L’af2m et ses membres ont mis en place une procédure dont la vocation est de lutter contre l’usurpation de l’identité de l’émetteur d’un SMS/MMS quand il est présenté sous la forme d’OADC (Originator Address Code), également appelé Sender ID.
Qu’est-ce qu’un OADC ?
Les Push SMS, c’est-à-dire les messages envoyés par une marque, une entreprise, ou une administration à destination de l’utilisateur final, présente dans le champ émetteur :
- Soit un shortcode à 5 chiffres commençant par 36xxx ou 38xxx
- Soit un OADC qui est le nom de l’entité / de la marque en 11 caractères maximum
A titre d’illustration :
Shortcode
OADC
La marque ou l’entité peut personnaliser le champ émetteur uniquement par une chaîne de caractères exclusivement alphanumériques ou alphabétiques, limitée à onze (11) caractères. Toute modification de l’OADC composée exclusivement de caractères numériques est exclue.
Les caractères spéciaux de type signes de ponctuation, guillemets, etc, ainsi que les espaces ne sont pas autorisés ; aussi, leur juxtaposition à des caractères numériques ne saurait constituer une chaîne de caractères alphanumériques.
Comment sont protégés les émetteurs des messages ?
2 typologies de protection sont mises en place pour limiter les usurpations d’identité :
- Un OADC sous le statut « Strictement Interdit » (SI)
- Un OADC sous le statut « Interdit Sauf Autorisation » (ISA)
Un OADC Strictement Interdit signifie que l’usage de cet OADC est strictement prohibé à l’émission.
Tout SMS qui présente un OADC SI comme émetteur ne sera pas transmis.
Un OADC Interdit Sauf autorisation signifie que l’usage de cet OADC est strictement prohibé à l’émission SAUF si l’émetteur dispose de l’autorisation explicite de la marque / de l’entité et en a fait la déclaration auprès de l’af2m.
Tous les autres émetteurs ne sont pas autorisés à utiliser cet OADC.
Ces règles s’appliquent à tous les SMS Push.
Tout manquement pourra conduire à des sanctions ou des pénalités dans cadre des relations contractuelles.
Quelle est la procédure ?
Une commission mixte pilotée par l’af2m définit, en fonction de l’actualité de la fraude, la liste des OADC et leur type de protection (statut SI ou ISA).
Cette liste devient effective après validation par les représentants des opérateurs et des agrégateurs. Elle est alors communiquée pour application à l’ensemble des agrégateurs signataires d’un contrat Business Messaging avec l’af2m.
Cette liste précise entre autres :
- L’OADC
- Le type de protection à appliquer (ISA ou SI)
- La date de la prise d’effet de la protection
A titre d’illustration :
DOMAINE | MARQUE SENSIBLE | OADC INTERDIT | TYPE D’INTERDICTION | DATE DE COMMUNICATION AF2M | DATE DE PRISE D’EFFET | AUTORISATION DETENUE D’UTILISER L’OADC ? |
INSTITUTION | XX | :impotS | SI | 01/01/2024 | 03/01/2024 |
|
MARCHAND | XXX | Marchand1 | ISA | 01/01/2024 | 01/02/2024 |
|
BANQUE | XXXX | BanqueA | ISA | 15/05/2024 | 15/06/2024 |
|
SERVICES | XXXXX | netfluux | SI | 17/09/2024 | 19/09/2024 |
|
Les agrégateurs doivent, dans les 2 jours ouvrés suivant la mise à jour de liste, bloquer les OADC SI et ISA.
Dans le cas où un agrégateur est amené à acheminer des messages pour une marque / entité associée à un OADC ISA, alors il dispose d’un délai de 30 jours pour collecter les autorisations de la marque / entité et justifier ainsi de ne pas les bloquer.
Ces délais sont valables lorsqu’il y a un changement de statut d’un OADC (de SI à ISA ou inversement)
NB : la date de prise d’effet inscrite dans le fichier tient compte de ces délais.
Comment se fait la déclaration d’autorisation ?
Si un agrégateur souhaite déclarer l’usage d’un OADC ISA, il doit :
- S’assurer d’obtenir le mandat direct ou indirect de la marque / de l’entité qui en détient l’usage légitime ; les documents attestant de ce mandatement sont libres
- Porter la mention « OUI » dans la colonne “AUTORISATION DETENUE D’UTILISER L’OADC” de la ligne correspondante de la liste des OADCs sensibles de l’af2m.
- Envoyer cette liste à l’af2m via oadc@af2m.org
Cette déclaration annule et remplace les précédentes.
Si l’agrégateur venait à cesser de travailler pour cette marque / entité, il supprime la mention « OUI » correspondante dans sa déclaration et opère le blocage de cet OADC sur ses interfaces.
L’af2m assure la confidentialité de cette déclaration vis-à-vis des autres agrégateurs.
A titre d’illustration :
DOMAINE | MARQUE SENSIBLE | OADC INTERDIT | TYPE D’INTERDICTION | DATE DE COMMUNICATION AF2M | DATE DE PRISE D’EFFET | AUTORISATION DETENUE D’UTILISER L’OADC ? |
INSTITUTION | XX | :impotS | SI | 01/01/2024 | 03/01/2024 | |
MARCHAND | XXX | Marchand1 | ISA | 01/01/2024 | 01/02/2024 | OUI |
BANQUE | XXXX | BanqueA | ISA | 15/05/2024 | 15/06/2024 | OUI |
SERVICES | XXXXX | netfluux | SI | 17/09/2024 | 19/09/2024 |
