Décision de Conformité et Enquêtes et de Télécom CRTC 2019-403
Ottawa, le 9 décembre 2019
Dossier public : 8665-C12-201507576
Établissement de l’Autorité canadienne de gouvernance des jetons sécurisés
Le Conseil approuve l’établissement de l’Autorité canadienne de gouvernance des jetons sécurisés (ACGJS) en tant qu’autorité de gouvernance au Canada dans le cadre de la mise en œuvre des normes STIR [Secure Telephony Identity Revisited (nouvelle approche relative à la sécurité de l’identité de l’appelant)]/SHAKEN [Signature-based Handling of Asserted information using toKENs (traitement de l’information fournie en fonction de la signature au moyen de jetons)]. Le Conseil demande que l’ACGJS lui présente un rapport d’étape tous les six mois à compter de la date de la présente décision jusqu’à ce que les normes STIR/SHAKEN soient entièrement mises en œuvre au Canada.
Le Conseil s’attend à ce qui suit : i) l’établissement d’un administrateur des politiques et d’une ou de plusieurs autorités de certification pour assurer la mise en œuvre réussie et efficace des normes STIR/SHAKEN au Canada; ii) la participation de l’ACGJS aux discussions du Comité directeur du Conseil de la radiodiffusion et des télécommunications canadiennes sur l’interconnexion concernant la mise en œuvre des normes STIR/SHAKEN; et iii) une collaboration étroite entre l’ACGJS et les fournisseurs de services de télécommunication.
Contexte
- Dans la décision de Conformité et Enquêtes et de Télécom 2018-32 (décision 2018-32), le Conseil a examiné les mesures en vue de réduire la mystification de l’identité de l’appelantNote de bas de page 1 et de déterminer l’origine des appels importunsNote de bas de page 2. Le Conseil a, entre autres choses, déterminé que les mesures d’authentification et de vérification de l’information d’identification de l’appelant pour les appels vocaux sur protocole Internet (IP) devraient être mises en œuvre par les fournisseurs de services de télécommunication (FST) canadiens au plus tard le 31 mars 2019 afin de permettre aux Canadiens de mieux se protéger contre les appels importuns.
- Le Conseil a également fait remarquer que l’Internet Engineering Task Force (IETF)Note de bas de page 3 a élaboré une norme technique, appelée STIR [Secure Telephony Identity Revisited], offrant aux FST à l’origine des appels un moyen d’attester la véracité de l’information sur l’identité de l’appelant, permettant ainsi la validation de l’identité de l’appelant. Parallèlement à la norme STIR, l’Alliance for Telecommunications Industry Solutions (ATIS)Note de bas de page 4 a élaboré un cadre de référence, soit la norme SHAKEN [Signature-based Handling of Asserted information using toKENs] (voir le document ATIS-1000080), pour la mise en œuvre de la norme STIR dans les réseaux sur IP des fournisseurs de services.
- Conformément aux normes STIR/SHAKEN, les FST attestent dans quelle mesure l’information sur l’identité d’un appelant donné est digne de confiance. Cette information est transmise au moyen de « jetons » et est utilisée par l’appelé, ou par son FST, pour vérifier l’authenticité de l’information sur l’identité de l’appelant (c.-à-d. pour déterminer dans quelle mesure l’information sur l’identité de l’appelant est digne de confiance). Ce processus relève d’une ou de plusieurs autorités de certification qui administrent et délivrent les certificats aux FST.
- Afin d’assurer l’utilisation efficace de ces certificats, les normes STIR/SHAKEN sont gérées par les autorités suivantes :
- une autorité de gouvernance, laquelle assure l’intégrité de la délivrance, de la gestion, de la sécurité et de l’utilisation des certificats délivrés conformément à la spécification SHAKEN;
- un administrateur des politiques, lequel est choisi par l’autorité de gouvernance et chargé d’appliquer les règles définies par l’autorité de gouvernance, notamment de veiller à ce que les autorités de certification mettent en œuvre des pratiques de gestion des certificats appropriées et à ce que les certificats soient délivrés uniquement aux FST autorisés. L’administrateur des politiques est l’administrateur et l’ancre de confiance principale du système;
- les autorités de certification, qui délivrent des certificats aux FST qui ont été validés.
