Quelle sécurité pour la voix sur IP ?


Par M. Mondher GAM

Entre l’usurpation d’identité, l’écoute des conversations téléphoniques ou
l’exploitation de vulnérabilités, la voix sur IP semble multiplier les
risques pour l’entreprise. Mais des solutions de sécurité adaptées
apparaissent.

 

La migration de la téléphonie traditionnelle d’entreprise vers la téléphonie
sur IP poursuit sa progression. Le marché mondial des équipements de
téléphonie d’entreprise présente en 2007 un dépassement de celui des PBX (ou
autocommutateurs) traditionnels par les PBX IP : le marché des PBX
traditionnels passerait de 6,4 milliards de dollars en 2006 à 5,7 milliards
en 2007, tandis que celui des PBX IP grimperait de 4,6 à 5,75 milliards de
dollars, selon l’Idate. En 2010, l’Idate prévoit que près de 70 % des lignes
fonctionneront sur des ports IP.

 

Selon le cabinet d’études IDC, la voix sur IP représentait déjà un marché de
2,3 milliards de dollars dans le monde en 2002. Cette technique qui consiste
à numériser la voix puis la faire transiter par le réseau IP de l’entreprise
promet la réduction des coûts de télécommunication, résultat de la fusion
des canaux voix et données de l’entreprise, et autorise de nouveaux usages
rendus possibles par l’utilisation de données IP par les serveurs
téléphoniques et les postes eux-mêmes (messagerie et applications sur
téléphones notamment).

 

Seulement cette nouvelle technologie multiplie de manière considérable les
risques de sécurité dans l’entreprise. Premier risque, l’ouverture même du
réseau IP. “Avec la voix sur IP, tous les postes téléphoniques deviennent en
quelques sortes serveurs car ils sont désormais accessibles de l’extérieur”.
Ce risque devient d’autant plus dangereux que, si aujourd’hui peu de
personnes sont capables de pirater un réseau téléphonique, demain cela
deviendra accessible pour n’importe quel informaticien. “Les outils
classiques et répandus d’écoute de réseau, d’analyse de flux et d’injection
de trafic IP peuvent être directement utilisés pour attaquer un réseau VoIP.
Les outils propres à la voix sur IP sont disponibles, comme VOMIT (Voice
Over Misconfigured Internet Telephone) et SiVuS : SIP Vulnerability
Scanner”, analyse Monsieur Mondher GAM, Directeur Général et Fondateur de
Online Network Security, jeune SSII entièrement spécialisée en Intégration,
Audit , formation et Consulting en Sécurité des Systèmes d’information et de
Réseaux.

 

Aux Snifeurs de réseaux s’ajoute la faible sécurité des protocoles utilisés
par la voix sur IP, que ce soit le H.323 ou le SIP, ces deux protocoles ont
déjà fait l’objet de failles de sécurité.

 

Dès lors qu’il est entré sur le réseau de l’entreprise ou par le biais de
renifleurs, le pirate aura alors accès aux communications de l’entreprise en
plus de ses données. Usurpation d’identité, vols d’informations
confidentielles peuvent mettre la sécurité du réseau en danger. Autre
menace, l’attaque en déni de service qui consiste à surcharger le serveur
Web de requêtes jusqu’à ce qu’il ne puisse plus suivre et s’arrête. Dès
lors, il est envisageable de saturer les réseaux des sociétés équipées en
voix sur IP, bloquant ainsi communications internes, externes mais aussi le
système d’information.

 

Les solutions de réseaux virtuels (VLAN) séparant logiquement les réseaux
entre eux ne résolvent pas non plus le problème. “C’est envisageable mais ça
reste cantonné à l’entreprise. Dès qu’il s’agit de sortir de l’entreprise,
les adresses privés doivent être converties en adresses publiques”, déclare
Monsieur Mondher GAM . Dès lors, la meilleure solution serait de dissocier
le réseau des données de celui de la voix sur IP, une solution coûteuse qui
efface l’un des principaux avantages mis en avant lors d’un tel projet.

 

Dernière menace, mais non des moindres, celles des virus, vers, chevaux de
Troie et autres codes malveillants. S’appuyant sur des failles logicielles
ou matérielles, il est envisageable de voir apparaître de nouveaux virus
ciblant autant les données que les communications de l’entreprise, effaçant
par exemple les communications enregistrées ou les bloquant. Sans aller si
loin, une simple défaillance de matériels VoIP pourrait saturer le réseau
téléphonique d’un opérateur Telecom.

 

Partant de là, certains éditeurs se sont spécialisés dans la sécurisation de
ces nouveaux réseaux. “Puisque les commutateurs VoIP reposent sur des
systèmes d’exploitation classiques, souvent Unix, il faut durcir les
systèmes d’exploitation en limitant au maximum les services inutiles et en
appliquant régulièrement les correctifs de sécurité”, rajoute le jeune
dirigeant de ONS . Dès lors, il convient de relativiser le coût de la mise
en place d’une architecture voix sur IP, très étroitement lié aux dépenses
de sécurité et aux risques encourus en dehors des problématiques de qualité
de service

 

Dans cette perspective , et en vue de mieux connaître les failles relatives
a la Sécurité des réseaux Voix sur IP , la jeune SSII , Online Network
Security, organise un séminaire sur la Sécurisation de la Voix sur IP , qui
aura lieu a l’hôtel Mercure ( Ex- Mechtel) a Tunis du 17 au 20 Juin 2008 et
qui sera anime par Monsieur Paulo Pinto , consultant expert en sécurité de
la Voix sur IP chez Sysdream , partenaire technologique de Online Network
Security.

 

Pour plus de détails, consultez le lien suivant :

http://www.online-netsecurity.com