"Il n'y a pas fondamentalement plus de vulnérabilités en ToIP qu'en téléphonie classique. Mais elles sont plus faciles à exploiter et à la portée de tous", indique Hervé Schauer, consultant en sécurité. Dans la téléphonie traditionnelle, pour écouter les conservations, il faut se procurer des équipements assez onéreux (des bretelles) et savoir les brancher sur la bonne ligne. En IP, l'écoute est à la portée du moindre informaticien. Les protocoles sont largement enseignés et ouverts. Il suffit d'installer un espion sur le serveur d'appels. Les trames peuvent être captées sur np'importe quel point du réseau et décodées par n'importe quel PC au moyen de logiciels téléchargeables gratuitement. Tout administrateur de réseau qui se respecte se doit d'ailleurs de maîtriser ce type d'outils (Cain & Abel, par exemple), ne serait-ce pour détecter les configurations trop faibles, vérifier les mots de passe utilisés, découvrir les adresses MAC, "sniffer" les sessions...
La ToIP ouvre de nouvelles failles
Pour se prémunir contre ce premier risque, Cetelem crypte ainsi au siège toutes les communications entre les dirigeants de l'entreprise. L'écoute n'est évidemment pas le seul risque. Il y a également la possibilité d'afficher une identité usurpée sur l'écran du poste appelé pour ensuite faire agir le correspondant dans tel ou tel sens. Il y a aussi les fraudes sur la facturation et les appels gratuits, les attaques par rebond à partir du numéroteur ou les attaques applicatives, qui peuvent paralyser l'ensemble du système de communication par génération automatique d'un sur-trafic que le serveur d'appel n'est plus capable de gérer...
Pas de doute, la ToIP ouvre de nouvelles failles ! Elle relie la téléphonie à l'e-mail, porte d'entrée habituelle des vers et autres malwares. Mais ces codes malveillants peuvent également s'infiltrer par le biais de la téléphonie peer-to-peer, de type Skype ou autre. La première des précautions à prendre est donc de proscrire celle-ci sur l'ensemble du réseau de l'entreprise. C'est chose faite chez Cetelem, mais aussi chez Groupama Paris Val-de-Loire, Accor, Société des Eaux de Marseille ainsi qu'à l'Université Pierre et Marie Curie à Paris, pour ne citer que ces exemples.
Disposition d'autant plus justifiée que la téléphonie sur Skype présente un autre sérieux inconvénient : elle répand dans le réseau de l'entreprise, à l'insu et hors de toute possibilité de contrôle de l'administrateur, une nouvelle couche de communication, au trafic toujours croissant, où les PC finissent par se transformer en distributeurs de communications du réseau Skype lui-même ! Mais il ne suffira sans doute pas d'édicter une telle proscription. Encore faut-il pouvoir s'assurer qu'elle est respectée, au moyen notamment d'une appliance, capable de détecter les paquets de VoIP non désirés et de couper la communication (un boîtier Arkoon Fast360, par exemple).
Les bonnes parades au bon coût
Les possibilités de sécurisation de la ToIP ne manquent pas. "Nos systèmes sont bourrés de protections, mais elles sont trop peu utilisées", rappelle Olivier Seznec (photo), directeur technique de Cisco France. Au nombre des remèdes, Hervé Schauer préconise pour sa part le cloisonnement des Vlan, la limitation des adresses MAC par port, la protection contre les attaques ARP (Address Resolution Protocol), le contrôle d'accès par filtrage, l'authentification et le chiffrement Ipsec ou SSL/TLS, le durcissement des équipements, le suivi des correctifs de sécurité, la minimisation de la configuration, la restriction des accès aux interfaces d'administration, la journalisation, l'authentification des parties à tous les niveaux, l'authentification du protocole de signalisation...
Mais la difficulté est de savoir mettre en oeuvre les bonnes parades en fonction du niveau de sécurité requis. Pas plus, pour limiter les surcoûts. Et pas moins, pour éviter le coup d'épée dans l'eau. A qui fera-t-on confiance ? Aux téléphonistes internes ? "Il a fallu qu'ils comprennent ce qu'est la ToIP sécurisée, qu'ils se coordonnent avec nos équipes de sécurité réseaux et que tous se retrouvent dans la même salle machines", explique Gérard Leymarie, responsable Sécurité Infrastructures du groupe Accor.
Lire la suite de l'article.