Téléphonie IP : comment sécuriser sa téléphonie d’entreprise ?

telephonie_entreprise_securite.jpg

Si vos dispositifs et technologies utilisent le web, alors ils sont vulnérables aux piratages. Malheureusement, la téléphonie IP peut donc également être touchée par ces offensives. Pour prévenir cela, il existe des recommandations, très simple à mettre en place, afin de protéger sa téléphonie d’entreprise.

De par sa nature, la téléphonie IP utilise le web pour transmettre des communications. Elle va capter des conversations voix, les transformer en données, qui seront transmises à votre interlocuteur, puis converties en conversation vocale. Utiliser un protocole IP pour sa téléphonie d’entreprise représente de nombreux avantages, comme on l’explique dans notre livre blanc sur les solutions de téléphonie d’entreprise. Mais cela implique également de s’exposer aux dangers du web.

New Call-to-action

Derrière cette appellation se cache une attaque méconnue, qui touche pourtant de nombreuses entreprises. Le détournement de ligne téléphonique. Des pirates prennent le contrôle d’un ou plusieurs postes d’une compagnie, afin de passer des appels vers des destinations onéreuses, ou pour générer des revenus sur leurs propres SVA .

Comment les pirates procèdent-ils ?

Pour arriver à leurs fins, les « hackers » utilisent, principalement, deux techniques :

  • La première consiste à appeler les postes d’une entreprise au cours de la nuit. Les pirates espèrent ainsi tomber sur un assistant vocal interactif. Cette fonctionnalité est généralement protégée par un mot de passe personnel. Mais la majorité des collaborateurs ne personnalisent pas ce dernier. On retrouve souvent les codes d’origine du constructeur, c’est-à-dire 0000 ou encore 1234. Il suffit alors aux individus de tester plusieurs postes téléphoniques, jusqu’à tomber sur un assistant vocal interactif avec cette configuration. A partir de là, les pirates peuvent prendre le contrôle de l’appareil pour passer des appels frauduleux.
  • Il existe également une autre technique pour détourner les communications d’une entreprise. Les hackers s’attaquent directement à l’autocommutateur relié au web (IPBX). Ils vont parcourir la toile afin de trouver des équipements vulnérables. Bien souvent, ce sont les autocommutateurs qui n’utilisent pas une connexion internet protégée. Une fois détecté, il leur suffit de pirater le code de sécurité pour prendre le contrôle d’un IPBX et ainsi réaliser des détournements de ligne téléphonique.

Comment se protéger des attaques via l’assistant vocal interactif ?

En 2012, les associations de professionnels de la téléphonie ont lancé une grande campagne de communication pour sensibiliser les entreprises aux risques de phreaking. Cette année-là, les détournements de ligne téléphonique ont connu une importante baisse, car avec un peu de pédagogie, il est assez simple de se prémunir de ce type d’attaque. 

Par exemple, il suffit de personnaliser le code qui sécurise chaque assistant vocal interactif. Très simple à mettre en place, cela empêchera les pirates de prendre le contrôle des postes de votre entreprise.

New Call-to-action

Il faut quand même se prémunir des attaques sur l’IPBX

Même si le piratage d’IPBX est moins accessible techniquement, il faut quand même se prémunir de cette possibilité. Avant toute chose, il faut personnaliser le code de sécurité de l’autocommutateur. Ce dernier devra être mis à jour régulièrement pour éviter qu’il circule sur la toile.

Tout comme un site internet, la mise en place d’un pare-feu est fortement conseillé sur les solutions de téléphonie IP. Un autre dispositif qui peut garantir la sécurité de votre installation est d’utiliser deux réseaux différents dans une société (un pour les données et un autre dédié à la téléphonie IP). Cela va limiter le nombre de points d’accès et ainsi le risque d’attaque. En plus de cela, l’utilisation d’un réseau dédié à la téléphonie IP améliore la qualité de vos communications.

La VoIP Centrex, la solution la plus sécurisée ?

Dans une entreprise, les pirates utilisent deux points faibles : le manque de vigilance et l’autocommutateur. Ce dernier ne constitue pas un risque pour une société qui utilise la VoIP Centrex. Le standard n’est pas physiquement dans l’entreprise, mais chez l’opérateur. Cette utilisation en cloud permet de partager l’équipement avec d’autres sociétés (réduisant ainsi les coûts), mais surtout de profiter de tous les dispositifs de sécurité du prestataire. Ainsi, les mesures préventives ne concerneront pas l’entreprise mais l’opérateur.

 

Nouveau call-to-action 

Posted in :

Commentaires :