Appel à l’action : il faut empêcher le régime KYC de la FCC

 (blog.lopp.net)
1 points par GN⁺ 4 시간 전 | 1 commentaires | Partager sur WhatsApp
  • L’accès au service téléphonique aux États-Unis devrait être traité comme une infrastructure de communication essentielle, mais l’examen par la FCC de règles de KYC pourrait contraindre les utilisateurs ordinaires à fournir des informations d’identité avant de souscrire ou de renouveler un service chez un opérateur
  • La FCC examine des mesures incluant la vérification du nom, de l’adresse, d’une pièce d’identité délivrée par l’État et d’un numéro de téléphone alternatif, mais comme dans les pratiques KYC du secteur financier, les fuites de données personnelles identifiantes et les marchés de revente de documents n’empêchent pas durablement les criminels déterminés
  • Les téléphones prépayés et les burner phones ne sont pas seulement des outils de criminalité, mais aussi des moyens de protection de la vie privée nécessaires pour les survivantes et survivants de violences domestiques, les lanceurs d’alerte, les journalistes, les manifestants et les personnes cherchant à éviter des représailles
  • L’examen de vérifications sur des listes tenues par les forces de l’ordre, de la conservation des dossiers pendant 4 ans après la fin de la relation client et de sanctions de 2 500 dollars par appel pourrait pousser les opérateurs à choisir la sur-vérification, la sur-conservation et le sur-refus
  • Cette affaire n’est pas encore une règle finale, et la FCC recueille des commentaires jusqu’au 25 juin 2026 puis des réponses jusqu’au 27 juillet 2026 : il est donc encore possible de s’opposer à un KYC obligatoire pour les utilisateurs ordinaires du téléphone

Le problème des robocalls et l’examen du KYC

  • Les robocalls, les appels frauduleux, l’usurpation de numéro, les fausses garanties, les faux messages bancaires et le spam politique automatisé sapent la confiance dans le système téléphonique et nuisent au temps, à l’argent et à la sécurité des Américains
  • Le problème des appels illégaux est bien réel, mais la solution ne devrait pas être une vérification d’identité généralisée visant tous les utilisateurs ordinaires
  • Sous couvert de lutte contre les robocalls, la FCC examine des règles de Know Your Customer qui obligeraient les fournisseurs de services téléphoniques à collecter des informations d’identité sur leurs utilisateurs
  • Le 30 avril 2026, la FCC a adopté un Further Notice of Proposed Rulemaking portant sur un renforcement du KYC pour les fournisseurs de services vocaux
  • Parmi les mesures étudiées figure l’obligation de vérifier, avant l’activation du service, le nom du client, son adresse, une pièce d’identité délivrée par l’État et un numéro de téléphone alternatif
  • Cette proposition a été approuvée par le président Brendan Carr ainsi que par les commissaires Gomez et Trusty

Pourquoi le KYC ne bloque pas durablement les criminels

  • L’accès au téléphone devrait être traité comme une infrastructure essentielle, pas comme un privilège conditionné à une vérification d’identité
  • Le danger n’est pas que la FCC cherche à sanctionner les auteurs d’arnaques par robocall, mais qu’elle place des millions d’utilisateurs innocents dans une base de données d’identité télécom au nom de la difficulté imposée aux criminels
  • Malgré les exigences KYC du système financier, le blanchiment d’argent continue de passer par des circuits réglementés
  • Les criminels n’ont généralement pas beaucoup de mal à fournir les documents nécessaires pour passer les contrôles KYC
  • Les données personnelles identifiantes continuent de fuiter, il existe des marchés où ces informations s’échangent, et le coût d’achat d’une nouvelle identité avec les documents associés reste faible

