Implémenter STIR/SHAKEN : guide technique pour les DSI

Depuis le 1er janvier 2026, le Mécanisme d'Authentification des Numéros (MAN) impose aux opérateurs français de couper les appels non authentifiés. Pour les DSI et responsables techniques, comprendre et implémenter STIR/SHAKEN devient une nécessité opérationnelle. Ce guide technique détaille les étapes concrètes d'implémentation.

STIR/SHAKEN et MAN : comprendre l'architecture

STIR/SHAKEN (Secure Telephone Identity Revisited / Signature-based Handling of Asserted information using toKENs) est le protocole international d'authentification des appels. La France a développé sa propre implémentation baptisée MAN, conforme aux spécifications de l'ARCEP.

Le principe est simple : chaque appel sortant est signé cryptographiquement par l'opérateur émetteur, permettant à l'opérateur récepteur de vérifier que le numéro appelant n'a pas été usurpé.

Les composants techniques

• STI-CA (Certificate Authority) : l'autorité de certification qui délivre les certificats aux opérateurs autorisés
• STI-PA (Policy Administrator) : gère les politiques et la liste des opérateurs accrédités
• Certificat SPC : Service Provider Code, identifiant unique de l'opérateur
• PASSporT : Personal Assertion Token, le jeton signé ajouté dans les headers SIP

Les 3 niveaux d'attestation : A, B et C

Chaque appel reçoit un niveau d'attestation qui indique le degré de confiance de l'opérateur dans l'identité de l'appelant :

Attestation A (Full) — Le standard à viser

L'opérateur certifie qu'il :

• A authentifié l'identité du client (KYC complet)
• A vérifié que le client est autorisé à utiliser ce numéro
• Est responsable de l'émission de l'appel sur le réseau

Impact : Les appels en attestation A bénéficient d'un indicateur "Appel vérifié" sur certains téléphones et sont rarement bloqués par les filtres anti-spam.

Attestation B (Partial) — Zone grise

L'opérateur connaît le client mais n'a pas vérifié son droit à utiliser le numéro présenté. Typique des entreprises utilisant des numéros via un trunk SIP sans déclaration préalable.

Impact : Pas d'indicateur de confiance, risque modéré de filtrage.

Attestation C (Gateway) — À éviter absolument

L'opérateur ne peut pas identifier l'émetteur de l'appel. C'est le cas des appels transitant par des passerelles internationales non authentifiées.

Impact : Très forte probabilité de blocage ou d'affichage "Spam probable". Depuis janvier 2026, l'ARCEP impose le masquage des numéros mobiles non authentifiés provenant de l'étranger.

Implémentation technique : étapes pour les DSI

Étape 1 : Audit de votre infrastructure téléphonique

Avant toute implémentation, cartographiez votre architecture :

• Type de trunk : SIP direct, ISDN (à migrer), ou UCaaS (Teams, Zoom)
• IPBX : Asterisk, FreePBX, 3CX, Avaya, Cisco — vérifiez la compatibilité STIR/SHAKEN
• Opérateur : Confirmez qu'il supporte le MAN et peut attester vos numéros en niveau A
• Numéros utilisés : Listez tous les CLI (Caller ID) utilisés pour les appels sortants

Étape 2 : Déclaration des numéros auprès de l'opérateur

Pour obtenir l'attestation A, vous devez fournir à votre opérateur :

• Preuve de propriété ou d'attribution des numéros (factures, contrats)
• Liste exhaustive des numéros à authentifier
• Engagement contractuel sur l'usage conforme des numéros

Délai moyen : 2 à 4 semaines pour la validation administrative.

