Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

IP Convergence : La sécurité de la VoIP est un « vœu pieu » !

octobre 2007 par Emmanuelle Lamandé

A mesure que les solutions de VoIP et de convergence gagnent en maturité, la sécurité demeure le principal inhibiteur dans les projets de déploiement. Et pour cause, la sécurité de la VoIP n’existe pas ; c’est « un vœu pieu ». Yves Rodriguez, Responsable Business Développement Data & Sécurité chez Alacatel-Lucent, David Dupré, Responsable Marketing d’Arkoon, Pierre Vallade, Consultant Avant-Ventes d’Avaya, Mauro Israël, RSSI chez Cyber Networks, Bruno Jauffret, Directeur Marketing chez Sparus, ont eu l’occasion de débattre sur ce thème à l’occasion du salon IP Convergence qui s’est tenu la semaine dernière à Paris.

La notion de bout en bout a-t-elle un sens aujourd’hui ? Pour Arkoon, avec la notion de bout en bout, on sort du contexte de réseau traditionnel. On touche à la protection du SI ainsi qu’à la confiance en cette protection de l’information, qui représente la valeur principale. La problématique est grande avec la VoIP. Il est beaucoup plus facile de s’introduire dans le flux. Les utilisateurs n’ont pas l’habitude des écoutes téléphoniques et sont loin d’avoir conscience que cela puisse arriver. Le problème de la disponibilité est également critique avec la VoIP : que se passe-t-il dans une société s’il n’y a plus de téléphone pendant un jour ? Pour David Dupré, la sécurité doit être globale, y compris en termes d’acteurs. Il faut tout d’abord procéder à l’étude du réseau existant, savoir vers où on veut aller et comment faire pour déployer la solution.

Pour Bruno Jaufret, Sparus Software, nous avions déjà l’habitude de protéger le périmètre du réseau avant, aujourd’hui il faut également protéger la disponibilité du SI et ce 24h sur 24h. La question est de savoir ce que l’on veut protéger. Quelles sont les données importantes ? De plus, pour trouver les failles de sécurité selon lui, il suffit de regarder ce qui motive le plus les utilisateurs, les terminaux qui sont les plus attractifs.

La sécurité englobe à la fois la sécurisation des équipements, l’authentification des utilisateurs et la confidentialité des communications, selon Pierre Vallade. Cette dernière partie n’est valable que si elle est faite de bout en bout. Yves Rodriguez met l’accent sur un quatrième facteur : l’aspect comportemental de l’utilisateur. Jusqu’où va l’utilisateur ? Son comportement est-il normal ? Alcatel-Lucent propose un système qui analyse toutes les couches jusqu’à la couche applicative.

Mauro Israël insiste, quant à lui, sur les notions de disponibilité des services téléphoniques, et d’intégrité des messages qui transitent. Combien de communications téléphoniques sont interceptables par les sociétés concurrentes ? Pour lui, la sécurité de la VoIP est un vœu pieu, elle n’existe pas. Elle est aussi utopiste que la protection de « l’environnement ». D’ailleurs, ce n’est pas sa démonstration en temps réel qui contredira cette idée. Un simple aperçu des communications en train de se faire sur le salon au moment même de la conférence en fut la preuve vivante, pourtant la plupart des personnes en train d’appeler faisaient parties d’entreprises de « sécurité ». Majoritairement, l’identifiant apparaissait et le flux n’était pas chiffré. Le chiffrement WPA est solide, tous les autres sont cassables. Première des choses que recommande Mauro Israël, il faut séparer les réseaux ; le réseau téléphonique doit être à part. Il faut, de plus, identifier fortement l’utilisateur qui connecte quelque chose au réseau, utiliser un chiffrement WPA et ne pas afficher l’identifiant. Il conseille de demander des tests d’intrusion dans ses propres équipements.

Problématique majeure que représente le chiffrement aujourd’hui. Chiffrer est nécessaire mais s’apparente souvent à un goulot d’étranglement pour l’entreprise. Que faire alors ? Pour Mauro Israël, il faudrait pouvoir protéger les flux SIP avec un protocole de chiffrement simple. C’est aujourd’hui possible grâce au https de la voix : le ZRTP (Zfone) de Phil Zimmermann. « Nous pouvons aujourd’hui renforcer les architectures VoIP avec un protocole gratuit, qui ne demandera aucune modification sur le matériel. L’open source est la clé de la sécurité ».




Voir les articles précédents

    

Voir les articles suivants