Les burner phones sont des outils importants

  • La FCC examine si les exigences KYC doivent différer entre forfaits prépayés et postpayés, quelles informations les opérateurs mobiles obtiennent des clients de cartes SIM prépayées, et si le KYC doit aussi s’appliquer aux services prépayés achetés via des revendeurs tiers
  • Ce point est au cœur de la question des burner phones, et les téléphones prépayés ne sont pas seulement des accessoires de criminels au cinéma
  • Les téléphones prépayés peuvent être une bouée de sauvetage pour les survivantes et survivants de violences domestiques, les salariés qui signalent des abus au travail, les journalistes protégeant leurs sources, les manifestants cherchant à éviter des représailles et les personnes qui ne veulent pas rattacher tous leurs comptes de communication à une pièce d’identité officielle
  • Jay Stanley, analyste principal des politiques à l’ACLU, a averti que cette règle pourrait priver les gens de la possibilité d’obtenir des burner phones et nuire aux personnes à faibles revenus, aux victimes de violences domestiques et à celles qui tiennent à leur vie privée
  • Les communications anonymes ou pseudonymes ne sont pas, en soi, suspectes

  • Les téléphones sans KYC comme tactique de sécurité et de vie privée

    • Les services téléphoniques sans KYC sont utilisés depuis des années comme tactique de sécurité et de protection de la vie privée
    • Une personne soupçonnée d’avoir accès à une quantité importante de Bitcoin peut avoir besoin d’une forte protection de sa vie privée pour se défendre contre les attaques à la clé à molette
    • Cette menace n’a rien de théorique : des centaines de Bitcoiners ont subi des agressions physiques, et il existe aussi des cas de swatting et d’extorsion

Les risques d’une architecture de surveillance, de conservation et de sanction

  • Les aspects les plus inquiétants de la proposition de la FCC vont au-delà de la simple collecte générale d’identités
  • Dans le cadre des différences de KYC fondées sur le risque, la FCC examine même si les fournisseurs devraient consulter des listes de terroristes, d’organisations terroristes ou de « criminels » tenues par les forces de l’ordre
  • De telles listes peuvent entraîner des faux positifs, l’ajout opaque de personnes innocentes, et un refus d’accès à une infrastructure de communication essentielle sans condamnation ni véritable procédure régulière
  • Même si la FCC présente cela sous forme de question plutôt que de décision finale, c’est une question trop dangereuse pour être normalisée par un régulateur des télécommunications

  • Conservation longue et extension des finalités

    • La FCC examine une obligation de conserver pendant 4 ans les informations KYC et les dossiers de support après la fin de la relation client
    • Le risque ne s’arrête pas à la résiliation du service, et les informations d’identité pourraient rester des années dans les bases de données des opérateurs
    • Les données conservées peuvent être exposées à des violations, des abus, des citations à comparaître, des ventes ou à une extension des finalités
    • La FCC examine aussi si des règles KYC renforcées pourraient aider à enquêter sur des crimes autres que les appels illégaux, notamment le crime organisé, la traite des êtres humains, l’espionnage, les opérations d’influence et d’autres préoccupations de sécurité nationale
    • Si les fournisseurs de télécommunications doivent vérifier, conserver, revérifier et filtrer leurs clients, le système téléphonique se rapproche davantage d’un goulot d’étranglement que d’un réseau de communication ouvert

  • Une structure de sanctions par appel

    • La FCC examine un dispositif dans lequel les violations du KYC seraient évaluées appel par appel
    • La FCC propose explicitement une amende forfaitaire de 2 500 dollars par appel
    • Si les sanctions pour sous-filtrage peuvent exploser en fonction du volume d’appels, les fournisseurs peuvent être incités à choisir la sur-vérification, la sur-conservation et le sur-refus pour se protéger
    • Le choix le plus sûr pour une entreprise risque alors de ne pas être celui qui protège la vie privée des consommateurs, mais celui qui y porte gravement atteinte