- En septembre 2018, l’ATIS a annoncé le lancement officiel aux États-Unis de la Secure Telephone Identity Governance Authority (STI-GA), qui surveille les progrès en matière de déploiement et l’expérience opérationnelle dans l’écosystème SHAKEN, cerne les problèmes émergents et les analyse afin d’assurer l’efficacité des normes STIR/SHAKEN pour ce qui est d’atténuer le nombre d’appels automatisés non sollicités. La STI-GA sélectionne également l’administrateur des politiques (le STI-PA) : le 30 mai 2019, iconectiv a été désignée comme le STI-PA des États-Unis.
- Dans la décision 2018-32, le Conseil a noté que l’industrie canadienne des télécommunications a réussi à établir des consortiums et d’autres organismes dirigeants afin d’assumer des fonctions semblables, et qu’elle est alors bien placée pour désigner un administrateur canadien des certificats qui délivrerait et administrerait des certificats pour l’authentification et la vérification des appels vocaux sur IP, à l’appui des normes STIR/SHAKEN. Le Conseil a indiqué qu’il s’attendait à ce qu’un administrateur canadien des certificats soit établi d’ici le 31 mars 2019.
Proposition
Établissement de l’ACGJS
- Bell Canada; Bragg Communications Incorporated, exerçant ses activités sous le nom d’Eastlink; Rogers Communications Canada Inc; Saskatchewan Telecommunications; Shaw Communications Inc; TELUS Communications Inc; et Vidéotron ltée (collectivement, les fondateurs), de concert avec le Consortium canadien pour la transférabilité des numéros locaux Inc. (CCTNL)Note de bas de page 5 et un cabinet d’avocats international, ont déposé à titre confidentiel une proposition, datée du 18 avril 2019 (ils ont par la suite déposé une version abrégée datée du 10 mai 2019), en vue d’établir l’Autorité canadienne de gouvernance des jetons sécurisés (ACGJS) en tant qu’autorité de gouvernance proposée dans le cadre des normes STIR/SHAKEN au Canada.
- Dans la proposition, le CCTNL a indiqué que certaines entreprises de télécommunications qui sont des actionnaires du CCTNL ont demandé à la direction du CCTNL d’évaluer s’il serait approprié que le CCTNL assume le rôle de l’administrateur canadien des certificats au nom de l’industrie. La direction du CCTNL a conclu que, pour les raisons énumérées
ci-dessous, le CCTNL devrait prendre les mesures nécessaires pour devenir l’administrateur canadien des certificats :- les actionnaires du CCTNL représentent toutes les entreprises de services locaux titulaires (ESLT) et entreprises de services locaux concurrents (ESLC) ainsi que tous les fournisseurs de services sans fil (FSSF) au Canada.
- le CCTNL possède l’expérience et l’expertise nécessaires en gestion pour appuyer les entreprises dans l’établissement et la gestion de l’administrateur canadien des certificats.
- l’administrateur canadien des certificats tirerait profit du partage des ressources avec le CCTNL, ce qui permettrait aux entreprises d’intégrer l’administrateur canadien des certificats de manière rentable.
- Le CCTNL a signalé les étapes suivantes :
- En août 2018, les fondateurs ont proposé de constituer en entité distincte l’administrateur canadien des certificats, 10849448 Canada Inc. (10849448), à l’aide du CCTNL, dans le cadre d’une entente de services partagés.
- En octobre 2018, 10849448 a invité les parties qui s’intéressent à l’établissement de l’administrateur canadien des certificats à fournir des renseignements et à formuler des commentaires lors d’une réunion en ligne. 10849448 a par la suite déposé un rapport d’étape auprès du personnel du Conseil.
- Dans sa réponse de décembre 2018, le personnel du Conseil a fait remarquer que l’industrie accepte largement les efforts déployés par le CCTNL pour appuyer les normes STIR/SHAKEN et a demandé que 10849448 fournisse les documents juridiques établissant l’autorité de gouvernance et qu’elle explique la façon dont les fonctions de l’administrateur des politiques et de l’autorité de certification seront exercées.
- En février 2019, 10849448 a déposé une modification à ses statuts constitutifs renommant la société « ACGJS » afin de mieux refléter la nature de ses activités.
Modèle de gouvernance
- Le CCTNL a indiqué que la direction de l’ACGJS a suivi de près et examiné toute la documentation disponible concernant l’établissement d’un modèle de gouvernance au Canada qui est semblable à celui des États-Unis. Le CCTNL a précisé que l’ACGJS a établi une relation de travail avec la STI-GA des États-Unis et qu’elle est devenue membre de l’ATIS afin de participer pleinement à l’élaboration actuelle des normes STIR/SHAKEN.
