Première publication le 1er septembre 2004Appeler un correspondant en apparaissant sous le faux numéro de son choix. Qui n’a jamais été tenté d’utiliser un tel subterfuge ? La technique serait aujourd’hui à la portée d’entreprises peu
scrupuleuses ou d’internautes très bien informés. Elle repose sur les faiblesses du protocole IP (Internet Protocol), de plus en plus utilisé dans les réseaux téléphoniques.Aux Etats-Unis, une start-up du nom de Star38 a même franchi une étape supplémentaire en lançant un service commercial à destination des sociétés de recouvrement et des détectives privés. Elle propose à ses clients de passer leurs
appels en truquant le numéro de téléphone qui s’affichera sur le poste de leur correspondant. L’intérêt est évident pour une société chargée de contacter des mauvais payeurs ou pour une entreprise de télémarketing.Lancé ce 1er septembre, le service de Star38.com exploite un principe assez simple. Deux numéros coexistent en effet dans tous les réseaux de téléphonie : le premier (Calling party number,
ou NDI en France, pour numéro de désignation d’installation) correspond au numéro réel du poste appelant. Ce numéro, attribué par l’opérateur, est celui utilisé par le grand public.Le second (Caller ID ou NDS ?” numéro de désignation secondaire) sert à gérer les lignes directes dans le cas d’entreprises ou d’administrations équipées d’autocommutateurs téléphoniques. Ces numéros sont
alors déterminés par l’installateur sur les recommandations de son client.Et c’est justement ce numéro secondaire que Star38.com compte substituer à la demande pour ses futurs clients, comme l’explique
SecurityFocus. Le correspondant serait ainsi leurré sur la provenance réelle de l’appel.Concrètement, les clients utilisent une interface Web pour remplir un formulaire où ils indiquent leur numéro d’appel réel, le numéro de leur correspondant et enfin le numéro d’usurpation choisi. Quelques secondes plus
tard, ils sont rappelés par le serveur IP de Star38.com, qui les met alors en relation avec le destinataire, sous le faux numéro indiqué.
Une manipulation qui passe par un opérateur IP
L’outil d’usurpation des numéros aurait été développé à l’aide d’un autocommutateur logiciel open source, dénommé Asterik. Les appels émis par le biais de ce site devraient être facturés 25 cents de
dollar par appel, puis 7 à 14 cents par minute pour l’utilisation de ce service. Mais, pour cela, encore faut-il que Star38.com s’associe, pour acheminer ses appels téléphoniques, à des opérateurs de voix sur IP peu scrupuleux
également.En effet, comme l’explique Christophe Bach, directeur général de l’opérateur de téléphonie IP Altevia, ‘ Les opérateurs sont en mesure de contrôler les NDI et les NDS dans les paquets
d’appel IP qu’ils acheminent, et de rétablir le numéro réel dans le cas où un client utiliserait un NDS par trop ‘farfelu’ ‘.Mais si le fournisseur de VoIP n’est pas trop regardant sur l’usage que ses clients font des numéros d’identification primaire et secondaire, c’est clairement la porte ouverte à des abus.D’autres ‘ passe-droits ‘ existent. Des communautés d’utilisateurs se dotant d’un autocommutateur logiciel de VoIP n’appliqueraient évidemment pas les mêmes règles que des opérateurs
officiels, contrôlés par des autorités de régulation. De même, des appels déclenchés depuis des FAI ou des opérateurs à l’étranger sont difficiles à superviser de bout en bout.‘ En tant qu’opérateur, nous avons l’obligation d’acheminer tout appel téléphonique. Or, quand celui-ci provient d’autres pays ou continents et est déjà passé par plusieurs
‘telcos’, il devient très difficile d’identifier avec certitude le NDI et le NDS ‘, reconnaît Christophe Bach.En revanche, il semble que la manipulation soit plus difficilement à la portée des particuliers abonnés aux services de téléphonie sur ADSL, tel celui de Free. Selon Christophe Bach, le protocole MGCP (Media gateway control
protocol) utilisé dans des décodeurs du type de la FreeBox ou de la Livebox (Wanadoo) interdit de telles dérives, puisque dans ce cas l’opérateur de VoIP attribue directement les numéros d’identification, sans intervention
possible de l’utilisateur.Le problème de l’usurpation n’est de toute façon ni nouveau ni cantonné au monde Internet, puisque les autocommutateurs numériques (RNIS en France) permettaient déjà à des personnes averties de faire apparaître leur appel
sous la numérotation de leur choix.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
