Sécurité ToIP : le risque est réel
Sans sombrer dans la psychose, il est nécessaire de veiller très en amont à la sécurité d'une architecture de ToIP. Olivier Dunand, Directeur Technique chez LEXSI, cabinet d'audit et de conseil en sécurité informatique, nous explique en quoi les menaces sont réelles et les failles exploitées.
R&T : Quels sont les menaces de sécurité d'un réseau de ToIP ? Olivier Dunand : On va trouver des menaces propres à la téléphonie en général et, ensuite, particulières à la ToIP. Les grandes familles de menaces en téléphonie sont : le Deni de Service (DoS), volontaire ou involontaire, avec des pannes et des actions malveillantes ; l'utilisation frauduleuse, comme le pilotage d'un autocom à distance (phreaking) et la réalisation de communications aux frais de l'entreprise ; les écoutes et enregistrements, comme l'écoute de la boite vocale, les changements d'annonces qui peuvent générer très clairement des atteintes à l'image d'une personne. Nous avons eu le cas par exemple d'écoutes discrètes. Si le paramétrage du Pabx est par erreur ou intentionnellement mal effectué, il est possible de rentrer dans n'importe quelle communication téléphonique. Cette fonctionnalité existe, vous entendez alors un bip qui signifie l'entrée d'un tiers. Ce bip peut être transformé en un silence. En ToIP, les communications et signalisation transitent via le réseau informatique. Les failles habituelles se retrouvent donc en ToIP, telles les attaques DoS. Les vers et virus touchent toutes les applications, mais la téléphonie est particulièrement critique ! Il est possible de prendre le contrôle des postes et des serveurs pour effectuer des actions malveillantes. Il est tout à fait concevable d'usurper une adresse IP, bloquant ainsi les appels. La ToIP bénéficie de nombreuses fonctionnalités dont l'usage peut être détourné : mise à jour à distance, téléchargements de micro-logiciels... Il est en effet possible d'interagir avec un téléphone et de le rendre inutilisable. Il est aussi extrêmement facile de détourner et d'enregistrer les communications IP. Elles ne sont en effet pas chiffrées. Des outils existent ; le risque est réel. R&T : Les menaces sont réelles, les attaques aussi ? Olivier Dunand : Lexsi est de plus en plus sollicité en amont. Les clients sont en effet sensibilisés aux menaces. Récemment, nous sommes intervenus sur un acte de malveillance au sein d'une entreprise. Le micro-logiciel était endommagé, provoquant un DoS partiel sur une partie d'un site. Toutes traces avaient été effacées. Nous étions face à un règlement de compte entre départements. L'infrastructure ToIP ciblée n'était pas du tout protégée. D'une manière générale, les failles flagrantes suscitent l'intérêt. Elles peuvent être exploitées par un stagiaire, un sous-traitant, un prestataire... Certains petits malins attaquent depuis l'extérieur et envoient un rapport à l'entreprise, en espérant naïvement être rémunérés ou embauchés. Mais, les attaques externes sont bien souvent réalisées dans le but de passer des appels frauduleux. Nous avons aussi eu de forts soupçons sur des cas d'écoutes en ToIP. Nous n'avons rien pu prouver mais sommes intimement persuadés que ce type d'attaques a déjà été menées. R&T : Quelles sont les rêgles d'or d'une bonne protection ? Olivier Dunand : A la lumière de nos nombreux audits et missions de conseils, il est nécessaire d'intervenir le plus en amont possible, en phase de design de l'architecture de ToIP. Nous constatons aujourd'hui que, bien souvent, les mécanismes de sécurité existent mais ne sont pas activés. Nous échangeons avec les intégrateurs ; le constat est réel, surtout dans les entreprises de taille moyenne. Nous pouvons avancer plusieurs explications : le projet est parfois piloté par des équipes infras pas assez suffisamment sensibilisées à la sécurité ou bien les entreprises ont des craintes liées à l'activation des mécanismes de securité ; elles estiment que le chiffrement pourrait altérer les performances du réseau et avoir un impact sur la QoS.