- Le CCTNL a ajouté que les représentants des fondateurs, avec l’appui d’une expertise externe, ont examiné la documentation de l’ATIS et élaboré un document sur les exigences techniques canadiennes. Ils ont également créé une liste de contrôle pour la sélection des fournisseurs qui pourraient assumer les rôles d’administrateur des politiques et d’autorité de certification, et ils ont commencé à documenter d’autres exigences futures.
- Le CCTNL a noté que, dans le rapport NTRE0065 du Groupe de travail Réseau (GTR) du Comité directeur du CRTC sur l’interconnexion (CDCI), de nombreuses entreprises ont signalé une absence de cadre de gouvernance et un manque de clarté relativement à l’obtention de certificats et à l’authentification des appels par les FST, ce qui les empêche de mettre pleinement en œuvre un système d’authentification des appels.
Coûts réels et prévus
- Le CCTNL a expliqué que les fondateurs ont contribué à un fonds de démarrage de 250 000 $, en fonction du nombre total de leurs abonnés respectifs aux services d’accès au réseau (SAR) et aux services mobiles sans fil. Les dépenses comprennent les frais de soutien juridique, de gestion, technique et administratif. Les fonds de démarrage sont toutefois épuisés. Il y aura donc un léger déficit à compter du 30 avril 2019.
- Le CCTNL a ajouté que les coûts prévus sont fondés uniquement sur les efforts déployés par le CCTNL dans la mesure du possible pour ce qui est de prévoir les exigences et les coûts connexes. En outre, ces prévisions excluent tout financement requis pour appuyer les services fournis par l’administrateur des politiques ou l’autorité de certification, ainsi que tout financement qui a été ou sera nécessaire pour appuyer les réseaux des entreprises individuelles. L’ACGJS a estimé qu’il faudra environ 480 000 $ pour établir les fournisseurs dans leurs rôles, et que les dépenses d’exploitation annuelles seront d’environ 325 000 $ après la mise en œuvre.
Convention unanime des actionnaires
- Le CCTNL a joint à la proposition une version confidentielle du projet de convention unanime des actionnaires. Les fondateurs ont convenu des points suivants :
- Les actionnaires doivent être des ESLT, des ESLC et des FSSF qui sont inscrits auprès du Conseil et qui respectent les règlements du Conseil.
- Les activités courantes de l’ACGJS doivent être financées dans le cadre d’une entente de services administratifs.
- Les fonds doivent être affectés en fonction du nombre total d’abonnés au SAR et au service mobile sans fil, tel qu’il est indiqué dans le sondage annuel lié à la collecte de données du Conseil.
- Les fondateurs se sont demandé si le Conseil devrait demander ou ordonner aux actionnaires de participer au régime ou s’ils devraient avoir la possibilité d’y participer.
Résultats de l’analyse du Conseil
Autorité de gouvernance
- Le Conseil estime que la mise en place d’une autorité de gouvernance est nécessaire pour le déploiement efficace et réussi des normes STIR/SHAKEN au Canada. Une autorité de gouvernance canadienne cernera les problèmes émergents et entreprendra une analyse de ceux-ci afin d’assurer l’efficacité des normes STIR/SHAKEN dans l’atténuation du nombre d’appels automatisés non sollicités.
- Le CCTNL est la seule entité qui a pris l’initiative et soumis une proposition au Conseil de prendre des mesures en vue de s’acquitter du rôle d’administrateur canadien des certificats, comme le Conseil l’avait demandé dans la décision 2018-32. De plus, aucune partie n’a contesté la proposition du CCTNL.
- Le Conseil estime que les efforts du CCTNL constituent une étape positive vers la mise en place d’un système permettant aux consommateurs et aux entreprises d’obtenir des renseignements précis sur l’origine des appels importuns qu’ils reçoivent. Le Conseil note également que l’industrie accepte largement les efforts déployés jusqu’à présent par le CCTNL.
- L’ACGJS représente les entreprises, dont les clients correspondent à la grande majorité des consommateurs canadiens, et ses actionnaires représentent les ESLT, les ESLC et les FSSF au Canada. Par ailleurs, le CCTNL possède l’expérience et l’expertise en gestion nécessaires pour appuyer les entreprises dans l’établissement et la gestion de l’administrateur canadien des certificats. Par conséquent, l’administrateur canadien des certificats tirerait profit du partage des ressources avec le CCTNL, permettant ainsi aux entreprises d’intégrer l’administrateur canadien des certificats d’une manière rentable.
