Nous vous parlions de notre tendance numéro 1 de la téléphonie IP dans un précédent article, aujourd’hui, nous abordons un sujet La téléphonie IP (ToIP), un système qui utilise le protocole de télécommunications spécialement conçu pour Internet suscite l’engouement des entreprises. Nombreuses sont les sociétés qui migrent vers cette solution de téléphonie dans l’objectif d’augmenter leurs débits Internet et de réaliser des économies non négligeables sur la facture de télécommunication.
Malgré tous les avantages qu’elle peut apporter, il faut reconnaître que la téléphonie IP affiche une certaine faiblesse en termes de sécurité. Quels sont les risques d’attaque les plus redoutés et quelles sont les solutions de sécurité disponibles ?
Les particularités de la téléphonie sur IP
La téléphonie sur IP utilise une architecture et une technologie très différente de la téléphonie classique. Elle recourt principalement au protocole de réseau IP, une technologie qui peut être mise en œuvre sur une infrastructure déjà existante de réseau IP afin de raccorder des terminaux IP (IP-phone) et des logiciels sur PC connectés sur ce même réseau (Softphone).
Dans un système de téléphonie classique, chaque ligne est connectée sur un circuit physique privé et à une infrastructure adaptée aux applications choisies. La signalisation et la voix sont considérées comme des données dans un réseau informatique classique. Elles doivent d’abord transiter par le WAN ou le LAN, quelquefois par Internet avant d’être diffusées sur le réseau de l’entreprise.
La ToIP utilise des technologies particulières. La voix est digitalisée, ensuite encodée avant d’être acheminée sous forme de paquets, à l’instar de toutes les données, vers le réseau de l’entreprise. Ce système innovant peut être ajouté en complément sur un réseau téléphonique classique existant via une passerelle ou s’utiliser en full-IP pour une nouvelle infrastructure avec uniquement des câbles. Une entreprise peut l’employer en multi sites full-IP en recourant aux prestations d’un opérateur téléphonique et éventuellement des serveurs centralisés. La téléphonie IP peut être installée sur un ordinateur connecté sur le réseau Internet de la société à destination d’un autre PC, lui aussi relié au réseau à condition que les 2 machines utilisent le même logiciel.
L’option pour la téléphonie sur IP impose des contraintes particulières et la mise en place d’une architecture spécifique adaptée non seulement à ces contraintes, mais également aux besoins de sécurisation du réseau. En effet, à l’instar de toutes les nouvelles technologies, cette téléphonie n’est pas épargnée des problématiques de sécurité. Sa mise en œuvre expose le système informatique de l’entreprise à de nouveaux risques d’attaque.
Les risques d’attaque
Comme la téléphonie sur IP hérite des propriétés de deux domaines différents, celles de la téléphonie classique et celles des réseaux de données, elle est ainsi exposée aux problèmes de sécurité de ces deux univers.
La ToIP peut être la cible d’attaques généralement subies par la téléphonie traditionnelle, telles que le détournement du système téléphonique dans le but d’éviter la facturation (phreaking) ou encore le piratage des protocoles de signalisation afin de les manipuler par la suite.
En raison de leur complexité, les réseaux informatiques sur lesquels est basée la téléphonie IP sont plus vulnérables en termes de sécurité. Ils s’exposent à un plus vaste éventail d’attaques. Tous les composants du réseau, en partant du niveau physique jusqu’à celui de l’application, sont susceptibles d’être touchés par les problématiques de sécurité et les risques d’attaques dont l’envergure et la nature sont inhabituelles dans un système de téléphonie classique.
Application sensible, la ToIP peut être facilement perturbée. De ce fait, elle représente une cible privilégiée pour certaines attaques, comme le déni de service (DoS) qui sévit sur le système informatique ou le réseau provoquant une saturation de celui-ci. La prestation initialement fournie à l’entreprise est interrompue en raison d’une diminution de la bande passante, d’une utilisation de la totalité des ressources du système (espace disque ou puissance CPU), d’une perturbation des tables de routage ou des éléments physiques du réseau.
Des déclinaisons du DoS et adaptées à la téléphonie sur IP constituent également d’autres moyens d’attaques sur une ToIP. L’attaquant peut produire des paquets de signalisations et les envoyer massivement vers le réseau ciblé pour figer les périphériques et les applicatifs ToIP et perturber le fonctionnement des serveurs.
Les attaques peuvent aussi se traduire en espionnage, comme les vols d’informations et les écoutes, ou en détournement, tel que l’utilisation frauduleuse des lignes téléphoniques par un tiers extérieur à l’entreprise. La téléphonie sur IP offre aux attaquants la possibilité d’employer de façon abusive les ressources téléphoniques dans le but de passer des appels aux frais de la société compromise ou pour couvrir des actes illégaux.
Les solutions de sécurité
Pour défendre en profondeur un système de téléphonie sur IP, il faut mettre en œuvre des mesures de protection à tous les niveaux susceptibles d’être visés par les attaques. Sur une architecture ToIP, l’application de ce principe consiste à doter l’ensemble des éléments qui composent l’infrastructure d’un moyen de protection adapté. Sont concernés : les téléphones, les serveurs d’appel, les passerelles, les équipements réseau, les applications, etc.
L’existence de ces dispositifs de défense successifs obligera l’attaquant à passer à travers chacun d’entre eux avant de parvenir au système d’information. Cependant, il faut veiller à ce que les protections soient indépendantes et forment un ensemble cohérent pour garantir l’homogénéité du niveau de sécurité.
Parmi les solutions de sécurité, il est conseillé de doter le serveur qui gère la ToIP de plusieurs niveaux de protection, tels qu’un pare-feu, un scindage du réseau, etc. pour le prémunir contre d’éventuelles attaques. La majorité des fournisseurs de systèmes IP-PBX proposent un large panel d’outils et de méthodes permettant de diminuer les risques d’insécurité.
L’entreprise peut miser sur des communications chiffrées. Cette solution peut requérir l’intervention de ressources humaines supplémentaires, le choix n’étant généralement présenté par les centraux IP-PBX qu’en option.
Le contrôle et la limitation de la bande passante, la protection des ressources réseaux dédiés à la voix sur IP sont également à envisager.
Le marché propose un scanner de vulnérabilité de la VoIP. Cet outil comporte plusieurs fonctionnalités qui permettent d’évaluer le niveau de sécurité du réseau de l’entreprise. Son utilisation requiert toutefois une maîtrise parfaite de l’administration de réseaux.
En conclusion
Au cas où les systèmes de téléphonie subissent des attaques, les impacts fâcheux ne se limitent pas au plan financier. Les conséquences peuvent également être d’ordre juridique, sans compter l’image de marque de l’entreprise qui peut être altérée. Aussi, il importe de mettre en place des mesures de protection adéquates pour optimiser la sécurité du réseau contre les risques potentiels. Ainsi que vous soyez déjà passé à la voix sur IP ou que vous envisagiez une migration, il convient de prendre en compte cet aspect. Vous pouvez regarder notre webinar sur la téléphonie 2.0 dans lequel le sujet est également abordé.
Pour approfondir le sujet, nous organisons un webinar le jeudi 19 octobre animé par Nicolas Bougues, CTO d’Axialys.
