Une menace qui ne date pas d'hier
Dossier par Djamel KHAMES, 1848 mots
Obligées de passer à la téléphonie sur IP, les entreprises, mieux informées sur les problèmes de sécurité, abordent ce sujet sérieusement, mais sans psychose. C'est vrai des grandes sociétés, peut-être moins des PME.
«A la fin de cette année, au plus tard au début de l'année prochaine, la courbe des ventes des PBX IP dépassera la courbe des ventes des autocommutateurs TDM dans les entreprises», déclare Frédéric Faivre, consultant à l'Idate. Il vient de terminer une étude sur la migration des entreprises vers la voix sur IP, à paraître en mai 2007.
Choisir la téléphonie sur IP pour elle-même n'est pas un réflexe naturel pour les entreprises. «Dans 80 % des cas, elles subissent le mouvement inéluctable vers l'IP», reconnaît Frédéric Faivre, car les technologies fondées sur IP ou liées à ce protocole s'imposent dans tous les réseaux, y compris dans ceux des opérateurs. Elles laissent aussi entrevoir des perspectives intéressantes rattachées à la téléphonie, comme l'exploitation de documents audio et vidéo, la messagerie instantanée, etc.
Le frein, c'est le prix, pas la sécurité
Alors que la fiabilité et la sécurité des réseaux IP constituent un problème réel - particulièrement mis en évidence par les médias lors d'intrusions de hackers dans les réseaux de la CIA ou de grands établissements bancaires - «les entreprises ne font pas de la sécurité liée à la téléphonie sur IP leur première préoccupation», remarque Frédéric Faivre. Le premier frein à l'adoption de la téléphonie sur IP, c'est le prix. Hors achat et mise en place du système de téléphonie, un terminal IP peut coûter jusqu'à 450 dollars. Multiplier cette somme par quelques milliers d'exemplaires, dans le cas des grandes entreprises, et l'on atteint vite des montants colossaux. Dans certains cas, le passage au tout-IP peut, au contraire, être une opportunité économique (lire le témoignage de Gemalto ci-dessous). Deuxième paradoxe, selon Frédéric Faivre, ce sont les questions de qualité de service qui devancent celles de la sécurité.
Cela étant, les entreprises n'ignorent pas les problèmes de la sécurité. «De fait, de plus en plus de projets de téléphonie sur IP sont portés par les directeurs des systèmes d'information au détriment des responsables des télécommunications», précise Yassine Essalih, consultant chez Niji, car les DSI sont déjà aguerris à ces difficultés. Si la psychose de la sécurité n'existe plus, il n'y a donc point de naïveté non plus. Les acteurs ont tout simplement mûri face aux agressions potentielles des systèmes d'information.
Fatiha Morin, responsable sécurité chez BT France, atténue ces deux témoignages. Elle a observé un comportement différent : «Les entreprises françaises sont moins mûres sur ce sujet que leurs consoeurs aux Etats-Unis, et un certain nombre d'entre elles s'adressent à nous lorsqu'elles rencontrent un problème.»
Une piraterie qui ne date pas d'hier
Avant l'arrivée de l'IP, existait-il des attaques sur les systèmes téléphoniques ? Yassine Essalih, consultant chez Niji, répond affirmativement : «Un autocommutateur TDM pouvait et peut encore être piraté. On en prend le contrôle, par exemple, à l'aide d'un modem. L'une des finalités consiste à détourner le trafic au profit de personnes extérieures à l'entreprise. Cela se passe habituellement en fin de semaine pour éviter d'être remarqué. Enfin, la signalisation des autocoms TDM passe aujourd'hui par un lien IP, généralement non protégé. C'est une porte ouverte à tous les abus. La piraterie n'est donc pas née avec la téléphonie sur IP.»
Prudence sur les témoignages
Les témoignages sur de telles attaques, pourtant réelles, sont rares, voire inexistants, à cause des répercutions négatives sur l'image de l'entreprise. Il existe une manière plus simple de s'attaquer à un autocom TDM. Si un sous-répartiteur d'opérateur est dans le sous-sol de l'immeuble de la société cible, un bon connaisseur peut se brancher sur la bonne paire de cuivre pour enregistrer les conversations et dupliquer les télécopies échangées.
