Voix sur IP : les 5 menaces qui pèsent
sur votre réseau

 
La convergence voix-données hérite des vulnérabilités de la téléphonie traditionnelle comme de celles des cœurs de réseau. Revue de détail des risques et des méthodes de protection.

Stéphane Bellec et Jérôme Desvouges , 01 Informatique (n° 1941), le 16/04/2008 à 07h00

 
L'homme en bleu de travail se présente à l'accueil, sac de cuir en bandoulière, cigarette au coin des lèvres et casquette sur le sommet du crâne. Tout le monde le sait, ce faux plombier va, en fait, brancher un système d'écoute sur le central téléphonique... Aujourd'hui, la voix sur IP (VoIP) a quelque peu changé la donne. Plus besoin d'intervention physique. Certes, les PABX (Private Automatic Branch eXchange) traditionnels pouvaient être attaqués de l'extérieur via les modules de prise en main à distance mis en place par l'installateur. Mais l'épine dorsale de l'entreprise, son réseau de données, n'était pas concernée.

En déployant une solution de VoIP, les entreprises ouvrent potentiellement une brèche dans leur système d'information. Toutes ne risquent pas la même chose. Un groupe pétrolier sera plus susceptible de subir une mise sur écoute. Un centre d'appel sera plus facilement sujet à une attaque par déni de service. D'origine externe ou interne, les grandes menaces sont au nombre de cinq. Un conseil simple et logique pour les nouveaux arrivants dans le monde de la téléphonie sur IP : appliquer peu ou prou les mêmes règles que pour la mise en place d'un cœur de réseau traditionnel. Et, avant tout, définir en amont une politique de sécurité censée remonter les risques qui concernent l'entreprise avant de décider d'un quelconque équipement ou d'une éventuelle architecture.
 

1. Le déni de service

C'est sûrement l'une des attaques les plus répandues. Comme pour un site internet, elle a pour but de rendre inopérant le système, ici le réseau téléphonique. La personne malveillante peut s'attaquer à l'IPBX en saturant le serveur. Une mauvaise mise en œuvre, par exemple, de la pile TCP-IP peut être fatale car elle favorise le « flooding ». Le serveur de communication ou encore la passerelle située entre le monde IP et le RTC (réseau téléphonique commuté) sont deux autres cibles. Une manière différente de lancer un déni de service est de s'attaquer directement au téléphone IP. Cette méthode est totalement nouvelle puisque dans une architecture traditionnelle les téléphones dénués d'intelligence ne pouvaient pas servir de cibles. Les experts, pour qui cette attaque est assez facile à réaliser, estiment qu'il ne faut pas omettre de sécuriser le lien entre le terminal et l'IPBX, particulièrement lorsqu'on procède aux actions d'enregistrement du premier sur le dernier.
 

2. La fraude téléphonique

Il s'agit de prendre la main sur l'IPBX et de le transformer, par exemple, en cabine téléphonique sauvage à l'aide de laquelle on va pouvoir passer des appels aux frais de l'entreprise. « Le moyen le plus simple et efficace est d'exploiter les services actifs dédiés à l'administration des équipements comme Telnet ou SSH. Ces services permettent de voir s'il existe un compte trivial - un compte préconfiguré par le constructeur - conservé sur l'équipement. On trouve notamment sur internet des listes de comptes par défaut des constructeurs », explique Pierre Texier, consultant en sécurité informatique au sein du cabinet Lexsi. Ce qui change, c'est que désormais l'attaque peut également venir de l'extérieur. Il suffit de modifier son identité en vue d'une manipulation des flux de signalisation. La simplicité qui semble prévaloir pour mener ce type d'attaque peut surprendre. « Il suffit de passer un peu de temps sur internet et de posséder un PC connecté au réseau pour mener à bien une fraude », explique encore Pierre Texier. Afin de parer à ce genre de détournement, on trouvera notamment des acteurs comme Checkphone, Nortel, Alcatel-Lucent et Aastra Matra, dont les solutions, se positionnant directement sur le lien T2, filtrent les appels entrants et sortants. Autre moyen : installer un pare-feu spécifiant des règles appliquées aux communications.
 

3. L'écoute

Comme la fraude, l'écoute est très simple à réaliser, d'après les consultants en sécurité. Encore une fois, quelques heures passées sur la toile suffisent au néophyte pour obtenir le mode d'emploi du parfait « plombier » sur IP. Que l'intention soit de prêter une oreille attentive aux échanges d'un poste particulier vers l'extérieur, aux conversations entre des postes internes bien identifiés ou encore d'explorer les messageries vocales...

Afin de s'en prémunir, la principale défense consiste à procéder au chiffrement des conversations en utilisant SRTP (Secure Real Time Protocol), élaboré sur un algorithme AES. Ce dernier, proposant des clés de 128, 192 ou 256 bits, n'a effectivement toujours pas pu être cassé. « Une des méthodes pour protéger un téléphone de l'écoute peut consister à programmer un réadressage IP automatique régulier pour chaque terminal », explique Pierre Demoutiez, expert en télécommunications de l'entreprise Metassistance. Mais il arrive parfois, alors que le périmètre de sûreté a bien été validé, que certains trous de sécurité viennent s'intercaler à posteriori. Par exemple, pour des raisons légales, des entreprises telles que les compagnies d'assurances sont tenues d'enregistrer toutes les conversations de leurs téléopérateurs. Et, si l'ensemble du flux a effectivement été soumis à un algorithme de chiffrement, le nouveau trajet jusqu'à l'enregistreur est en clair si le logiciel d'enregistrement n'intègre pas de procédure cryptographique.
 

