Sécurité des systèmes téléphoniques

Sécurité des systèmes téléphoniques

Souvent, en entreprise, la problématique de "sécurité du système téléphonique" n’est pas une préoccupation majeure et la téléphonie n’est pas toujours intégrée dans la politique de sécurité du système d'information[1]. Les équipes responsables de la téléphonie ne sont pas toujours suffisamment sensibilisées à la sécurité (parfois gérée par les services généraux). De plus en plus, les équipes de la téléphonie et de l'informatique fusionnent grâce à l'arrivée de la téléphonie IP (ToIP), mais les informaticiens, sensibles à la sécurité, ne connaissent pas toujours les problématiques spécifiques à la téléphonie.

Autrefois, les PABX étaient des équipements fermés et difficilement appréhendables, avec des vulnérabilités spécifiques, connues des experts et des pirates. Aujourd’hui, avec la VoIP, les PABX (ou IPBX) sont aussi de vrais serveurs informatiques sur lesquels on trouve une application de téléphonie[2]. Ils fonctionnent sur des systèmes d’exploitation connus, raccordés aux réseaux informatiques et ont la même problématique de sécurité que tout autre serveur. À ceci près qu’on y ajoute les vulnérabilités spécifiques à la téléphonie, qui n’ont pas disparues.

La convergence voix-données hérite des vulnérabilités de la téléphonie traditionnelle ainsi que des vulnérabilités du monde IP[3].

Sommaire

Les cinq grandes menaces qui pèsent sur le réseau téléphonique[4],[5],[1]

L'écoute illégale

Cette pratique consiste à détourner le systèmes téléphonique dans le but d'écouter illégalement des conversations téléphoniques.

Exemples de pratiques :

  • Utilisations abusives des fonctions d’écoute.
  • Accès frauduleux aux systèmes de Messagerie Vocale.
  • Usurpations d'identités.
  • Enregistrements illicites de conversations.

Impacts:

  • Espionnage :
    • Identification des contacts (clients, partenaires, fournisseurs, …).
    • Vols de brevets, technologies.
    • Stratégies d’entreprise divulguées.
    • Opérations sensibles connues (projets de fusion/acquisition).
  • Divulgation publique d’informations confidentielles.
  • Atteinte au respect de la vie privée.

La fraude téléphonique

Cette pratique consiste à téléphoner gratuitement et à tirer profit du système téléphonique d'une entreprise.

Exemples de pratiques :

  • Utilisation abusive du service de téléphonie (fonction DISA, …).
  • Piratage des messageries vocales accessibles depuis l'extérieur dans le but d'activer des fonctions de renvoi d'appels vers l'extérieur.
  • Renvois vers des numéros surtaxés, à l’étranger le plus souvent.
  • Revente des communications à des tiers.

Impacts :

  • Surfacturation téléphonique importante.
  • Temps perdu à rechercher la source du problème.

Le déni de service

Cette pratique vise à rendre le système téléphonique indisponible.

Exemples de pratiques :

  • Sabotage de l’autocommutateur.
  • Saturation des liens opérateurs (flood).
  • Attaques protocolaires sur le PABX et les téléphones.
  • Augmentation du temps de réponse des équipements de téléphonie (atteinte à la QoS).
  • Re-routage de trafic ou transfert illicite d’appels, rebonds automatiques.
  • Interception abusive d’appels, ou de fax.

Impacts :

  • Indisponibilité du service de téléphonie.
  • Plainte de clients ou de tiers.
  • Atteinte à la notoriété.
  • Perte de chiffre d’affaires.
  • Contrats commerciaux perdus.

Les intrusions sur le système informatique

Ces sont des manœuvres visant à pénétrer sur le système informatique à partir du système téléphonique, par rebond.

Exemples de pratiques :

  • Depuis l’extérieur: piratage des modems de télémaintenance, ou des modems internes (Wardialing, puis pénétration du réseau).
  • Depuis l’intérieur: utilisation des lignes analogiques (des fax, par exemple) pour établir des connexions pirates vers Internet dans le but d’outrepasser la politique de sécurité Internet (filtrage Web).
  • Modems « fantômes » ou modems « oubliés », programmes « Dialers ».

Impacts :

  • Création de porte dérobée (Backdoor), Interconnexion clandestine d’Internet avec le réseau d’entreprise : porte d’entrée pour les pirates, virus, malwares, chevaux de Troie, etc…
  • Fuites, détournement d’informations…

Le cas des Softphones

Un softphone est un type de logiciel utilisé pour faire de la téléphonie par Internet. Il nécessite que le poste de travail ait accès au réseau voix (généralement dissocié du réseau de données pour des raisons de sécurité).

Problématique :

  • Difficulté à cloisonner les réseaux « voix » et « données » sur les postes équipés de softphones.

Impacts :

  • Perméabilité entre les deux réseaux.
  • Possibilité de lancer des attaques sur le réseau Voix depuis un poste de travail doté d’un softphone.
  • Propagation de virus, et autres programmes malveillants entre les réseaux.

Des conséquences graves pour l‘Entreprise[6].

