VoIP : une proof of concept fait trembler les utilisateurs

Arnaud Dimberton,

Un expert de la VoIP vient de publier la proof of concept d’un hack qui a de quoi inquiéter les utilisateurs professionnels de cette technologie

La vulnérabilité de la VoIP constitue de plus en plus une menace à mesure que cette technologie est adoptée, notamment en entreprise. De nombreux experts soulignent les dangers potentiels, comme le piratage, le détournement de flux, la surfacturation… Aujourd’hui, une ‘proof of concept’ vient ampporter de l’eau au moulin de ces experts.

Ce hack permettrait en effet à des cybercriminels d’écouter de façon discrète et relativement simple les discussions passant par le protocole internet. Le petit logiciel publié par notre expert est baptisé SIPtap.

Dans les faits, cette application permet de contrôler plusieurs flux qui transitent par de la Voix sur IP (VoIP) . Ce piratage de la ligne permet de récupérer les discussions et de les enregistrer dans un fichier wav.

Pour pirater une ligne de téléphonie sur IP, le hacker doit simplement infecter une machine cible dans un réseau avec un trojan. Selon l’expert en sécurité qui a créé ce programme, l’attaque peut également fonctionner directement au niveau du Fournisseur d’accès.

Particularité du soft, les fichiers récupérés illégalement sont tous classés par utilisateurs, date d’enregistrement, heure, etc. Autant de détails qui peuvent être très intéressants pour des cybercriminels.

SIPtap est très révélateur des dangers associés à l’utilisation de la VoIP. Et montre que désormais les cybercriminels peuvent utiliser les failles de cette technologie. Et les cibles potentielles sont nombreuses: PME, gouvernements, particuliers.

L’expert à l’origine de cette publication est le cofondateur et ancien CTO de BorderWare: Peter Cox. Selon nos informations il a créé cette proof of concept après une série de discussions avec le gourou du cryptage Phil Zimmermann, le créateur de Zfone, une protection contre la récupération de flux VoIP.

« Nous sommes dans les premières années de la VoIP et tous les experts peuvent vous le dire: la VoIP est vulnérable et il faut corriger cela «  explique Peter Cox qui en profite également pour critiquer la naïveté des ingénieurs télécoms à l’origine de systèmes aussi peu sécurisés. « Les sociétés qui utilisent de la VoIP en interne pensent qu’elles sont en sécurité, mais cela est faux. N’importe quel cybercriminel peut un jour venir écouter vos conversations et s’en faire une copie. »

Cox a publié une vidéo sur ce sujet sur ce lien