Décision de Conformité et Enquêtes et de Télécom CRTC 2019-402

Référence : 2019-402-1 ,2019-402-2

Ottawa, le 9 décembre 2019

Dossier public : 8621-C12-01/08 et 8665-C12-201507576

Groupe de travail Réseau du CDCI – État d’avancement de la mise en œuvre des mesures d’authentification et de vérification de l’identité de l’appelant par les fournisseurs de services de télécommunication

Le Conseil conclut que les entreprises canadiennes et les autres fournisseurs de services de télécommunication (FST) qui fournissent des services de télécommunication vocale au Canada devraient être en mesure de terminer la mise en œuvre des normes STIR [Secure Telephony Identity Revisited (nouvelle approche relative à la sécurité de l’identité de l’appelant)]/SHAKEN [Signature-based Handling of Asserted information using toKENs (traitement de l’information fournie en fonction de la signature au moyen de jetons)] au Canada afin d’authentifier et de vérifier l’information d’identification de l’appelant pour les appels vocaux sur protocole Internet, au plus tard le 30 septembre 2020. Le Conseil demande que les FST et le Comité directeur du Conseil de la radiodiffusion et des télécommunications canadiennes sur l’interconnexion déposent également les rapports d’étape décrits dans la présente décision.

Contexte

Dans la décision de Conformité et Enquêtes et de Télécom 2018-32 (décision 2018-32), le Conseil a examiné les mesures en vue de réduire la mystification de l’identité de l’appelant^{Note de bas de page 1} et de déterminer l’origine des appels importuns^{Note de bas de page 2}. Plus précisément, au paragraphe 31 de la décision 2018-32, le Conseil a déterminé que les mesures d’authentification et de vérification de l’information d’identification de l’appelant pour les appels vocaux sur protocole Internet (IP) devraient être mises en œuvre par les entreprises canadiennes et les autres fournisseurs de services de télécommunication qui fournissent des services de télécommunication vocale au Canada (collectivement appelés FST aux fins de la présente décision) au plus tard le 31 mars 2019, pour permettre aux Canadiens de mieux se protéger contre les appels importuns.
Le Conseil a également fait remarquer que l’Internet Engineering Task Force (IETF)^{Note de bas de page 3} a élaboré une norme technique, appelée STIR [Secure Telephony Identity Revisited], offrant aux FST à l’origine des appels un moyen d’attester la véracité de l’information sur l’identité de l’appelant, permettant ainsi la validation de l’identité de l’appelant. Parallèlement à la norme STIR, l’Alliance for Telecommunications Industry Solutions (ATIS)^{Note de bas de page 4} a élaboré un cadre de référence, soit la norme SHAKEN [Signature-based Handling of Asserted information using toKENs] (voir le document ATIS-1000080), pour la mise en œuvre de la norme STIR dans les réseaux sur IP des fournisseurs de services.
Les normes STIR/SHAKEN consistent en un cadre de référence constitué de normes interconnectées. Cela signifie que le numéro d’identification de l’appelant pour les appels acheminés par l’intermédiaire de réseaux téléphoniques interconnectés serait « reconnu » comme légitime par les entreprises d’origine. Grâce aux normes STIR/SHAKEN, l’information d’identification de l’appelant est transmise à l’aide de « jetons » et le transfert des appels téléphoniques passant par l’ensemble complexe de réseaux est validé numériquement, ce qui permet à la compagnie de téléphone du consommateur recevant l’appel de vérifier que l’appel provient bien de la personne qui l’effectue. Ce processus relève d’une ou de plusieurs autorités de certification qui administrent et délivrent les certificats aux FST.
Afin d’assurer l’utilisation efficace de ces certificats, les normes STIR/SHAKEN sont gérées par les autorités suivantes :
- une autorité de gouvernance, laquelle assure l’intégrité de la délivrance, de la gestion, de la sécurité et de l’utilisation des certificats délivrés conformément à la spécification SHAKEN;
- un administrateur des politiques, lequel est choisi par l’autorité de gouvernance et chargé d’appliquer les règles définies par l’autorité de gouvernance, notamment de veiller à ce que les autorités de certification mettent en œuvre des pratiques de gestion des certificats appropriées et à ce que les certificats soient délivrés uniquement aux FST autorisés. L’administrateur des politiques est l’administrateur et l’ancre de confiance principale du système;
- les autorités de certification, qui délivrent des certificats aux FST qui ont été validés.
Aux États-Unis, la Commission fédérale des communications (FCC) a adopté, en juin 2019, un avis de projet de réglementation dans lequel elle proposait d’exiger que les fournisseurs de services vocaux mettent en œuvre les normes STIR/SHAKEN d’ici la fin de 2019. En août 2019, certains fournisseurs de services vocaux américains ont annoncé qu’ils commençaient à déployer l’échange d’information sur l’authentification des appels au sein de leurs réseaux. Le président de la FCC, M. Pai, a d’ailleurs affirmé que tout indique que l’ensemble des plus grands fournisseurs de services vocaux seront en mesure de respecter l’échéance fixée par la FCC, soit la fin de 2019.
Afin d’examiner les progrès de l’industrie en matière d’authentification de l’identité de l’appelant au Canada, dans la décision 2018-32, le Conseil a ordonné aux FST de soumettre au Comité directeur du CRTC sur l’interconnexion (CDCI) un rapport tous les six mois, le premier rapport étant attendu six mois après la date de cette décision (c.-à-d. le 25 janvier 2018), concernant leurs efforts et progrès quant à la mise en œuvre des mesures d’authentification et de vérification de l’identité de l’appelant. Le Conseil a demandé au CDCI de regrouper les rapports des FST dans un seul et même rapport.