- Par conséquent, le Conseil approuve le rôle de l’ACGJS en tant qu’autorité de gouvernance au Canada.
Sélection d’un administrateur des politiques et d’une ou de plusieurs autorités de certification
- L’autorité de gouvernance devrait choisir un administrateur des politiques, qui sera responsable de l’application des règles définies par l’autorité de gouvernance, ainsi qu’une ou plusieurs autorités de certification, qui seront chargées de mettre en œuvre les pratiques appropriées de gestion des certificats et de délivrer les certificats uniquement aux FST autorisés. Le Conseil estime que l’ACGJS est en bonne voie pour sélectionner ces entités dans les mois à venir.
- Dans la décision 2018-32, le Conseil a déterminé que l’industrie des télécommunications devrait établir un administrateur canadien des certificats. Par conséquent, l’ACGJS devrait faire participer les FST canadiens à ses activités et partager son plan de travail avec les FST afin de mettre en œuvre les normes STIR/SHAKEN de manière efficace au Canada.
Collaboration entre l’ACGJS et le CDCI
- Le Conseil estime que la collaboration entre l’ACGJS et le GTR aidera les deux entités à résoudre les problèmes liés au déploiement et à la certification des normes STIR/SHAKEN. Le Conseil s’attend donc à ce que l’ACGJS participe aux discussions du CDCI concernant le déploiement des normes STIR/SHAKEN au Canada et qu’elle aborde toute question liée à la certification. Le Conseil s’attend également à ce que les FST canadiens collaborent avec l’ACGJS pour accélérer le déploiement des normes STIR/SHAKEN au Canada.
Financement
- Le Conseil estime qu’un financement régulier de l’industrie des télécommunications est essentiel pour permettre à l’ACGJS de fournir des services de certification efficaces à long terme aux FST canadiens et pour permettre le déploiement efficace des normes STIR/SHAKEN.
Conclusion
- Compte tenu de tout ce qui précède, le Conseil approuve l’établissement de l’ACGJS en tant qu’autorité de gouvernance et demande qu’elle présente un rapport d’étape tous les six mois, à compter de la date de la présente décision, jusqu’à ce que les normes STIR/SHAKEN soient entièrement mises en œuvre au Canada. Le rapport devrait faire le point sur les questions suivantes :
- les résultats de la sélection d’un administrateur des politiques et d’une ou de plusieurs autorités de certification;
- un aperçu des activités de l’autorité de gouvernance, de l’administrateur des politiques, des autorités de certification ainsi que du processus global de certification afin d’assurer la viabilité à long terme des normes STIR/SHAKEN;
- la définition des problèmes et la façon dont ils sont résolus dans les forums de l’industrie appropriés (p. ex., le GTR ou l’ATIS).
- Le Conseil s’attend également à ce qui suit :
- un administrateur des politiques et une ou plusieurs autorités de certification doivent être établis pour assurer le déploiement réussi et efficace des normes STIR/SHAKEN au Canada;
- l’ACGJS doit participer aux discussions du CDCI concernant le déploiement des normes STIR/SHAKEN et régler toute question liée à la certification afin d’assurer une mise en œuvre complète des normes STIR/SHAKEN au Canada d’ici le 30 septembre 2020, comme le Conseil l’a déterminé dans la Décision de Conformité et Enquêtes et de Télécom 2019-402;
- une collaboration étroite entre l’ACGJS et les FST.
Secrétaire général
Documents connexes
- Groupe de travail Réseau du CDCI – État d’avancement de la mise en œuvre par les fournisseurs de services de télécommunications des mesures d’authentification et de vérification de l’identité de l’appelant, Décision de Conformité et Enquêtes et de Télécom 2019-402, 9 décembr 2019
- Mesures pour réduire la mystification de l’identité de l’appelant et déterminer l’origine des appels importuns, Décision de Conformité et Enquêtes et de Télécom CRTC 2018-32, 25 janvier 2018; modifiée par Décisions de Conformité et Enquêtes et de Télécom CRTC 2018-32-1, 24 octobre 2018, et 2018-32-2, 18 décembre 2018
- Date de modification :