4. L'accès au système d'information

Les IPBX d'entreprise, au même titre que les postes clients équipés de logiciels de type Skype, doivent toujours être ouverts afin de recevoir les appels. Cela signifie que n'importe qui peut leur envoyer des messages. Le destinataire est alors totalement dépendant de l'intégrité du logiciel de VoIP, et de sa capacité à prévenir les attaques et à les empêcher de pénétrer dans le système d'information. Les conditions de base sont donc : bien segmenter chaque réseau par des réseaux virtuels, filtrer correctement et, ensuite, veiller à une bonne application des règles. On peut aussi ajouter un contrôle d'intégrité physique du poste (numéro de série, adresse MAC, etc.).

Si les trois menaces précédentes ont déjà une histoire, celle-ci est nouvelle et ne concerne plus uniquement le réseau téléphonique. C'est une des problématiques à l'origine du besoin d'impliquer la direction informatique dans le pilotage des déploiements VoIP. En effet, certaines entreprises avaient, en toute logique, confié cette tâche au service déjà en charge du réseau téléphonique traditionnel. « Près de 80 % des entreprises qui sont venues nous consulter se sont retrouvées dans ce cas de figure. Nous les avons réorientées vers leur DSI ou leur RSSI pour réaffecter à ces derniers le pilotage du projet », reconnaît Pierre Texier.
 

5. Vishing et Spit

Le vishing (contraction de VoIP et de phishing) est une attaque qui consiste à mettre en place un système de serveurs composant de façon aléatoire des numéros. Lorsqu'une personne finit par décrocher, elle entend un message, laissé par un serveur vocal se faisant passer, par exemple, pour un établissement financier et l'informant d'opérations débitrices inhabituelles. Un service comptabilité, par exemple, utilisant un service d'e‑banking pourrait ainsi délivrer des informations confidentielles en toute innocence.

Le spit (Spam Over Internet Telephony), lui, représenterait déjà 40 % des appels pour certains éditeurs du monde de la sécurité, quand d'autres nient son existence. Les experts, quant à eux, s'accordent à dire qu'il compte parmi les craintes les plus fortes. En effet la gratuité des appels et le lien entre le téléphone et internet simplifient la mise en place de robots d'appels. La différence avec le spam se situe surtout au niveau de l'identification de l'appelant, le numéro pouvant être masqué. Aujourd'hui, les procédures pour remonter à la source passent par une commission rogatoire très longue. On peut sans peine imaginer l'énorme confusion que le Spit pourra générer. D'autant que, dans ce cas précis, les opérateurs seront obligés d'assumer leur part de responsabilité. S'ils ont pu, jusqu'ici, se défausser en se reposant sur des solutions d'éditeurs tiers installées chez le client, ils devront traiter le cas du spit sur leurs propres systèmes.
 

Conclusion

Il est très difficile d'avoir une idée du nombre d'entreprises victimes d'attaques, et de connaître le type d'agressions le plus pratiqué. De même qu'il n'est pas aisé de distinguer la menace réelle de celle du « marketing de la peur », intelligemment véhiculé par les éditeurs du monde de la sécurité. Les recommandations du cabinet Ovum tiennent alors du bon sens. Quel que soit le secteur, voix ou données, le cabinet d'études et de conseil enjoint l'entreprise à mettre en place une vraie politique de sécurité. Et à se doter de personnel formé et à s'équiper de produits certifiés comme ceux qui sont testés et approuvés par les Critères communs.
 

Représentation d'un réseau voix-données sécurisé

Cliquez ici pour agrandir l'image

 
Pour les routeurs, commutateurs et pare-feu s'applique une configuration spécifique à chaque plate-forme VoIP. Ici, le niveau de sécurité du réseau virtuel « serveur voix » peut encore être accentué en isolant chacun des composants.

Peter Cox, consultant en sécurité, récemment fondateur de la start up UM Labs

« Il est plus facile de lancer avec succès une attaque sur un système de VoIP »

« Contrairement aux autres applications IP, ces systèmes sont très récents. On ne bénéficie pas encore d'une expérience étendue dans la manière de les gérer et de les sécuriser. D'autant plus qu'il y a plusieurs cibles possibles pour un hacker. Il faut savoir que les pare-feu standards offrent une protection assez limitée. Bien souvent, ils ne gèrent pas les protocoles de VoIP. Ainsi, ils ne sont pas en mesure de détecter et contrer une attaque contre le protocole ou les applications. »

« La vraie question à se poser est : quel risque y a-t-il que mon réseau de VoIP soit attaqué ? »