Rapport

Le 12 juin 2019, le Groupe de travail Réseau (GTR) du CDCI a présenté au Conseil son deuxième rapport consolidé (le Rapport) aux fins d’examen :
- Telecommunications Service Providers status with regards to the implementation of authentication/verification measures for caller ID, 27 mai 2019 (NTRE065) [en anglais seulement]
On peut consulter le rapport sur le site Web du Conseil à l’adresse www.crtc.gc.ca, dans la section CDCI, sous la rubrique « Rapports » de la page du GTR.
Conformément aux décisions du Conseil énoncées dans la décision 2018-32, le rapport comprend les renseignements suivants :
- l’état de préparation des FST relativement aux modifications à apporter aux réseaux, s’il y a lieu;
- l’état et les résultats des mises à l’essai d’équipement et de la participation à ces essais;
- des statistiques indiquant ce qui suit : i) le pourcentage de circuits adaptés pour l’authentification et la vérification utilisés pour le trafic vocal sur IP par rapport au nombre total de circuits à fréquences vocales, ii) le pourcentage mensuel d’appels authentifiés et vérifiés par rapport au nombre total d’appels vocaux et iii) le suivi par niveau d’authentification (c.-à-d. pleinement digne de confiance, partiellement digne de confiance, aucunement digne de confiance) pour les appels passés aux consommateurs;
- l’état des normes d’authentification et de vérification, comme les normes STIR/SHAKEN et leurs normes secondaires, ainsi que de toute autre norme connexe;
- les exigences propres au Canada contenues dans les normes, ainsi que les efforts déployés pour intégrer ces exigences.

