Sécurité des systèmes téléphoniques

Souvent, en entreprise, la problématique de "sécurité du système téléphonique" n’est pas une préoccupation majeure et la téléphonie n’est pas toujours intégrée dans la politique de sécurité du système d'information^[1]. Les équipes responsables de la téléphonie ne sont pas toujours suffisamment sensibilisées à la sécurité (parfois gérée par les services généraux). De plus en plus, les équipes de la téléphonie et de l'informatique fusionnent grâce à l'arrivée de la téléphonie IP (ToIP), mais les informaticiens, sensibles à la sécurité, ne connaissent pas toujours les problématiques spécifiques à la téléphonie.

Autrefois, les PABX étaient des équipements fermés et difficilement appréhendables, avec des vulnérabilités spécifiques, connues des experts et des pirates. Aujourd’hui, avec la VoIP, les PABX (ou IPBX) sont aussi de vrais serveurs informatiques sur lesquels on trouve une application de téléphonie^[2]. Ils fonctionnent sur des systèmes d’exploitation connus, raccordés aux réseaux informatiques et ont la même problématique de sécurité que tout autre serveur. À ceci près qu’on y ajoute les vulnérabilités spécifiques à la téléphonie, qui n’ont pas disparues.

La convergence voix-données hérite des vulnérabilités de la téléphonie traditionnelle ainsi que des vulnérabilités du monde IP^[3].

Les cinq grandes menaces qui pèsent sur le réseau téléphonique^[4],[5],[1]

L'écoute illégale

Cette pratique consiste à détourner le systèmes téléphonique dans le but d'écouter illégalement des conversations téléphoniques.

Exemples de pratiques :

• Utilisations abusives des fonctions d’écoute.
• Accès frauduleux aux systèmes de Messagerie Vocale.
• Usurpations d'identités.
• Enregistrements illicites de conversations.

Impacts:

• Espionnage :
  • Identification des contacts (clients, partenaires, fournisseurs, …).
  • Vols de brevets, technologies.
  • Stratégies d’entreprise divulguées.
  • Opérations sensibles connues (projets de fusion/acquisition).
• Divulgation publique d’informations confidentielles.
• Atteinte au respect de la vie privée.

La fraude téléphonique

Cette pratique consiste à téléphoner gratuitement et à tirer profit du système téléphonique d'une entreprise.

Exemples de pratiques :

• Utilisation abusive du service de téléphonie (fonction DISA, …).
• Piratage des messageries vocales accessibles depuis l'extérieur dans le but d'activer des fonctions de renvoi d'appels vers l'extérieur.
• Renvois vers des numéros surtaxés, à l’étranger le plus souvent.
• Revente des communications à des tiers.

Impacts :

• Surfacturation téléphonique importante.
• Temps perdu à rechercher la source du problème.

Le déni de service

Cette pratique vise à rendre le système téléphonique indisponible.

Exemples de pratiques :

• Sabotage de l’autocommutateur.
• Saturation des liens opérateurs (flood).
• Attaques protocolaires sur le PABX et les téléphones.
• Augmentation du temps de réponse des équipements de téléphonie (atteinte à la QoS).
• Re-routage de trafic ou transfert illicite d’appels, rebonds automatiques.
• Interception abusive d’appels, ou de fax.

Impacts :

• Indisponibilité du service de téléphonie.
• Plainte de clients ou de tiers.
• Atteinte à la notoriété.
• Perte de chiffre d’affaires.
• Contrats commerciaux perdus.

Les intrusions sur le système informatique

Ces sont des manœuvres visant à pénétrer sur le système informatique à partir du système téléphonique, par rebond.

Exemples de pratiques :

• Depuis l’extérieur: piratage des modems de télémaintenance, ou des modems internes (Wardialing, puis pénétration du réseau).
• Depuis l’intérieur: utilisation des lignes analogiques (des fax, par exemple) pour établir des connexions pirates vers Internet dans le but d’outrepasser la politique de sécurité Internet (filtrage Web).
• Modems « fantômes » ou modems « oubliés », programmes « Dialers ».