« Etant donné le nombre élevé de menaces potentielles, le nombre de cibles possibles dans l'architecture et le risque financier, je crois que la réalité est démontrée et que chaque organisation qui déploie la voix sur IP devrait déployer la sécurité qui va avec. »

Pierre Demoutiez (Metassistance et Aastra Matra) : « les informaticiens ont un discours alarmiste »

« Les informaticiens sont, depuis toujours, préoccupés par leur réseau et le moyen de le protéger. Pas les gens du monde de la téléphonie. Dans les déploiements que l'on réalise, on se rend compte qu'au moins 85 % des mots de passe protégeant les PBX sont fournis par les constructeurs. IP apparaît comme un monde plus compliqué aux yeux des personnes responsables de la téléphonie. C'est en partie à cause du discours alarmiste des informaticiens qui ont peur de tout. Je ne dis pas que les dangers n'existent pas, mais ils ne sont pas forcément aussi nombreux qu'on veut nous le faire croire. De plus, on parle de dangers mais on ne précise pas assez souvent qu'ils viennent en général de l'intérieur. Je ne suis pas convaincu qu'il faut des pré-requis spéciaux pour sécuriser la voix. »

Franck Moussé (compagnie d'assurances Dexia Sofaxis) : « le déni de service était la menace la plus gênante »

« La sécurité était un facteur important dans le choix de notre plate-forme. Or nous avons beaucoup plus confiance en l'environnement Linux pour la sécurité et la robustesse. Nous avons finalement choisi la solution IBM. Nos deux parcs de 400 PC et de 400 téléphones sont chacun à l'intérieur d'un réseau virtuel dédié. Au préalable, nous avons pris le temps de savoir quelles étaient les menaces qui nous concernaient. Nous avons pris nos dispositions en termes de haute disponibilité. Si nous avons bien étudié le fait d'isoler notre cœur de réseau, nous avons aussi veillé à une redondance de notre réseau téléphonique, le déni de service étant la menace la plus gênante pour notre activité. Depuis que le réseau a été déployé il y a trois ans, nous n'avons subi aucune attaque. Nous allons cependant procéder très prochainement à un audit interne. »
 

Les éléments indispensables pour vous protéger

Cliquez ici pour agrandir l'image

Le Courant Porteur en Ligne en 5 questions

Technologie ancienne, le Courant Porteur en Ligne, ou CPL, progresse lentement sur le marché des réseaux. Quelques éléments pour faire le point sur les avantages, et les risques, de cette technologie.

Le CPL, qu'est ce que c'est ?

Il s'agit d'une technologie qui permet le transfert d'informations numériques en utilisant les lignes électriques. Ainsi, il est possible de créer un réseau local mais aussi de se connecter à l'Internet par ce biais.

Le courant porteur est aujourd'hui utilisé en bas débit pour des applications industrielles mais aussi et de plus en plus pour des applications domotiques.

C'est par exemple du courant porteur en ligne qui est utilisé pour faire basculer en tarif nuit un compteur électrique. Le CPL haut débit permet quant à lui de faire transiter des données informatiques par le courant électrique. Les débits atteints sont compris entre 14 Mbit/s et 200 Mbit/s.

Le CPL, comment ça marche ?

Couplé au courant électrique de 50 Hz, un signal de plus haute fréquence (bande 1,6 à 30 Mhz) mais d'énergie plus faible est utilisé sur le réseau électrique, transportant les données. Ce signal peut être reçu et décodé à distance.

Existe-t-il un standard ?

Oui, il s'agit du standard américain Homeplug, relatif aux installations mises en place après le compteur.

Quel est le cadre juridique du CPL ?

Les autorités de régulation ont du mal à définir le cadre juridique du CPL, puisqu'il est à la fois un réseau électrique et un réseau de télécommunication. Il n'existe pas par ailleurs de réglementation précise pour l'équipement CPL.

Les installations effectuées en aval du compteur électrique sont libres, sauf si l'installation provoque de la nuisance. Alors, l'installation doit être retirée. En revanche les expérimentations à des fins de boucles locales doivent être autorisées par l'ARCEP.

En France, depuis 2005, L'Autorité de régulation des télécommunications a levé le statut transitoire qui était jusqu'à présent appliqué aux réseaux filaires basés sur la technologie des Courants Porteurs en Ligne (CPL).

Quels sont les inconvénients du CPL ?

La communication en CPL doit composer avec des bruits fréquents et de fortes atténuations. C'est pourquoi la technique de la redondance est nécessaire pour faire fonctionner correctement le CPL.

Par ailleurs, le circuit électrique n'est pas blindé, ce qui fait que ce dernier se transforme en antenne et les ondes de haute fréquence rayonnent dans l'environnement proche, et ce jusqu'à une centaine de mètres.

De ce fait, tout le matériel de réception radio est perturbé par l'utilisation du CPL. A l'inverse, le signal CPL peut être lui-même parasité par des flux électromagnétiques provenant d'écrans, de transformateurs, mais aussi par des ondes radios.
Enfin, les incidences sur la santé d'un rayonnement constant de CPL sont pour l'instant peu connu et soulèvent des interrogations.

Inscription

Sécurité - VoIP : la menace s'accentue en 2008