État de préparation du réseau

Le GTR a fait remarquer qu’il existait un risque que la date de mise en œuvre prévue, le 31 mars 2019, ne soit pas respectée. Le GTR a indiqué que sur les 16 FST qui ont fourni une date potentielle de mise en œuvre des normes STIR/SHAKEN, cinq FST ont indiqué qu’ils seront prêts avant décembre 2020, dix FST seront prêts d’ici décembre 2020 et un FST sera prêt d’ici 2021.
De nombreux FST ont mentionné le besoin d’établir un administrateur des politiques et une ou plusieurs autorités de certification dans le cadre des normes STIR/SHAKEN. De nombreux FST ont également indiqué que les échéanciers et la disponibilité quant aux plans de leurs fournisseurs actuels à l’appui des normes STIR/SHAKEN ne sont pas finalisés. Plusieurs FST ont fait valoir qu’en l’absence d’une autorité de certification canadienne, ils ont dû utiliser des certificats autosignés pour effectuer des mises à l’essai de l’équipement afin d’authentifier et de vérifier le trafic vocal sur IP reçu d’autres FST. Certains FST ont précisé qu’ils avaient besoin d’une solution entièrement définie avant d’aller plus loin.
Certains FST ont souligné le fait que la totalité ou une grande partie du trafic vocal est fondé sur le multiplexage par répartition dans le temps (MRT), et qu’ils ne sont donc techniquement pas en mesure d’adhérer aux normes STIR/SHAKEN. D’autres FST ont indiqué qu’ils sont dans un état transitoire, prenant en charge à la fois les services vocaux sur IP et les services de MRT, et qu’ils envisagent la mise en œuvre des normes STIR/SHAKEN après avoir fait la transition à un environnement entièrement sur IP.
Certains FST sont d’avis que la pénétration des normes STIR/SHAKEN sera faible en raison de ce qui suit : i) la forte pénétration des liaisons du MRT; ii) la faible pénétration des liaisons du protocole d’ouverture de session (SIP) et iii) le faible niveau de préparation du secteur, en partie attribuable aux coûts élevés de la transition des réseaux existants aux réseaux IP.
Les revendeurs^{Note de bas de page 5} ont indiqué que leur rôle lié à l’adhésion aux normes STIR/SHAKEN n’est pas clair. De plus, la plupart des revendeurs canadiens sont interconnectés par l’entremise d’installations de MRT et sont donc incapables de s’interfacer avec le protocole IP (SIP) sous-jacent. Les revendeurs qui ont des installations vocales sur IP reliées à leur entreprise hôte ont indiqué qu’ils attendaient des détails de leurs hôtes sur la façon dont la technologie STIR/SHAKEN pourrait être supportée. Par ailleurs, les revendeurs craignaient que cela les désavantage sur le plan de la concurrence.
Le GTR a soulevé d’autres enjeux qui ont été relevés dans le premier rapport d’étape et qui n’ont toujours pas été résolus, comme la nécessité de clarifier l’architecture de déploiement cible et l’architecture des flux d’appels afin de déterminer ce qui suit : i) les cas qui doivent être authentifiés et vérifiés (p. ex., les appels d’un réseau à un autre ou d’un appareil à un autre), ii) les normes d’affichage et iii) le traitement des appels non vérifiés et non authentifiés.

Mise à l’essai de l’équipement

Le GTR a indiqué que parmi les FST qui ont soumis des rapports d’étape, un seul a réalisé les mises à l’essai à l’aide du banc d’essai de l’ATIS. Trois autres FST ont affirmé qu’ils en sont à diverses étapes de la mise en place ou aux étapes initiales de la mise à l’essai. Un FST a mentionné que les essais locaux s’étaient avérés fructueux, mais qu’aucun essai n’avait été effectué avec d’autres entreprises.
Les FST ont soulevé les préoccupations communes suivantes :
- l’absence de plateformes conformes aux exigences des fournisseurs;
- l’absence d’une autorité de gouvernance;
- peu ou pas de trafic SIP, ce qui ne permet en aucun cas de mettre à l’essai la fonctionnalité SIP des normes STIR/SHAKEN;
- l’absence d’un banc d’essai canadien pour des raisons de souveraineté des données et de protection de la vie privée.

