Sécurité

Inscrivez-vous

Téléconférences : attention à la mise sur écoute par les pirates

Téléconférence : attention à la mise sur écoute

Edition du 27/01/2012 - par Jean Elyan avec IDG News Service

Si les vendeurs de solutions de téléconférence soulignent que le paramétrage approprié des systèmes de visioconférence par les administrateurs assure la sécurité nécessaire, des chercheurs soulignent la vulnérabilité des principales solutions sur le marché.

Des chercheurs en sécurité ont réussi à s'introduire dans les réseaux de téléconférence de grandes entreprises et à manipuler les caméras vidéo pour espionner les réunions. H.D. Moore et Mike Tuchen ont rendu public leurs recherches réalisées pour le compte de l'entreprise de sécurité Rapid7. Ceux-ci expliquent la facilité avec laquelle des attaquants éventuels pourraient secrètement espionner des salles de réunion équipées de systèmes de conférence configurés pour recevoir des appels de n'importe qui par défaut. De leur côté, les vendeurs doivent trouver un juste équilibre entre sécurité et convivialité.

Le problème vient de la réponse automatique, une caractéristique que l'on trouve dans des produits de Cisco, Polycom et LifeSize. Cette fonction permet de connecter automatiquement des appels audio ou vidéo entrants. H.D Moore, directeur de la sécurité chez Rapid7, a écrit un programme capable de repérer les systèmes de téléconférence où cette fonction, qui présente un risque de sécurité majeur, a été activée par les administrateurs. En balayant 3% des réseaux adressables depuis l'Internet avec son programme (voir ci-dessous), le chercheur a trouvé 250 000 systèmes utilisant le protocole H.323, une spécification pour les appels audio et vidéo. Celui-ci affirme avoir trouvé plus de 5 000 entreprises avec des systèmes dont la réponse automatique était activée. Parmi les vendeurs de ces systèmes, il a listé Polycom, Cisco, LifeSize et Sony. « Au total, ces résultats permettent de penser qu'il y aurait près de 150 000 systèmes vulnérables, » a déclaré Rapid7.

Une vulnérabilité inquiétante pour les entreprises

Toujours selon l'entreprise de sécurité, une fois introduits dans une salle de conférence, les systèmes de vidéoconférence, même de premier prix, pourraient permettre à une personne de « lire un mot de passe à six chiffres sur un post-it situé à plus de 20 mètres de la caméra. » D'autre part, « dans un environnement silencieux, il a été possible d'entendre clairement les conversations dans le couloir par le biais des systèmes de visioconférence, » a écrit H.D Moore sur le blog de Rapid7. « Dans un autre test, il a été possible de surveiller le clavier d'un utilisateur et de voir avec précision le mot de passe qu'il avait tapé, en pointant simplement la caméra et en utilisant un zoom performant. » Cependant, le chercheur reconnaît que si toutes les fonctionnalités de sécurité des différents systèmes de téléconférence étaient activées, « personne ne serait capable d'utiliser ces produits pour passer un simple appel téléphonique » en raison de leur complexité, a-t-il déclaré dans une interview.

Souvent, les entreprises positionnent leurs systèmes de vidéoconférence en amont des firewalls pour faciliter leur usage. Mais cette solution pose de vrais problèmes de sécurité. Le déploiement des systèmes derrière un pare-feu peut être difficile, car les systèmes de téléconférence peuvent utiliser jusqu'à 30 protocoles différents pour gérer un appel. « Dans ce cas, il faut configurer le pare-feu pour permettre le passage des appels, » a expliqué le chercheur.

Page suivante (2/2) >

Rejoignez reseaux-telecoms.net, commentez cet article
Nombre de commentaires postés (0) - Lire tous les commentaires

L'ACTUALITÉ DU JOUR

Faciliter l'accès aux hostpots, objectif de la WiFi Alliance

Comme la consommation de data mobile explose (cf l'étude de Cisco s (...)

