Actu
La VoIP peut être sécurisée mais pas sans efforts
avril 2008 par Marc Jacob
Durant le salon VoIP - CoIP, au CNIT, une conférence sur la sécurité de la VoIP a été organisée. Elle était animée par Pierre Mangin de Silicon.fr et Guillaume Lehembre, consultant en sécurité chez HSC. Elle a permis de démontrer que la VoIP devait être sécurisée pour éviter de sérieux problèmes de fuite d’informations voire d’autres types de menaces.
En préambule à la conférence Pierre Mangin a rappelé que la VoIP était par essence un système plus fragile que les réseaux télécoms du fait qu’elle utilisait l’Internet. Selon Guillaume Lehembre, les menaces qui planent sur la VoIP sont dans la plupart des cas bien connues : « man in the middle », installation sur le réseau de tout types de malwares : vers, virus, chevaux de Troie, spyware… qui permettent d’installer par exemple des dialers automatiques de surfacturation, des logiciels expions… Toutes attaques peuvent être menées par des pirates plus ou moins expérimentés pour quelques centaines d’euros.
Toutefois, ces problèmes peuvent être évités par l’application de quelques principes de sécurité de base. Guillaume Lehembre a donné quelques bons conseils simples et souvent qui n’alourdissent pas la facture de déploiement de la VoIP :
– Séparer les réseaux entre voix et données
– Durcissement des passerelles entre les réseaux voix et données
– Activation de la sécurité contenue dans les téléphones IP de nouvelles générations.
– Désactivation du protocole non utilisé soit SIP soit H383
– Tous les équipements supportent aujourd’hui le 802.1x. Toutefois, ils sont configurés sans sécurité par défaut.
– Déployer du chiffrement pour les réseaux voix et données. Pour les données, il a conseillé de veiller à ce que le chiffrement n’induise pas un temps de latence supérieur à 150 ms. En effet, dépasser cette durée, il y a une perte de qualité de service avec des problèmes d’écho, ou d’autres problèmes.
– Mettre en œuvre des firewalls et du filtrage sur tous les réseaux. Pour la voix, de même il faut aussi veiller à gérer la qualité de service.
Si le choix se porte sur des solutions IP Centrex, une partie de la sécurité est déportée sur le fournisseur. Cependant, il faut veiller à la sécurité des passerelles et aussi à activer la sécurité des téléphones.
Pour conclure, il a rappelé l’importance de la sensibilisation des administrateurs aux consignes de sécurité. Il a aussi conseillé de faire pratiquer sur les maquettes des audits de sécurité, ou lorsque le déploiement est terminé afin de vérifier si des vulnérabilités subsistent.