État des normes d’authentification et de vérification

Le GTR a indiqué que les efforts de l’industrie en matière d’authentification de l’identité de l’appelant étaient axés sur les normes STIR/SHAKEN pour la mise en œuvre de la norme STIR dans les réseaux IP des FST. On s’attend à ce qu’il y ait des changements et des ajouts à l’ensemble des exigences pour appuyer les mises en œuvre initiales et interopérables de l’authentification de l’identité de l’appelant sur IP à mesure que les participants de l’industrie progresseront vers la mise en œuvre des normes et commenceront à tirer profit d’une expérience opérationnelle directe.
En ce qui concerne le recours aux normes STIR/SHAKEN dans les réseaux fondés sur le MRT, le GTR a indiqué qu’une analyse approfondie avait été réalisée, laquelle avait permis de recenser divers problèmes et diverses limites, d’où un manque potentiel de confiance envers le cadre de référence.
Le GTR a ajouté que l’ATIS poursuit ses travaux en vue d’améliorer les normes STIR/SHAKEN et de permettre à un FST autorisé de déléguer à une autre entité les pouvoirs relatifs à un sous-ensemble de ses numéros de téléphone. Ces travaux demeurent particulièrement intéressants pour le GTR compte tenu des ententes commerciales similaires (c.-à-d. entre les entreprises et les revendeurs de services vocaux sur IP) au Canada.

Exigences propres au Canada

Le GTR a fait remarquer qu’il n’a pas défini d’exigences propres au Canada pour l’authentification de l’identité de l’appelant autres que celles qui ont déjà été définies ou qui sont déjà à l’étude. Il a ajouté qu’il avait l’intention de continuer à surveiller les efforts liés à la normalisation et de fournir des mises à jour sur l’état d’avancement dans les prochains rapports.

Résultats de l’analyse du Conseil

Aperçu

Les normes STIR/SHAKEN sont, à l’heure actuelle, les seules solutions viables en matière d’authentification et de vérification qui pourraient permettre d’accroître la confiance des consommateurs à l’égard de l’information sur l’identité de l’appelant. Le Conseil estime que ce cadre de référence permettra d’accroître l’efficacité d’autres mesures prises pour lutter contre les appels importuns, comme un processus de dépistage des appels à l’échelle de l’industrie, des services facultatifs de filtrage d’appels et du blocage, à l’échelle du réseau, des appels importuns pour lesquels l’information sur l’identité de l’appelant est manifestement illicite.

Absence d’interconnexions téléphoniques IP

Le Conseil estime qu’une mise en œuvre efficace des normes STIR/SHAKEN au sein des réseaux canadiens nécessite une connectivité SIP de bout en bout. Comme il est indiqué ci-dessus, cependant, la plupart des FST se servent actuellement d’interconnexions de MRT (principalement ou exclusivement), qui ne sont pas compatibles avec les normes STIR/SHAKEN. Le Conseil reconnaît qu’il n’est pas possible de mettre en œuvre les normes STIR/SHAKEN sur des réseaux à commutation de circuits traditionnels pour le moment, étant donné que l’équipement connexe n’est plus pris en charge par les fournisseurs. Toutefois, le Conseil estime que cette préoccupation est de moins en moins importante pour les raisons suivantes :
- les ESLT passent aux technologies de réseau IP;
- les réseaux mobiles commutés passent à la voix sur LTE (VoLTE), qui dépend de la technologie IP;
- presque tous les réseaux des entreprises de câblodistribution et des entreprises de services locaux concurrentes utilisent déjà la technologie IP ou le feront sous peu;
- de nombreux FST échangent déjà du trafic au moyen d’interconnexions IP.
Étant donné que les FST continueront de recourir à des réseaux qui n’utilisent pas la technologie IP pendant un certain temps, du moins en partie, ils voudront peut-être explorer, même temporairement, des solutions qui n’utilisent pas la technologie IP leur permettant d’étendre les avantages des normes STIR/SHAKEN aux réseaux à commutation de circuits traditionnels et autres réseaux qui n’utilisent pas la technologie IP, ainsi qu’aux combinés connexes.

Autorité de gouvernance et autorité de certification canadiennes

Dans la décision de Conformité et Enquêtes et de Télécom 2019-403, le Conseil a approuvé l’établissement de l’Autorité canadienne de gouvernance des jetons sécurisés (ACGJS) à titre d’autorité de gouvernance pour appuyer la mise en œuvre des normes STIR/SHAKEN au Canada. Le Conseil a demandé que l’ACGJS sélectionne un administrateur des politiques ainsi qu’une ou plusieurs autorités de certification.

