Sécurité ToIP : le risque est réel

le 24/05/2007, par Olivier Coredo , Sécurité, 608 mots

Sans sombrer dans la psychose, il est nécessaire de veiller très en amont à la sécurité d'une architecture de ToIP. Olivier Dunand, Directeur Technique chez LEXSI, cabinet d'audit et de conseil en sécurité informatique, nous explique en quoi les menaces sont réelles et les failles exploitées.

Sécurité ToIP : le risque est réel

R&T : Quels sont les menaces de sécurité d'un réseau de ToIP ? Olivier Dunand : On va trouver des menaces propres à la téléphonie en général et, ensuite, particulières à la ToIP. Les grandes familles de menaces en téléphonie sont : le Deni de Service (DoS), volontaire ou involontaire, avec des pannes et des actions malveillantes ; l'utilisation frauduleuse, comme le pilotage d'un autocom à distance (phreaking) et la réalisation de communications aux frais de l'entreprise ; les écoutes et enregistrements, comme l'écoute de la boite vocale, les changements d'annonces qui peuvent générer très clairement des atteintes à l'image d'une personne. Nous avons eu le cas par exemple d'écoutes discrètes. Si le paramétrage du Pabx est par erreur ou intentionnellement mal effectué, il est possible de rentrer dans n'importe quelle communication téléphonique. Cette fonctionnalité existe, vous entendez alors un bip qui signifie l'entrée d'un tiers. Ce bip peut être transformé en un silence. En ToIP, les communications et signalisation transitent via le réseau informatique. Les failles habituelles se retrouvent donc en ToIP, telles les attaques DoS. Les vers et virus touchent toutes les applications, mais la téléphonie est particulièrement critique ! Il est possible de prendre le contrôle des postes et des serveurs pour effectuer des actions malveillantes. Il est tout à fait concevable d'usurper une adresse IP, bloquant ainsi les appels. La ToIP bénéficie de nombreuses fonctionnalités dont l'usage peut être détourné : mise à jour à distance, téléchargements de micro-logiciels... Il est en effet possible d'interagir avec un téléphone et de le rendre inutilisable. Il est aussi extrêmement facile de détourner et d'enregistrer les communications IP. Elles ne sont en effet pas chiffrées. Des outils existent ; le risque est réel. R&T : Les menaces sont réelles, les attaques aussi ? Olivier Dunand : Lexsi est de plus en plus sollicité en amont. Les clients sont en effet sensibilisés aux menaces. Récemment, nous sommes intervenus sur un acte de malveillance au sein d'une entreprise. Le micro-logiciel était endommagé, provoquant un DoS partiel sur une partie d'un site. Toutes traces avaient été effacées. Nous étions face à un règlement de compte entre départements. L'infrastructure ToIP ciblée n'était pas du tout protégée. D'une manière générale, les failles flagrantes suscitent l'intérêt. Elles peuvent être exploitées par un stagiaire, un sous-traitant, un prestataire... Certains petits malins attaquent depuis l'extérieur et envoient un rapport à l'entreprise, en espérant naïvement être rémunérés ou embauchés. Mais, les attaques externes sont bien souvent réalisées dans le but de passer des appels frauduleux. Nous avons aussi eu de forts soupçons sur des cas d'écoutes en ToIP. Nous n'avons rien pu prouver mais sommes intimement persuadés que ce type d'attaques a déjà été menées. R&T : Quelles sont les rêgles d'or d'une bonne protection ? Olivier Dunand : A la lumière de nos nombreux audits et missions de conseils, il est nécessaire d'intervenir le plus en amont possible, en phase de design de l'architecture de ToIP. Nous constatons aujourd'hui que, bien souvent, les mécanismes de sécurité existent mais ne sont pas activés. Nous échangeons avec les intégrateurs ; le constat est réel, surtout dans les entreprises de taille moyenne. Nous pouvons avancer plusieurs explications : le projet est parfois piloté par des équipes infras pas assez suffisamment sensibilisées à la sécurité ou bien les entreprises ont des craintes liées à l'activation des mécanismes de securité ; elles estiment que le chiffrement pourrait altérer les performances du réseau et avoir un impact sur la QoS.

Les autorités accentuent leur pression pour déverrouiller les iPhone

Selon les défenseurs de la vie privée, « en refusant de mettre une porte dérobée permanente dans sa plate-forme iOS, Apple protège des millions d'utilisateurs contre les menaces futures des gouvernements et...

le 15/01/2020, par Lucas Mearian, Computerworld (adaptation Jean Elyan), 660 mots

L'avenir du VPN passe par WireGuard

Le VPN WireGuard offre de meilleures performances et une approche plus simple et plus efficace du chiffrement. Mais comment fonctionne ce VPN ? Et, est-il prêt pour l'entreprise ? WireGuard est un réseau privé...

le 02/01/2020, par Lucian Constantin, CSO (adapté par Jean Elyan), 1956 mots

Google sécurise l'envoi de SMS sur mobiles Android

Le déploiement des fonctions de vérification de SMS et de protection anti-spam est en cours sur les mobiles Android. Mais le cryptage de bout en bout fait toujours défaut. Google a démarré hier le déploiement...

le 13/12/2019, par Michael Simon, IDG NS (adapté par Jean Elyan), 417 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Jamshid Rezaei

DSI de Mitel

Le DSI de Mitel, Jamshid Rezaei, a adopté le système japonais du Kaizen prônant l'amélioration continue...