La vie privée n’est pas un crime

  • Dans une société libre, les citoyens ne devraient pas avoir à se battre en permanence simplement pour préserver leur vie privée
  • C’est au gouvernement de démontrer la légitimité de toute atteinte aux droits des citoyens par la surveillance, la conservation de données ou le refus d’accès à des outils de communication essentiels
  • Les acteurs qui veulent contrôler les canaux de communication doivent pouvoir identifier les utilisateurs du réseau pour faire taire les voix qu’ils ne veulent pas entendre
  • La FCC peut cibler les gros émetteurs commerciaux, les fournisseurs négligents, les infrastructures d’usurpation de numéro, les abus de SIM-box et les récidivistes malveillants sans obliger tous les utilisateurs ordinaires à soumettre des documents d’identité pour obtenir un numéro de téléphone
  • La FCC peut renforcer l’application de la loi contre les opérateurs qui facilitent sciemment du trafic d’appels illégal
  • Elle peut imposer aux expéditeurs de masse des obligations de diligence étroites et fondées sur le risque
  • Il faut éviter un système dans lequel chaque utilisateur du téléphone doit prouver qui il est avant de pouvoir communiquer
  • Le citoyen moyen ne veut pas que l’État dresse des listes de personnes menant des activités parfaitement normales
  • Personne ne souhaite voir la « protection du consommateur » se transformer en surveillance, la vie privée traitée comme une faille, et des règles anti-robocall mettre discrètement fin au dernier moyen pratique d’accéder au téléphone sans autorisation gouvernementale

Comment le KYC accroît en réalité le risque

  • Le KYC pourrait être qualifié de « Kill Your Customer », car la collecte même de données personnelles identifiantes sensibles met les clients en danger
  • Les régimes KYC ont provoqué pendant des années des fuites massives de données, et ils affaiblissent leur propre fiabilité en permettant aux criminels d’obtenir facilement de nouveaux documents pour contourner les contrôles à l’aide d’identités volées
  • Dans le téléphone, le KYC peut activement dégrader la sécurité des comptes en les liant à l’identité
  • Lorsqu’un criminel dispose d’assez de données personnelles identifiantes, il lui est plus facile d’usurper l’identité d’une victime auprès d’un opérateur et de tenter de transférer son numéro vers une carte SIM contrôlée par le criminel
  • Ce problème de SIM swapping ou de détournement de SIM existe depuis plus de dix ans et s’aggrave à mesure que toujours plus d’aspects de la vie deviennent numériques
  • Une grande partie des comptes en ligne importants reste liée à un numéro de téléphone et à une adresse e-mail

  • Chemin d’attaque courant du détournement de SIM

    • Le criminel vole le numéro de téléphone de la victime
    • Il utilise ce numéro pour réinitialiser l’accès au compte e-mail principal de la victime
    • Il utilise ensuite le compte e-mail et le numéro de téléphone pour réinitialiser l’accès à des comptes financiers
    • Le KYC est présenté comme un moyen d’arrêter les criminels, mais en pratique il ressemble davantage à du théâtre sécuritaire qui affaiblit la vie privée et la sécurité qu’à une véritable protection des consommateurs contre les acteurs malveillants
    • Il ne faut pas étendre un système défaillant à davantage de domaines de la vie

Il n’est pas trop tard

  • Cette affaire n’est pas encore une règle finale
  • La FCC sollicite des commentaires sur cette proposition de modification dans le Federal Register
  • La date limite de dépôt des commentaires est le 25 juin 2026, et celle des réponses est le 27 juillet 2026
  • Il est possible de soumettre à la FCC un commentaire public opposé à une vérification d’identité KYC obligatoire
  • Le dépôt de commentaires peut se faire via le formulaire de la FCC
  • Les commentaires adressés à la FCC sont publics : il faut donc partir du principe que toute donnée personnelle incluse dans le texte ou les pièces jointes sera consultable en ligne
  • Il ne faut pas inclure d’informations personnelles qui ne seraient pas sûres si elles étaient rendues publiques dans le monde entier