Big Brother est bien anglais... pour l'instant

Au Royaume-Uni, le gouvernement va demander aux fournisseurs d'accès Internet et (...)

Très haut débit : l'Afdel soutient la proposition de loi contraignant le déploiement de la fibre optique

L'Afdel, Association française des éditeurs de logiciels, vient d'apporter son (...)

La Charte Internet de l'Etat publiée par le gouvernement

Le 16 février dernier, le premier ministre, François Fillon, a diffusé une circulaire (...)

Free Mobile : retour de bâton après l'enthousiasme

Le petit nouveau se doutait bien que la partie n'allait pas être facile, mais la (...)

Paris médaille de Vermeil de la cybervulnérabilité

Une étude de Sperling's BestPlaces pour Norton by Symantec, désigne Manchester (...)

Fibre optique : la majorité des sénateurs de Droite et de Gauche pour forcer la main des opérateurs

Vent de fronde au Sénat. La Haute Assemblée a voté mercredi 15 (en 1ère lecture) (...)

Derniers dossiers	Tous les dossiers

TV-connectées : l'audiovisuel se réinvente

La neutralité du Net en question

Les TV connectées rebattent les cartes

LIVRES BLANCS

	> 22 février 2012 - Android - Possibilités, Complexités et Richesses : Le vrai challenge, sa gestion Dans ce livre blanc, vous verrez <strong>les possibilités et les difficultés du développement pour Android</strong>,ainsi que son histoire. Les problèmes qu'il pose en termes de propriété intellectuelle et de licensing seront abordés et <strong>une solution</strong> vous seront proposer afin de dompter sa richesse et sa complexité.

	> 22 février 2012 - Sept bonnes pratiques à mettre en oeuvre dans la gestion des droits de propriété intellectuelle portant sur un logiciel à l'heure de l'Open Source Retrouvez les 7 bonnes pratiques pour la gestion de la propriété intellectuelle sur les logiciels comme : <br />- Réutiliser les composants existants dans la mesure du possible<br />- Suivre et contrôler les évolutions des composants internes<br />- Contrôler la réutilisation des composants sensibles ou externes<br />...

	> 22 février 2012 - Guide à l'attention des juristes d'entreprise pour la mise en place de politiques de gestion de l'open source Ce livre blanc vous permettra de répondre à la problèmatique : <br /><strong>Comment réduire les risques pesant sur votre entreprise tout en facilitant le développement et la maintenance de vos applications ?</strong>

	> 22 février 2012 - Cas clients : La réussite exemplaire d'Intel Corporation sur la conformité Open source Ce livre blanc présente le cas client Intel qui a réduit ses risques et ses besoins de reprogrammation en utilisant Black DuckTM Protex pour vérifier que toute utilisation de logiciel open source, interne ou tiers soit parfaitement conforme aux conditions de licence des logiciels d'Intel.

Tous les Livres Blancs | Par Date | Par Thèmes | Par Sponsors

PARTENAIRES

. Web-profils.com, la place de marché du conseil et de l'ingénierie

Signaler une erreur | Contactez-nous | Infos légales | Recevez les Newsletters | Abonnez-vous aux Flux RSS

Reseaux-Telecoms.net est un site
du groupe IT News Info,
certifié par l'OJD

Actualité du monde IT - Management des systèmes d'information - Actualité des grossistes informatiques - Actualité high tech et usage du numérique - Magazine pour homme

Copyright © Reseaux-Telecoms.net 2003-2012
Toute reproduction ou représentation intégrale ou partielle, par quelque procédé que ce soit, des pages publiées sur ce site,
faite sans l'autorisation de l'éditeur ou du webmaster du site Reseaux-Telecoms.net est illicite et constitue une contrefaçon.
IT News Info s'est engagé à respecter la confidentialité des données personnelles régies par la loi 78-17 du 6 janvier 1978.