  • Conséquences financières.
  • Conséquences sur la notoriété.
  • Conséquences pénales pour les dirigeants : articles 121-2 et 226-17 du code pénal.

Les solutions[5],[1]

Il faut avant tout prendre conscience du problème, puis sécuriser son système téléphonique.

Intégrer la téléphonie dans le référentiel de sécurité de l'entreprise

  • Disposer d'une politique de sécurité "voix" et l'appliquer.
  • Intégrer la téléphonie dans les Rapports et Tableaux de Bords de Sécurité du Système d'Information (TBSSI).

Protéger ses équipements (PABX, IPBX, ...)

  • Réaliser des audits réguliers et des analyses de configurations (manuellement ou à l'aide d'outils automatiques spécialisés).
  • Vérifier régulièrement l'activation des fonctions "sensibles".
  • Suivre les modifications de configuration (utilisation d'outils de détection des modifications).
  • Sécuriser les accès aux équipements télécoms, aux consoles de gestion et aux modems de télémaintenance (détecter et journaliser les accès).

Protéger le réseau téléphonique

  • Mettre en place des moyens d’analyse de trafic (VoIP : interne/externe, et ISDN : T0/T2/E1).
  • Utiliser des IDS/IPS spécialisés Voix permettant la détection d’anomalies et la protection contre les attaques.
  • Découvrir les modems « fantômes » ou « pirates » de l’entreprise, les éradiquer.
  • Cloisonner les postes disposant de softphones en filtrant les flux au plus tôt (marquage VLAN des flux voix).
  • Surveiller le réseau Voix, en temps réel, et émettre des alertes de sécurité lors de détection d’anomalies.

Garantir la traçabilité des événements

  • Permettre, si nécessaire, l’accès aux informations relatives aux communications passées (numéro appelant/appelé, date & durée, type d’appel: voix, fax, modem, …).
  • Archiver régulièrement les configurations des PABX.
  • Journaliser les actions menées par les utilisateurs des outils de sécurisation (nom, adresse IP, date de l’action, nature de l’action).

Notes et références

Voir aussi

Liens externes


Wikimedia Foundation. 2010.

Contenu soumis à la licence CC-BY-SA. Source : Article Sécurité des systèmes téléphoniques de Wikipédia en français (auteurs)

Игры ⚽ Нужен реферат?

Regardez d'autres dictionnaires:

  • Sécurité des systèmes d'information — La sécurité des systèmes d’information (SSI) est l’ensemble des moyens techniques, organisationnels, juridiques et humains nécessaire et mis en place pour conserver, rétablir, et garantir la sécurité du système d information. Assurer la sécurité… …   Wikipédia en Français

  • Directeur des systèmes d'information — Pour les articles homonymes, voir DSI. Le directeur des systèmes d information (DSI) d une organisation (entreprise, association, etc.) est responsable de l ensemble des composants matériels (postes de travail, serveurs, équipements de réseau,… …   Wikipédia en Français

  • Directeur Des Systèmes D'information — Pour les articles homonymes, voir DSI. Le directeur des systèmes d information (DSI) d une organisation (entreprise, association, etc.) est responsable de l ensemble des composants matériels (postes de travail, serveurs, équipements de réseau,… …   Wikipédia en Français

  • Directeur des systemes d'information — Directeur des systèmes d information Pour les articles homonymes, voir DSI. Le directeur des systèmes d information (DSI) d une organisation (entreprise, association, etc.) est responsable de l ensemble des composants matériels (postes de travail …   Wikipédia en Français

  • Direction des systèmes d'information — Directeur des systèmes d information Pour les articles homonymes, voir DSI. Le directeur des systèmes d information (DSI) d une organisation (entreprise, association, etc.) est responsable de l ensemble des composants matériels (postes de travail …   Wikipédia en Français

  • Sécurité de l'information — La sécurité de l information est un processus visant à protéger des données. La sécurité de l information n est confinée ni aux systèmes informatiques, ni à l information dans sa forme numérique ou électronique. Au contraire, elle s applique à… …   Wikipédia en Français

  • Systèmes UNIX — UNIX UNIX (marque déposée officiellement comme UNIX, parfois aussi écrit comme Unix avec les petites capitalisations) est le nom d un système d exploitation multitâche et multi utilisateur créé en 1969, conceptuellement ouvert et fondé sur une… …   Wikipédia en Français

  • Systèmes Unix — UNIX UNIX (marque déposée officiellement comme UNIX, parfois aussi écrit comme Unix avec les petites capitalisations) est le nom d un système d exploitation multitâche et multi utilisateur créé en 1969, conceptuellement ouvert et fondé sur une… …   Wikipédia en Français

  • Commission nationale de l'informatique et des libertés — Région France Devise : L informatique doit respecter l identité humaine, les droits de l homme, la vie privée et les libertés …   Wikipédia en Français

  • Liste des normes de l'Union internationale des télécommunications — Les normes et recommandations principales de l UIT T sont : Sommaire 1 A Organisation du travail de l UIT T 2 B Signification des expressions : définitions, symboles, classification 3 C Statist …   Wikipédia en Français

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”