Points clés de la lettre de commentaire proposée

  • Opposition à toute règle de la FCC obligeant les utilisateurs ordinaires du téléphone et les utilisateurs prépayés à fournir, comme condition d’obtention ou de renouvellement d’un service téléphonique, un numéro d’identification délivré par l’État, des documents d’identité, une adresse réelle, un numéro de téléphone alternatif ou des informations personnelles similaires
  • Les robocalls et les appels frauduleux sont des problèmes graves, mais une collecte d’identité obligatoire pour tous les utilisateurs est excessivement large, porte atteinte à la vie privée et risque de nuire aux personnes ayant un besoin légitime de confidentialité
  • Parmi les utilisateurs potentiellement lésés figurent les survivantes et survivants de violences domestiques, les journalistes, les lanceurs d’alerte, les citoyens à faibles revenus, les organisateurs politiques et les personnes confrontées à des représailles ou au harcèlement
  • La FCC devrait rejeter toute exigence imposant de consulter des listes de surveillance des forces de l’ordre ou des listes de « criminels » avant de fournir le service
  • L’accès à une infrastructure de communication essentielle ne devrait pas dépendre de listes opaques, de systèmes de filtrage vulnérables aux abus et aux faux positifs, ni de procédures manquant de transparence
  • La FCC devrait aussi rejeter la conservation pendant plusieurs années des dossiers KYC des clients ordinaires
  • Conserver des informations d’identité et des dossiers de support après le départ d’un client crée des risques inutiles de violation, d’abus et de surveillance
  • La FCC devrait appliquer la loi de manière ciblée et fondée sur des preuves contre les gros émetteurs illégaux, les abus d’usurpation de numéro, les opérateurs de SIM-box et les fournisseurs qui facilitent volontairement ou de façon téméraire du trafic illégal
  • Toute nouvelle règle devrait être ciblée, protectrice de la vie privée, minimiser la collecte de données et préserver l’accès des utilisateurs légitimes aux services téléphoniques prépayés et respectueux de la vie privée
  • Le service téléphonique ne doit pas devenir un poste de contrôle d’identité
  • Les Américains préoccupés par l’érosion continue de la vie privée doivent faire entendre leur voix dès maintenant

À lire aussi

1 commentaires

 
GN⁺ 4 시간 전
Avis de Hacker News

  • Il suffirait d’empêcher les opérateurs d’autoriser l’usurpation du numéro appelant
    Pas besoin d’avoir aussi le nom, mais si on a un vrai numéro, on peut signaler ce type d’arnaque
    Même si l’on autorise le masquage du numéro, tous les appels non professionnels devraient par défaut bloquer les appels provenant de numéros masqués

    • Je me demande bien ce qu’il est advenu de SHAKEN/STIR
      Ce n’était pas censé être réglé il y a déjà environ 5 ans ? Peut-être qu’ils ont eu peur de réellement bloquer les opérateurs qui envoient des volumes massifs de spam
      Vu que je reçois encore énormément d’appels indésirables, soit quelque chose a mal tourné, soit c’est tellement lent que la différence ne se voit pas
    • Couper une structure de blanchiment d’argent à un million de dollars par an qui fournit ce genre de service aux organisations d’escroquerie ? Bien sûr que non
    • C’est déjà interdit
      Si un opérateur accepte des appels usurpés, il viole déjà les recommandations de la FCC
    • Les établissements de santé masquent leur numéro pour de très bonnes raisons
      En cas de conjoint violent, on préfère souvent que le numéro d’un établissement médical n’apparaisse pas dans l’historique d’appels
      Résultat, des appels très importants finissent parfois ignorés
    • Je ne comprends même pas pourquoi on doit encore utiliser un système de numéros de téléphone du XXe siècle
      Pourquoi n’existe-t-il pas un meilleur système d’adressage des appels

  • C’est pire encore : les téléphones mobiles transmettent en permanence leur position, ce qui revient en pratique à communiquer en permanence des données de localisation à des centaines d’entreprises et à plusieurs gouvernements
    C’est déjà un problème sur la plupart des téléphones mobiles, et l’appliquer aussi aux téléphones prépayés ne ferait qu’aggraver les choses

    • Je me demande si ce n’est pas une étape de plus vers le moment où ils pourront dire : « maintenant nous avons à la fois un motif sérieux et une identité vérifiée pour arrêter n’importe quel utilisateur au prétexte qu’il a tenu des propos qui ne nous plaisent pas »
      En résumé, la FCC de Carr ressemble à une institution qui veut contrôler la parole en contrôlant les ondes. Dans ses actes, c’est un fait assez explicite
      Une fois qu’on a forcé les chaînes à dire ce qu’on veut, que reste-t-il sinon élargir un peu la définition de l’intérêt public à Internet et restreindre l’expression
    • Apple a implémenté dans son nouveau modem une fonction qui atténue cela, mais malheureusement l’application dépend de l’opérateur, donc en pratique ce n’est vraiment utile qu’en Europe
      https://www.pcmag.com/news/apple-expands-this-location-focus...
    • J’ai l’impression qu’on fonce vers un monde où le téléphone ayant passé le KYC restera dans un tiroir à la maison, à l’adresse officielle déjà connue de l’opérateur, avec en plus un logiciel pour transférer par VoIP les SMS et appels vers le vrai téléphone, ou ouvrir un serveur pour récupérer les messages de n’importe où
    • C’est le téléphone mobile qui transmet sa position, pas nous
      On peut très bien laisser le téléphone à la maison en sortant
    • Ceux qui font de la collecte en aval vont bien s’amuser avec ces données