Quant aux failles de la téléphonie sur IP, Yassine Essalih souligne que «les solutions de sécurité actuelles protègent mieux qu'auparavant les réseaux. Mais si l'on veut bétonner la sécurité, cela a un coût. La prudence impose aussi de garder à l'esprit deux éléments importants : les hackers arrivent toujours à trouver de nouvelles failles, et l'on ne se méfie jamais assez du personnel de l'entreprise.»
Attaques traditionnelles ou propres à la ToIP
Yassine Essalih traduit ses propos par deux exemples : «J'ai récemment découvert que les téléphones IP de deux leaders de la ToIP, pourtant réputés hermétiques, ont été craqués. Enfin, la formation des salariés à la vulnérabilité des réseaux est capitale. Un téléphone IP resté allumé en l'absence de son utilisateur peut être utilisé par un tiers pour accéder, par exemple, à l'annuaire de l'entreprise. Sa copie sera facilement monnayée.»
Les attaques traditionnelles - c'est-à-dire ayant pour cibles les applications bureautiques, le courrier électronique, les sites Web, etc. - se propagent naturellement au système de téléphonie sur IP : virus, déni de service, hameçonnage (phishing)... La ToIP possède, de surcroît, ses propres attaques. Au rang des plus dangereuses figurent :
- l'écoute locale ou à distance par un port inutilisé du commutateur que le gestionnaire du réseau a oublié de fermer ;
- l'usurpation d'adresses (chaque téléphone IP possède une adresse IP et MAC) pour faire passer un téléphone IP pour un autre, ce qui permet à son utilisateur de se faire passer pour un autre ;
- l'homme du milieu qui prend place entre deux terminaux de manière invisible à l'aide d'un ordinateur pour écouter et enregistrer incognito les conversations ;
- le détournement de trafic, qui alourdit les factures téléphoniques de l'entreprise. Si ce type de manipulation frauduleuse n'est pas décelé rapidement, l'ardoise peut faire très mal ;
- la convergence des terminaux - un ordinateur équipé d'un logiciel de téléphonie par exemple - crée une nouvelle vulnérabilité en mettant à mal la séparation virtuelle, quand elle existe, des réseaux téléphonique et informatique.
- le spam vocal est aujourd'hui un risque potentiel. A quand l'inondation des boîtes vocales de messages publicitaires et le dérangement permanent des salariés au téléphone ? Sur ce dernier point, il n'existe pas encore d'attaques connues ni de solutions de parade.
Face à ces vulnérabilités, les constructeurs d'équipements de téléphonie sur IP ont mis au point des défenses. Il est possible d'adopter, dans un premier temps, des mesures de bon sens. Dans les petites structures utilisant quelques postes dans un réseau tout IP, on est tenté d'acquérir, par mesure d'économie, un hub plutôt qu'un commutateur. Jean-Pierre Kellermann, responsable des produits et solutions de sécurité IP chez Alcatel-Lucent, le déconseille fortement : «Le hub peut diffuser les paquets IP vers tous les ports Ethernet, permettant ainsi aux utilisateurs des autres téléphones du réseau de l'entreprise d'écouter une conversation qui ne leur est pas destinée. En dirigeant les paquets IP exclusivement vers l'adresse de destination, l'autocommutateur participe, d'une certaine façon, à la confidentialité des communications.» Jean-Pierre Kellermann insiste également sur un point négligé par nombre d'entreprises : «Si l'on veut éviter les accès non-autorisés au réseau, la première solution est de désactiver les ports non-utilisés et de changer les mots de passe mis par défaut par les constructeurs.»