Étape 3 : Configuration technique (exemple Asterisk)

Pour les IPBX supportant STIR/SHAKEN nativement (Asterisk 18+, FreePBX récent), la configuration implique :

; stir_shaken.conf
[attestation]
global_disable = no
private_key_file = /etc/asterisk/keys/stir_private.pem
public_cert_url = https://certs.operator.fr/12345.pem

[tn_0140000000]
type = tn
private_key_file = /etc/asterisk/keys/stir_private.pem
public_cert_url = https://certs.operator.fr/12345.pem
attest_level = A

Chaque numéro (TN - Telephone Number) doit être configuré avec :

• Le certificat privé fourni par l'opérateur
• L'URL publique du certificat pour vérification
• Le niveau d'attestation autorisé (généralement A)

Étape 4 : Vérification des appels entrants

Si vous recevez des appels, configurez également la vérification :

[verification]
global_disable = no
load_system_certs = yes
ca_file = /etc/asterisk/keys/ca-bundle.crt
max_iat_age = 15

Le paramètre max_iat_age (en secondes) définit la tolérance sur l'horodatage de la signature. 15 secondes est la valeur recommandée.

Cas particuliers et solutions

UCaaS (Microsoft Teams, Zoom Phone)

Si vous utilisez Teams ou Zoom pour la téléphonie, la gestion STIR/SHAKEN est généralement transparente :

• Direct Routing Teams : votre SBC doit supporter STIR/SHAKEN
• Operator Connect : l'opérateur gère l'authentification
• Zoom Phone : attestation gérée par Zoom pour les numéros alloués

Vérifiez auprès de votre fournisseur UCaaS que vos numéros sont bien enregistrés pour l'attestation A.

Multi-opérateurs et portabilité

Si vous utilisez plusieurs opérateurs ou avez des numéros portés :

• Chaque opérateur doit authentifier uniquement les numéros qu'il gère
• Les numéros portés doivent être re-déclarés auprès du nouvel opérateur
• Attention aux délais de propagation (24-72h après portabilité)

Call centers externalisés

Si vous externalisez vos appels sortants :

• Exigez contractuellement l'attestation A de votre prestataire
• Fournissez-lui les preuves d'attribution de vos numéros
• Surveillez régulièrement le niveau d'attestation effectif (outils de monitoring)

Checklist DSI : 10 points de contrôle

1. ✅ Tous les trunks SIP sont compatibles STIR/SHAKEN
2. ✅ L'opérateur confirme par écrit l'attestation niveau A
3. ✅ Liste complète des CLI déclarée à l'opérateur
4. ✅ Certificats et clés privées stockés de manière sécurisée
5. ✅ Configuration IPBX testée et validée
6. ✅ Vérification des appels entrants activée
7. ✅ Monitoring du niveau d'attestation en place
8. ✅ Procédure de mise à jour des certificats documentée
9. ✅ Prestataires externes audités sur leur conformité
10. ✅ Plan de continuité si attestation dégradée

Impact sur la réputation téléphonique

L'implémentation correcte de STIR/SHAKEN n'est pas qu'une obligation réglementaire — c'est un avantage concurrentiel :

• +15 à 25% de taux de décroché pour les appels avec indicateur "Vérifié"
• Réduction des signalements spam : les destinataires font davantage confiance
• Traçabilité complète : en cas de problème, l'origine des appels est prouvable

À l'inverse, une mauvaise implémentation (attestation B ou C) peut ruiner vos campagnes d'appels sortants, avec des taux de blocage pouvant atteindre 60-80%.

Ressources et outils

• ARCEP - Décision sur le plan de numérotation (décembre 2025)
• FFTélécoms - Calendrier MAN
• Documentation Asterisk STIR/SHAKEN

Pour surveiller en temps réel la réputation de vos numéros et détecter les problèmes d'attestation, découvrez l'API HUHU qui permet d'intégrer le monitoring directement dans vos outils de supervision.

Si vos appels ne sont toujours pas décrochés malgré une bonne configuration technique, consultez notre guide sur les autres raisons de non-décroché — le spam n'est pas le seul facteur.

Pour aller plus loin sur l'infrastructure sous-jacente, consultez notre guide technique sur le SIP trunking et la réputation téléphonique — la sécurisation de vos trunks SIP est un prérequis essentiel à l'efficacité de STIR/SHAKEN.