Jean-Christophe Touvet, Bull Services : « La ToIP cumule tous les risques »
Aux risques de la téléphonie traditionnelle, la téléphonie sur IP ajoute ceux de l’IP et du système d’information. D’où l’utilité de la faire auditer
Parallèlement à son activité Evidian d’éditeur de solutions de gestion des accès et des identités, le groupe Bull développe et renforce ses services de conseil et d’audit en sécurité web, réseau et téléphonie sur IP. C’est une activité en plein essor. « Nous étiez étions trois auditeurs techniques, il y a deux ans, indique Jean-Christophe Touvet, consultant senior. Aujourd’hui, nous sommes une dizaine. »
L’unité intervient dans les grands comptes principalement, mais rarement dès la mise en oeuvre d’un réseau de téléphonie sur IP. « Les grandes entreprises n’aiment pas faire auditer tout de suite une installation qui leur a coûté cher, de peur de faire apparaître des failles inattendues », observe le consultant, auparavant cofondateur d’EdelWeb, société spécialisée dans la sécurisation des réseaux et applications TC/IP. Pour autant, elles ne sont pas exemptes de doutes. Elles finissent donc quand même par faire appel à un expert externe. Et bien sûr, les tests d’intrusion révèlent toujours des failles, malgré les précautions prises.
La ToIP, en effet, cumule les risques de la téléphonie traditionnelle, de l’IP et du système d’information. Elle est sujette aux attaques internes, par le Lan, comme aux attaques externes, par l’internet. Les attaques internes permettent l’écoute, la fraude sur les appels internationaux, la redirection ni vu ni connu des trames sur un PC par le biais d’un téléphone ou d’un routeur… Et cela d’autant plus aisément que les protocoles de la téléphonie sur IP (RTP, SIP, H.323, MGCP, Skinny et UADP ou propriétaires) ne sont jamais sécurisés en standard. Les attaques externes, elles, sont d’un autre ordre. Elles exploitent les vulnérabilités non corrigées des serveurs web et de ToIP ainsi que de leurs systèmes d’exploitation pour propager des vers et des virus, bloquer les serveurs…
Les défenses sont classiques : cloisonner les flux voix et données par VLAN, mettre les serveurs ToIP en DMZ, déployer une gestion de la qualité et des classes de services, prévoir des liens TDM de secours, durcir les configurations et la politique de mise à jour des composants, de même que l’administration, la supervision, la mesure de la qualité de service…
Mais Jean-Christophe Touvet met également en garde contre l’inefficacité de l’encapsulation 802.1Q ; les failles dans les équipements SNMP ; les commutateurs d’entrée de gamme, qui n’ont pas les fonctions DAI, DHCP Snooping et Port Security ; les risques d’interception via la gestion des liens de secours ou encore via les IPphones alimentés par une prise Ethernet. Sauf dans les cas des réseaux fermés des centres de contacts, il déconseille l’emploi des softphones, « car ils facilitent les attaques par rebond, puisqu’ils obligent à décloisonner les réseaux voix et données ». Un chiffrement de la signalisation, sans chiffrement de la voix, par contre, peut apporter une protection suffisante : « il ne coûte pas cher et ne ralentit pas les échanges ».
« Toutes les failles, résume Jean-Christophe Touvet, peuvent être corrigées par une bonne architecture, qui garantira également la disponibilité. Mais c’est à chaque d’entreprise de se déterminer en pleine connaissance des risques qu’elle encourt. »