Contre les écoutes
Contre l'écoute locale ou à distance, «notre commutateur est capable d'identifier si l'équipement qui tente d'entrer dans le réseau appartient à l'entreprise ou non», déclare Michel Cugnot, responsable technique des services de communication unifiée chez Cisco France. Cette authentification peut aussi se faire à l'aide d'un serveur Radius, comme en informatique. Pour renforcer la sécurité contre les écoutes, les communications peuvent être chiffrées en temps réel. De la capacité des matériels et logiciels à chiffrer vite dépend la qualité des communications. D'une manière générale, le chiffrement de la signalisation et de la voix par software dégrade de 20 à 25 % les performances des communications, d'où le choix de certains équipementiers d'un chiffrement par hardware, plus performant.
L'usurpation d'adresses IP des correspondants dont on veut enregistrer les conversations a aussi sa parade. «Pour l'éviter, nous avons deux réponses. On configure le commutateur pour empêcher toute duplication d'adresse IP et, dans le cas particulier de Cisco, notre terminal est capable de changer d'adresse IP s'il s'aperçoit qu'un poste tiers utilise la même que la sienne», précise Michel Cugnot.
Quant à l'homme du milieu, qui fait croire au poste du correspondant A qu'on est le poste du correspondant B, et vice-versa, on peut s'en défendre en évitant l'échange des adresses MAC des téléphones au niveau du commutateur.
Contre les actions pour n'importe quel autre méfait, une solution consiste à isoler les attaques dans un réseau virtuel fantôme. C'est un endroit isolé qui ne donne nulle part. Son intérêt, par rapport à la fermeture des ports, c'est de laisser croire aux pirates qu'ils ont trouvé une porte d'entrée. En fait, le VLAN fantôme est un magnifique d'observation des assauts malveillants.
Un VLAN à contre-emploi
Le VLAN est utilisé ici à contre-emploi. Sa première fonction est d'isoler les flux informatiques des flux téléphoniques dans une même bande passante afin de maintenir une bonne qualité de service. En effet, les personnes au téléphone ne supportent ni temps de latence ni hachage des communications. In fine, cette séparation participe aussi indirectement à la sécurité du réseau téléphonique. Les pirates qui, par malheur, arrivent à entrer dans le réseau informatique auront du mal à arriver jusqu'au serveur de communication à cause de cette séparation très étanche.
Une panoplie de sondes
Les attaquants peuvent aussi être détectés en temps réel grâce à des sondes. Les commutateurs, les pare-feu, etc., sont alors programmés pour répondre automatiquement aux intrus, notamment en fermant le port par lequel ils tentent une percée. Mettre en quarantaine les adresses IP et MAC du hacker ne suffit pas, car il peut en changer. Mais les sondes le repéreront à la signature de ses attaques, chacune ayant la sienne. «Certaines sondes savent aussi analyser les protocoles normalisés. Une communication utilisant un protocole falsifié ou inconnu pourra donc être bloquée», rappelle Jean-Pierre Kellermann. Enfin, un troisième type de sondes peut emmagasiner une base de connaissance. Si une application n'est pas reconnue, elle est automatiquement coupée.
La porte d'entrée des softphones
Enfin, quand on utilise des softphones, le VLAN réservé au réseau téléphonique n'est plus aussi efficace, car on peut y pénétrer par l'ordinateur. Selon Michel Cugnot, «l'une des solutions consiste à installer un proxy de sécurité ou un équipement dédié qui contrôle le transit de la voix et les communications destinées à la voix».
Quant aux mobiles, on sécurise le canal de données GPRS et UMTS par la création de VPN. On peut aussi accéder au PBX IP par le canal de données en mode HTTP. Le serveur web connecté au PBX IP doit alors être isolé du réseau informatique. Dans le cas du sans-fil Dect, sa borne se comporte comme le terminal IP. Elle profite donc des mêmes actions de sécurité. Enfin, les communications entre les terminaux Wi-Fi utilisés intra-muros et les bornes sont protégées par un chiffrement AES, car les appels peuvent passer de borne en borne sans transiter par le PBX IP. Le problème est plutôt la gestion de la bande passante. «Enfin, l'usage du Wi-Fi en extérieur nécessite la création d'un VPN en mode SIP entre le terminal et le PBX IP via le réseau public», conclut Michel Cardiet, responsable de l'activité entreprise d'Ericsson France.