Élaboration des normes STIR/SHAKEN

En ce qui concerne les préoccupations exprimées par les FST au sujet de l’état des normes STIR/SHAKEN, le Conseil reconnaît que toutes les normes ne sont pas prêtes à être déployées, certaines normes étant toujours en cours d’élaboration et d’autres susceptibles d’amélioration.
Le Conseil s’attend à ce que les FST : i) collaborent avec le CDCI et l’ACGJS pour l’élaboration des normes, et ii) continuent de participer activement à l’élaboration des normes et aux mises à l’essai de l’équipement en fonction de ces normes afin de s’assurer que les exigences canadiennes uniques soient intégrées.

Date limite de mise en œuvre pour les FST

Le Conseil fait remarquer que la pleine mise en œuvre des normes STIR/SHAKEN aux États-Unis devrait être achevée d’ici la fin de 2019. Le Conseil estime qu’après cette date, les principaux enjeux susmentionnés qui ont entravé la mise en œuvre jusqu’à présent devraient être résolus. Ces enjeux clés incluent la disponibilité de plateformes conformes aux exigences des fournisseurs, la mise au point des normes, la mise à l’essai de l’équipement et l’établissement d’une autorité de délivrance de certificats au Canada.
Le Conseil s’attend donc à ce que les FST canadiens puissent entreprendre la mise à l’essai en vertu des normes STIR/SHAKEN d’ici juin 2020, en collaboration avec le CDCI et l’ACGJS. Les FST devraient fournir un aperçu des résultats de leurs essais dans leurs rapports d’étape individuels au CDCI.
Par conséquent, le Conseil conclut que les FST devraient être en mesure de terminer la mise en œuvre des normes STIR/SHAKEN au Canada afin d’authentifier et de vérifier l’information d’identification de l’appelant pour les appels vocaux sur IP au plus tard le 30 septembre 2020. Les FST qui ne sont pas en mesure de respecter cette date limite devraient déposer un mémoire auprès du Conseil fournissant une explication et des preuves à l’appui. Le Conseil fait remarquer que, parallèlement à cette décision, il publie un avis de consultation dans lequel il invite les FST à lui faire part de leurs observations sur sa proposition d’exiger que les FST mettent en œuvre les normes STIR/SHAKEN à titre de condition d’offre et de prestation de services de télécommunication en vertu des articles 24 et 24.1 de la Loi sur les télécommunications, à compter du 30 septembre 2020.

Rapports d’étape

Le Conseil demande que chaque FST lui soumette un plan d’action, d’ici le 24 février 2020, qui fournit les informations suivantes :
- l’état d’avancement de la mise en œuvre des normes STIR/SHAKEN du FST (p. ex., migration IP, état de préparation de l’équipement, mises à l’essai, limites et autres questions connexes);
- les mesures qui seront prises, y compris un plan d’atténuation, pour régler les problèmes soulevés dans la présente décision et pour s’assurer que les normes STIR/SHAKEN soient efficaces et entièrement opérationnelles au Canada d’ici le 30 septembre 2020.
Conformément à ses conclusions établies dans la décision 2018-32, le Conseil demande également que chaque FST soumette au CDCI un rapport d’ici le 29 juin 2020 concernant ses efforts et ses progrès relativement à la mise en œuvre des mesures d’authentification et de vérification de l’identité de l’appelant. Le Conseil demande également que le CDCI lui soumette un rapport consolidé sur les progrès de l’industrie d’ici le 28 septembre 2020.
Les rapports des FST et du CDCI doivent contenir ce qui suit :
- l’état de préparation des FST relativement aux modifications à apporter aux réseaux, s’il y a lieu;
- l’état et les résultats des mises à l’essai d’équipement et de la participation à ces essais;
- des statistiques indiquant ce qui suit :
  - le pourcentage de circuits adaptés pour l’authentification et la vérification utilisés pour le trafic vocal sur IP par rapport au nombre total de circuits à fréquences vocales,
  - le pourcentage mensuel d’appels authentifiés et vérifiés par rapport au nombre total d’appels vocaux,
  - le suivi par niveau d’authentification (c’est-à-dire pleinement digne de confiance, partiellement digne de confiance, aucunement digne de confiance) pour les appels passés aux consommateurs,
- un plan d’atténuation pour s’assurer que les normes STIR/SHAKEN seront entièrement mises au point et opérationnelles au Canada d’ici le 30 septembre 2020.
De plus, le rapport du CDCI devrait inclure ce qui suit :
- l’état des normes d’authentification et de vérification et leurs normes secondaires, ainsi que de toute autre norme connexe;
- les exigences propres au Canada, ainsi que les efforts déployés pour intégrer ces exigences aux normes appropriées.
Enfin, le Conseil demande que chaque FST lui soumette un rapport de mise en œuvre d’ici le 24 février 2020 qui fournit un aperçu de la mise en œuvre des normes STIR/SHAKEN, dont les renseignements suivants :
- l’état et les résultats de la mise en œuvre des normes STIR/SHAKEN;
- le pourcentage de circuits adaptés pour l’authentification et la vérification utilisés pour le trafic vocal sur IP par rapport au nombre total de circuits à fréquences vocales;
- le suivi par niveau d’authentification (c’est-à-dire pleinement digne de confiance, partiellement digne de confiance, aucunement digne de confiance) pour les appels passés aux consommateurs;
- les limites techniques et économiques.

