de la prévention de la fraude chez BICS et présidente du i3 Fraud Forum.
DataDecisionMakers
Bienvenue dans la communauté VentureBeat !
DataDecisionMakers est l’endroit où les experts, y compris les techniciens travaillant sur les données, peuvent partager des informations et des innovations liées aux données.
Si vous souhaitez en savoir plus sur les idées de pointe et les informations à jour, les meilleures pratiques et l’avenir des données et de la technologie des données, rejoignez-nous sur DataDecisionMakers.
Vous pourriez même envisager de rédiger votre propre article !
En savoir plus sur DataDecisionMakers
