3 décembre 2012

Téléphonie d’entreprise : état des lieux des cybermenaces

Téléphonie

La téléphonie ne figurait que rarement dans le périmètre d’action des responsables informatiques et était peu suivi par les RSSI. Ce n’est plus le cas aujourd’hui avec l’avènement de la ToIP. En effet, les réseaux informatiques et téléphoniques ont convergé grâce à l’utilisation du protocole IP.

Comme pour la mobilité ou le Cloud, le phénomène de la ToIP s’impose rapidement dans les organisations grâce aux avantages proposés par cette technologie (VoIP) : réduction des coûts (de communication notamment), ajout de service, flexibilité, productivité… Les risques sont à considérer avec un nouveau regard, si nous conservons ceux issus du monde de la téléphonie il faut maintenant ajouter ceux du monde informatique et ceux liés à la convergence de ces différents services. 

Panorama des risques liés à la ToIP 

1. Le déni de service

Ce type d’attaque, rendu célèbre par les Anonymous, est également possible contre des systèmes téléphoniques de type VoIP. Le but est de paralyser le système et le service en inondant de requêtes légitimes ou illégitimes : soit un simple poste (l’impact sera limité), soit directement l’IPBX pour perturber l’ensemble du réseau téléphonique de l’organisation. Dans ce dernier cas, le recours à un botnet composé de milliers de PC « zombies » est indispensable pour réussir l’attaque.

2. L’espionnage 

Le cyber espionnage est une réalité et un réseau ToIP vulnérable peut permettre à des attaquants de mettre en place des écoutes téléphoniques et porter atteinte à la confidentialité des communications de l’entreprise. Une attaque de type « Man-in-The-Middle » peut potentiellement mener à ce type d’action malveillante. D’autre part des serveurs mal configurés peuvent permettre à un attaquant de prendre la main sur les communications.

3. L’intrusion informatique 

La ToIP utilise le protocole IP, le même qui est exploité historiquement pour les réseaux informatiques qui font transiter des données. Les deux réseaux sont parfois très liés et un mauvais cloisonnement peut amener des attaquants à s’introduire par « rebond » sur le système d’information de l’organisation en exploitant des vulnérabilités présentes sur le réseau ToIP.

4. La fraude (ou détournement de trafic téléphonique) qui va engendrer des factures très élevées pour l’entreprise

En 2011, la FICOME (Fédération Interprofessionnelle de la Communication d’Entreprise) alertait les professionnels de la téléphonie d’entreprise ainsi que les entreprises utilisatrices sur le phénomène du détournement du trafic téléphonique. Selon les chiffres communiqués par la BEFTI (Brigade d’Enquête sur les Fraudes aux Technologies de l’Information), ce type de fraude aurait représenté 1,5 milliard d’euros en France pour la seule année 2010.

Ces fraudes touchent directement les entreprises et associations mais aussi les opérateurs téléphoniques. La FICOME citait notamment le cas du lycée Le Dantec de Lannion qui se serait retrouvé avec une facture de 10 000 à 12 000 euros suite à une intrusion sur son système de téléphonie IP. Le cas recensé le plus important en France aurait visé un très grand groupe et lui aurait coûté plus de 600 000 euros.

Des failles techniques et humaines 

Il s’agit essentiellement de mauvaises configurations et d’une mauvaise sensibilisation des administrateurs des utilisateurs. Par exemple :

• Des interfaces d’administration accessibles sur Internet et non sécurisées : une simple requête sur Google (ou sur un moteur spécialisé comme Shodan) permet à des attaquants d’identifier des interfaces d’administration d’IPBX qui seraient accessibles sur Internet. Certaines d’entre elles sont également mal sécurisées (brute force ou identifiant / mot de passe par défaut). L’attaquant pourra ensuite créer des comptes utilisateurs, effectuer des renvois d’appels…

• Vulnérabilité des messageries vocales : en usurpant l’identité d’un utilisateur, un attaquant peut, à travers l’utilisation de la messagerie vocale, effectuer des transferts d’appels vers des numéros surtaxés. Pour se faire passer pour l’utilisateur, il suffit de connaître son mot de passe de messagerie (souvent 4 chiffres : 0000, 1111, 1234… ou alors le code par défaut défini par le fabricant du téléphone, accessible souvent sur Internet).

• Télémaintenance : de nombreuses PME (mais également de grandes entreprises) font appel à des prestataires externes pour l’administration et/ou la maintenance de leurs services de ToIP. L’utilisation de ces comptes peut être détournée par des attaquants avec ou sans complicité interne.

Quelles solutions pour se protéger ?

La téléphonie doit être intégrée à la politique de sécurité des systèmes d’information. Elle doit être composée de différentes mesures de protection et de prévention :

• Techniques, comme par exemple la mise en place d’un firewall « voix », le cloisonnement des réseaux voix et données, l’installation de l’IPBX dans un local sécurisé (contrôle d’accès physique) ou la mise en œuvre d’un monitoring et d’alerte pour détecter des comportements anormaux (appels vers l’international le week-end ou au milieu de la nuit, suivi de la facturation, brute force…).

• Organisationnelles, avec par exemple, l’organisation de campagnes d’audits réguliers pour contrôler l’efficacité des mesures de sécurité mises en place ou encore la formation et la sensibilisation des administrateurs et des utilisateurs.

• Juridiques, dans le cas d’une prestation externe, il est nécessaire de faire attention aux clauses relatives à la sécurité (comptes de maintenance, assurance en cas d’incidents, SLA, mises à jour de sécurité…).

Mais les mesures de sécurité les plus simples et de bon sens sont souvent les premières à mettre en œuvre :

• Faire attention aux mots de passe : changer les mots de passe administrateur dès l’installation et mettre en place une politique de mot de passe (forcer l’utilisateur à changer son mot de passe lors de la première utilisation, durée de vie, nombre de tentatives…).

• Limiter les fonctionnalités par le contrôle des droits : tous les utilisateurs n’ont pas besoin d’avoir accès à la fonctionnalité de renvoi d’appels vers l’extérieur. Cette fonction est critique car, en cas de détournement de trafic téléphonique (via la messagerie vocale, par exemple), l’entreprise risque de faire face à des factures de montants très élevés. Tous les utilisateurs n’ont pas également besoin d’avoir la capacité d’appeler des numéros à l’international.

• Impliquer les prestataires : il ne faut pas hésiter à les auditer et à contrôler la télémaintenance.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *