Clear Sky Science
Des explications fondées sur des preuves, avec peu de jargon

Clear Sky Science · fr

Le cadre WeDDa pour prévenir le smishing et le vishing grâce à une confiance cryptographique indépendante du protocole

· Retour à l’index

Pourquoi les appels et messages falsifiés concernent tout le monde

La plupart d’entre nous dépendent aujourd’hui de leur téléphone pour la banque, les services publics, les livraisons et même les alertes d’urgence. Pourtant, le système téléphonique mondial permet toujours aux criminels de se faire passer pour qui ils veulent — votre banque, un ministère de la santé ou la police — simplement en falsifiant l’identifiant de l’appelant. Cela a alimenté une croissance explosive du smishing (messages texte frauduleux) et du vishing (appels vocaux frauduleux), coûtant des milliards et érodant discrètement la confiance du public dans les services numériques. Cet article présente WeDDa, une nouvelle méthode pour rétablir la confiance dans le réseau téléphonique afin qu’un numéro soit prouvé, et non simplement revendiqué.

Figure 1
Figure 1.

L’ampleur du problème

Les auteurs montrent que les défenses actuelles contre les appels et messages frauduleux sont surtout réactives. Les opérateurs téléphoniques et les applications utilisent des listes noires, l’apprentissage automatique et les signalements d’utilisateurs pour repérer le trafic suspect, mais seulement après qu’il a déjà atteint la personne. Pendant ce temps, les attaques croissent rapidement : le smishing seul a explosé de plusieurs centaines de pourcents en quelques années, avec des pertes se chiffrant en milliards de dollars. Au‑delà de l’argent, ce flux constant de faux crée ce que les auteurs appellent une « taxe de confiance numérique » : les gens commencent à ignorer les messages légitimes, les gouvernements peinent à joindre les citoyens et des services cruciaux comme les alertes d’urgence ou les campagnes de santé perdent en crédibilité.

Le défaut de conception caché des réseaux téléphoniques

Au cœur de cette crise se trouve une erreur de conception fondamentale dans l’infrastructure téléphonique mondiale. Les systèmes de signalisation centraux tels que SS7 pour les appels traditionnels et SIP pour les appels Internet ont été conçus il y a des décennies pour un petit groupe d’opérateurs de confiance, pas pour un environnement hostile à l’échelle d’Internet. Ces protocoles permettent à un réseau de dire à un autre « Cet appel provient de ce numéro », sans aucun moyen intégré de le prouver cryptographiquement. Les outils modernes comme les filtres anti‑spam et les classificateurs IA tentent donc d’évaluer l’honnêteté d’un message après que le réseau a déjà accepté un mensonge sur son origine. Les auteurs soutiennent que tant que l’identité de l’appelant n’est qu’affirmée et non prouvée, la fraude restera inévitable.

Une nouvelle couche de confiance pour l’identité vérifiée des appelants

Le cadre WeDDa propose d’ajouter une couche de confiance obligatoire au sein du réseau, plutôt que de compter sur des applications ou des appareils utilisateurs. Son idée centrale est de créer un « espace de noms » vérifié pour les identités de communication et d’exiger une preuve cryptographique à la passerelle où les appels et messages entrent dans le réseau. Les organisations enregistrent d’abord leurs identités — en utilisant des étiquettes lisibles par l’humain comme Bank_Alerts_City — auprès d’une Autorité des Communications Vérifiées. Cette autorité délivre des clés numériques étroitement liées à des plages de numéros et à des opérateurs réseau spécifiques. Lorsqu’un appel ou un message est envoyé, la passerelle d’origine le signe avec ces clés ; la passerelle réceptrice vérifie ensuite la signature par rapport à un registre sécurisé avant de décider de le laisser passer.

Comment WeDDa fonctionne en pratique

Pour rendre cela praticable, les auteurs conçoivent quatre blocs principaux. Premièrement, un registre national stocke les identités approuvées, leurs numéros de téléphone et les clés publiques nécessaires pour vérifier les signatures. Deuxièmement, les passerelles télécom et Internet effectuent les vérifications cryptographiques sur tout le trafic protégé, bloquant tout ce qui n’a pas de preuve valide. Troisièmement, des bases de données spécialisées enregistrent les tentatives échouées et les schémas d’abus, fournissant aux enquêteurs et aux systèmes d’apprentissage automatique des preuves riches sur les modes opératoires des attaquants. Enfin, une couche centrée sur l’humain comprend des campagnes de sensibilisation publiques et des listes vérifiables, transparentes et consultables de numéros vérifiés afin que les gens puissent voir quels noms ils peuvent faire confiance en toute sécurité. Fait crucial, tout cela peut être ajouté au niveau du réseau sans changer les téléphones des utilisateurs.

Figure 2
Figure 2.

Preuves issues de simulations à grande échelle

Parce qu’il est difficile de refondre un réseau téléphonique national en production, l’équipe a construit des simulations de laboratoire haute fidélité inspirées de l’infrastructure télécom égyptienne. Ils ont généré 200 000 appels de test sur des systèmes traditionnels SS7 et des systèmes VoIP basés sur Internet, en mélangeant du trafic légitime avec plusieurs types d’attaques par usurpation. Dans des conditions contrôlées, chaque appel usurpé reposant sur un identifiant d’appelant falsifié a été bloqué, tandis que tous les appels correctement signés ont été autorisés, et le retard de traitement ajouté est resté dans la gamme des microsecondes — bien en dessous du seuil de perception humaine. Les auteurs soulignent que les réseaux réels sont plus complexes et que les adversaires plus inventifs, mais ces expériences montrent que la garde cryptographique peut, en principe, arrêter l’usurpation d’identité à la source sans ralentir le système.

Limites, défis et ce que cela nécessiterait

WeDDa n’est pas un bouclier magique contre toute la fraude. Il ne peut pas empêcher les escroqueries qui utilisent des numéros réels mais compromis, ni lire le contenu des appels ou détecter des scripts manipulateurs. Il dépend aussi fortement de la gouvernance : les pays devraient établir des autorités dignes de confiance, coordonner au‑delà des frontières et persuader ou contraindre les opérateurs à adopter le système. Les anciens réseaux peuvent nécessiter des mises à niveau matérielles, et une adoption incomplète laisserait des points faibles que les attaquants pourraient exploiter. Les auteurs voient donc WeDDa comme une couche essentielle dans une stratégie plus large de « défense en profondeur » qui inclut aussi l’éducation, des protections au niveau des applications et des politiques robustes pour les plateformes en ligne.

Ce que cela signifie pour les utilisateurs quotidiens

Pour le grand public, la vision derrière WeDDa est simple : lorsque votre téléphone indique qu’un appel provient de votre banque, le réseau lui‑même aura déjà vérifié un passeport cryptographique prouvant cette identité avant que le téléphone ne sonne. Dans un tel monde, le smishing et le vishing fondés sur de faux identifiants d’appelant deviendraient beaucoup plus difficiles et coûteux à mettre en œuvre. Bien que concrétiser ce plan demande des années de travail technique et de coordination internationale, l’étude offre une voie claire vers des réseaux téléphoniques où la confiance est conçue dès le départ, plutôt qu’ajoutée a posteriori.

Citation: Salem, M.F.M., Hamad, E.K.I. & El-Bendary, M.A.M. The WeDDa framework for preventing smishing and vishing using protocol agnostic cryptographic trust. Sci Rep 16, 7949 (2026). https://doi.org/10.1038/s41598-026-38539-y

Mots-clés: smishing, vishing, usurpation d’identifiant d’appelant, authentification cryptographique, sécurité des télécommunications