Secrétaire général

Documents connexes

Établissement de l’Autorité canadienne de gouvernance des jetons sécurisés, Décision de Conformité et Enquêtes et de Télécom CRTC 2019-403, le 9 décembre 2019
Mesures pour réduire la mystification de l’identité de l’appelant et déterminer l’origine des appels importuns, Décision de Conformité et Enquêtes et de Télécom CRTC 2018-32, 25 janvier 2018; modifiée par Décisions de Conformité et Enquêtes et de Télécom CRTC 2018-32-1, 24 octobre 2018, et 2018-32-2, 18 décembre 2018

Notes de bas de page

Note de bas de page 1

Il y a mystification lorsqu’un appelant falsifie délibérément l’information sur son identité (p. ex., son numéro de téléphone) qui est transmise à l’appelé dans le but de cacher sa véritable identité. La mystification est souvent utilisée pour amener les appelés à divulguer des renseignements personnels précieux qui peuvent ensuite être utilisés à des fins frauduleuses ou illégales. Il convient de noter qu’il arrive que la substitution de numéro soit utilisée à des fins légales ou légitimes, par exemple lors des appels faits par un médecin à ses patients ou par les refuges pour femmes.

Retour à la référence de la note de bas de page 1

Note de bas de page 2

Par « appels importuns », on entend les télécommunications non sollicitées qui ne sont pas conformes aux Règles sur les télécommunications non sollicitées (Règles). Les télécommunications non sollicitées qui sont entièrement conformes aux Règles ne constituent pas des appels importuns.

Retour à la référence de la note de bas de page 2

Note de bas de page 3

L’IETF est un organisme international qui élabore des normes pour l’ensemble des protocoles Internet, c’est-à-dire le protocole Transmission Control Protocol/Internet Protocol (TCP/IP).

Retour à la référence de la note de bas de page 3

Note de bas de page 4

L’ATIS rassemble les plus grandes entreprises de technologies de l’information et des communications (TIC) des États-Unis pour faire progresser les priorités opérationnelles de l’industrie des TIC.

Retour à la référence de la note de bas de page 4

Note de bas de page 5

Le GTR a précisé qu’aux fins du Rapport, le terme « revendeur » désigne tout fournisseur de services vocaux qui compte sur une entreprise de services locaux ou un fournisseur de services sans fil pour obtenir les numéros de téléphone et l’interconnexion pour tout appel entrant donné. Cela comprend les entreprises dotées d’installations qui ont été désignées comme entreprises de services locaux concurrentes de type 3 et de type 4 pour la totalité ou une partie de leurs activités vocales.

Retour à la référence de la note de bas de page 5

Date de modification :: 2019-12-09

Sélection de la langue

Recherche et menus

Recherche