  • Je vis aux États-Unis et j’utilise un service prépayé parce que je ne veux pas fournir d’informations de crédit pour obtenir un abonnement postpayé
    Il n’y a absolument aucune raison pour qu’un opérateur américain doive conserver les données d’identification personnelle les plus sensibles de ses clients
    Tous les grands opérateurs ont déjà des antécédents de fuites et de vente de données clients
    Les compagnies téléphoniques suivent, stockent et vendent déjà d’innombrables points de données sur leurs clients
    On ne peut leur confier aucune information en toute confiance

    • Mon numéro principal est un compte Google Voice depuis 2010
      Je ne sais pas bien comment les nouvelles règles m’affecteront, mais je ne pense pas qu’il y ait d’obligation de fournir des données personnelles pour obtenir un numéro VoIP
    • J’ai activé un forfait ATT prépayé en janvier et j’ai quand même dû fournir une pièce d’identité
      Bizarrement, on ne me l’a pas demandée au départ, mais plus tard au moment de l’activation effective du service. Je ne sais pas ce qu’il s’est passé
    • À l’inverse, de mon point de vue, j’aimerais que toute ligne capable d’appeler ou d’envoyer des messages vers mon téléphone soit traçable jusqu’à un être humain identifié sous son vrai nom, responsable en cas de spam, d’abus ou de harcèlement
      Il semble difficile d’avoir les deux à la fois
      Une solution possible serait d’autoriser les lignes anonymes, tout en laissant à mon opérateur le droit de refuser de me connecter les appels provenant de telles lignes
      Bien sûr, le même principe devrait s’étendre aux données et au trafic IP généré par les appareils. Si vous ne voulez pas être traçable, il semble aussi raisonnable qu’un service puisse refuser de traiter le trafic IP que vous avez généré
      Est-ce qu’un tel accès réseau à moitié abouti suffirait ?

  • « En cochant cette case, vous reconnaissez que vous soumettez un document dans le cadre d’une procédure officielle de la FCC. Toutes les informations soumises, y compris le nom et l’adresse, seront rendues publiques sur le web. »
    Il n’existe vraiment aucun moyen de soumettre un commentaire simplifié à la FCC sans que toutes mes données personnelles soient publiées sur le web ? Pfff

    • Il faut voir ça comme signer une pétition ou témoigner devant le Congrès
      L’essentiel, c’est de parler sous sa véritable identité et d’en assumer la responsabilité
      Et si vous pensez que votre nom et votre adresse sont privés, j’ai une mauvaise nouvelle
    • Si l’on veut avoir de l’influence en tant que citoyen, il faut se présenter soi-même. Il y a d’ailleurs une vérification croisée
      Le fait que ce soit public par défaut est un peu excessif et peut décourager la parole, mais il est aussi important que le Federal Register reste accessible sur le web avec tous les commentaires publics
      C’est un avis officiel versé au dossier
    • Vous pouvez aussi appeler votre député de circonscription

  • À mon avis, la vraie solution aux arnaques, au spam et aux appels automatisés n’est pas simplement le numéro affiché, mais la transmission conjointe d’une véritable information d’identification de l’appelant REAL(TM) réellement facturable, afin que le destinataire puisse facilement raccrocher quand les deux ne correspondent pas
    Je ne connais pas les détails techniques précis de Stir/Shaken, mais quelqu’un paie ou reçoit de l’argent pour chaque appel, et cette information devrait être fournie de façon transparente au destinataire de l’appel ou du message
    S’il existe une raison « légitime », comme pour un médecin ou un centre d’appels, il devrait déjà y avoir une ligne professionnelle distincte, et on ne devrait pas laisser utiliser une ligne personnelle
    Les opérateurs laxistes devraient être totalement bloqués. Il n’en sort rien de bon
    En gros, s’il n’y a pas de niveau de preuve complet de type A-level, alors les appels et SMS devraient être bloqués par défaut, sauf choix explicite du client. Je ne sais pas qui choisirait volontairement cela