Impacts :

• Création de porte dérobée (Backdoor), Interconnexion clandestine d’Internet avec le réseau d’entreprise : porte d’entrée pour les pirates, virus, malwares, chevaux de Troie, etc…
• Fuites, détournement d’informations…

Le cas des Softphones

Un softphone est un type de logiciel utilisé pour faire de la téléphonie par Internet. Il nécessite que le poste de travail ait accès au réseau voix (généralement dissocié du réseau de données pour des raisons de sécurité).

Problématique :

• Difficulté à cloisonner les réseaux « voix » et « données » sur les postes équipés de softphones.

Impacts :

• Perméabilité entre les deux réseaux.
• Possibilité de lancer des attaques sur le réseau Voix depuis un poste de travail doté d’un softphone.
• Propagation de virus, et autres programmes malveillants entre les réseaux.

Des conséquences graves pour l‘Entreprise^[6].

• Conséquences financières.
• Conséquences sur la notoriété.
• Conséquences pénales pour les dirigeants : articles 121-2 et 226-17 du code pénal.

Les solutions^[5],[1]

Il faut avant tout prendre conscience du problème, puis sécuriser son système téléphonique.

Intégrer la téléphonie dans le référentiel de sécurité de l'entreprise

• Disposer d'une politique de sécurité "voix" et l'appliquer.
• Intégrer la téléphonie dans les Rapports et Tableaux de Bords de Sécurité du Système d'Information (TBSSI).

Protéger ses équipements (PABX, IPBX, ...)

• Réaliser des audits réguliers et des analyses de configurations (manuellement ou à l'aide d'outils automatiques spécialisés).
• Vérifier régulièrement l'activation des fonctions "sensibles".
• Suivre les modifications de configuration (utilisation d'outils de détection des modifications).
• Sécuriser les accès aux équipements télécoms, aux consoles de gestion et aux modems de télémaintenance (détecter et journaliser les accès).

Protéger le réseau téléphonique

• Mettre en place des moyens d’analyse de trafic (VoIP : interne/externe, et ISDN : T0/T2/E1).
• Utiliser des IDS/IPS spécialisés Voix permettant la détection d’anomalies et la protection contre les attaques.
• Découvrir les modems « fantômes » ou « pirates » de l’entreprise, les éradiquer.
• Cloisonner les postes disposant de softphones en filtrant les flux au plus tôt (marquage VLAN des flux voix).
• Surveiller le réseau Voix, en temps réel, et émettre des alertes de sécurité lors de détection d’anomalies.

Garantir la traçabilité des événements

• Permettre, si nécessaire, l’accès aux informations relatives aux communications passées (numéro appelant/appelé, date & durée, type d’appel: voix, fax, modem, …).
• Archiver régulièrement les configurations des PABX.
• Journaliser les actions menées par les utilisateurs des outils de sécurisation (nom, adresse IP, date de l’action, nature de l’action).

Notes et références

1. ↑ ^{a, b et c} Dossier Technique du Clusif "Communications voix, enjeux de sécurité", 2010
2. ↑ Conseils pour protéger votre standard téléphonique de toute intrusion
3. ↑ La sécurité de la voip, les principales failles
4. ↑ Pourquoi sécuriser la téléphonie?
5. ↑ ^{a et b} La sécurité de la téléphonie sur IP en entreprise
6. ↑ Conférence du Clusif "Malveillances téléphoniques : Risques et parades", 2003

Voir aussi

• Phreaking
• Écoute clandestine
• Usurpation d'identité
• Attaque par déni de service
• Checkphone, société éditrice de systèmes de management de la sécurité des infrastructures téléphoniques.

Liens externes

• (fr) Le téléphone, cible des pirates !
• (fr) Pourquoi sécuriser la téléphonie ?
• (fr) Vulnérabilités des systèmes téléphoniques (TDM et VoIP) : Risques & Solutions : Les vidéos
• (fr) Malveillances téléphoniques