    • J’étais en train d’acquiescer, puis j’ai réalisé qu’il devait forcément y avoir un piège
      Si c’était si simple, cela aurait probablement été mis en œuvre depuis longtemps
      J’imagine qu’il existe une exigence selon laquelle tout numéro fonctionnel doit pouvoir appeler les services d’urgence, et que cette faille est exploitée
      Du coup, la réponse de la FCC semble être : si tous les numéros doivent fonctionner, faisons porter directement les contrôles sur l’abonné lui-même

  • Pour lancer un appel à l’action, il faut formuler un appel à l’action plus efficace
    Le lien mentionné dans l’article est celui-ci
    https://www.federalregister.gov/documents/2026/05/26/2026-10...
    Cela semble presque suffisant pour arriver à ce lien posté par quelqu’un sur HN il y a quelques jours
    https://www.fcc.gov/ecfs/filings/express
    Pour finaliser, il faut le docket-id
    Docket No: 17-59
    Ce numéro de dossier peut aussi être revérifié ici : https://www.fcc.gov/document/fcc-seeks-comment-enhanced-know...

    • Les gens devraient soumettre des commentaires non seulement à la FCC, mais aussi via ce lien Federal Register
      Le FR est la voie officielle pour que les citoyens commentent les propositions de réglementation des agences
      C’est indépendant, donc cela peut aller plus loin, et mieux vaut faire les deux

  • Il nous faut un nouveau système téléphonique où les “numéros de téléphone” seraient conçus pour être jetables
    Les numéros ont été conçus en partant du principe qu’ils devaient être faciles à mémoriser, mais aujourd’hui cela ne me paraît plus vraiment nécessaire
    Je devrais pouvoir abandonner mes coordonnées à tout moment et les redistribuer moi-même directement
    L’idée même que les anciens numéros soient recyclés n’a absolument aucun sens

    • Il faut carrément supprimer les appels téléphoniques
      Personne ne devrait pouvoir faire sonner quelqu’un au hasard, le déranger et exiger son attention

  • À la place du KYC, pourquoi ne pas faire du “contrôle des entreprises”, afin que les consommateurs reçoivent des informations sur l’entreprise qui les appelle

  • J’ai essayé de soumettre un commentaire à la FCC via le lien de l’article, mais le reCAPCHA ne me reconnaît pas comme un humain
    J’ai abandonné après avoir résolu avec succès une vingtaine d’énigmes
    Voilà comment fonctionne notre démocratie

  • Y a-t-il une raison particulière pour laquelle on ne pourrait pas soutenir devant un tribunal, contre un État, le gouvernement fédéral, ou les deux, que le gouvernement cause un préjudice économique en créant des occasions de vol d’informations personnellement identifiables
    Bien sûr, ce combat ne rapporterait probablement pas beaucoup d’argent, mais pratiquement n’importe quel PAC pourrait se le permettre
    Si on affirme que c’est l’argent qui est en jeu, et non la sécurité réelle des gens, cela semble aussi avoir plus de chances de ne pas être rejeté, vu le fonctionnement du système judiciaire

    • Ce serait difficile à faire valoir si personne n’a réellement été victime d’une arnaque
      Quel montant en dollars utiliserait-on comme base du préjudice ? On réclamerait quelques années de surveillance du crédit ? C’est à peu près le type de solution généralement proposé aux victimes de fuites d’informations personnellement identifiables
      On pourrait peut-être avancer que les forces de l’ordre, les opérateurs télécoms et les régulateurs n’en ont pas fait assez pour prévenir la fraude, et lancer quelque chose comme une action collective, mais cela s’apparenterait à une revendication très tirée par les cheveux
    • Le gouvernement peut adopter des réglementations qui causent un préjudice économique aux gens
      Il y a de fortes chances que ce combat soit perdu dès le départ, pour très peu d’argent à la clé