Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Serge Adam, Sonus Networks : Protéger la confidentialité de votre réseau de communications unifiées (UC)

février 2014 par Serge Adam, Vice-président de Sonus Networks pour la zone EMEA

A la suite des révélations sur les programmes d’espionnage de données Tempora et PRISM, la sécurité des télécommunications fait une fois encore les gros titres. Or, pour de nombreux responsables informatiques, la prévention des intrusions sur leur réseau et la protection des données critiques de l’entreprise sont une préoccupation quotidienne, en particulier en ce qui concerne leurs systèmes de VoIP et de communications unifiées.

Fin 2013, une étude réalisée par Sonus auprès de 450 décideurs informatiques de la zone EMEA révèle que le défi numéro un consiste à assurer la sécurité des réseaux et des données. La sécurité informatique vient ainsi en tête des priorités pour 2014, ce qui n’a rien de surprenant compte tenu de la fréquence des cas rapportés d’espionnage de données et d’attaques par déni de service (DoS). Cependant, le fait de négliger la VoIP et les communications unifiées (UC) dans le cadre d’une stratégie de sécurité réseau pourrait encore nettement accentuer les risques.

VoIP et UC sont différentes !

Même si l’entreprise a mis en place un pare-feu (firewall) et un système de prévention d’intrusions à toute épreuve, les vecteurs d’attaque contre les communications en temps réel telles que la VoIP ou SIP sont spécifiques, et les équipements axés sur les données ne sont pas véritablement conçus pour les bloquer.

Contrairement à la transmission simple de données ou aux communications voix TDM, le piratage peut s’effectuer par une interception du signal et/ou du flux média en tout point du circuit de communication entre deux interlocuteurs, donnant accès à d’autres parties du système.

Ces attaques peuvent prendre de multiples formes. Il est possible d’obtenir des informations confidentielles en accédant au réseau sous une fausse identité ou en écoutant des communications privées, tandis que les attaques par fraude au téléphone cherchent à pirater une ligne longue distance à travers une connexion illicite au réseau.

L’analyse des paquets média (sniffing) permet d’enregistrer les appels, d’en modifier la teneur puis de les transmettre à nouveau pour les diffuser sur Internet ou usurper l’identité de l’appelant. Les attaques de type « man in the middle » consistent à se faire passer pour un membre de l’entreprise à l’autre bout du fil.

Les attaques par déni de service (DoS) et par déni de service distribué (DDoS) peuvent paralyser, pendant plusieurs minutes voire des heures entières, un réseau d’entreprise mal protégé en submergeant celui-ci sous le trafic IP. Cependant, la téléphonie IP et les systèmes UC exposent également les entreprises à des attaques TDoS et UCDoS.

Une attaque TDoS prend l’apparence d’appels normaux adressés à l’entreprise. Le signal d’appel et le média paraissent authentiques mais le contenu de l’appel consiste souvent en un message enregistré ou du bruit aléatoire, ou bien des messages continus tentant de mettre fin à l’appel.

Pour un équipement de sécurité classique axé sur les données, qui ne reconnaît pas l’état d’une session ou d’un appel, ces messages IP semblent authentiques, mais leur nombre et leur fréquence peuvent bloquer les communications légitimes.

Réduire l’impact des attaques

Il existe des moyens de contrer et de neutraliser ces attaques, par exemple en veillant au cryptage du signal comme du média, en mettant en place une protection contre les appels malveillants et en établissant des listes noires, blanches et grises.

Le périmètre du réseau peut être sécurisé au moyen de contrôleurs SBC (Session Border Controller) de façon à protéger les communications en temps réel. Ces équipements assurent un contrôle d’admission des appels, une protection contre les attaques DoS et DDoS ainsi qu’un masquage de la topologie, de sorte que celle-ci ne soit pas visible de l’extérieur et ne laisse donc filtrer aucune information susceptible de faciliter l’organisation d’une attaque.

Chaque installation SIP doit elle aussi comporter un cryptage de bout en bout afin d’éliminer tout maillon faible dans la chaîne de communication.

Une stratégie de sécurité réseau digne de ce nom se doit de prendre en compte les systèmes VoIP et UC, de même que toute stratégie de sécurité VoIP doit protéger l’application UC, le terminal et le média proprement dit.

Malheureusement, le souci de la sécurité ne se traduit pas toujours dans les actes. Selon l’enquête menée par Sonus, seules 22 % des entreprises françaises interrogées disposent de solutions de prévention des attaques DoS, bien que les analystes aient prévu qu’un quart d’entre elles seraient des attaques applicatives en 2013. Elles ne sont que 29 % à crypter les paquets ou les signaux, alors que 36% ont commencé ou achevé la mise en place d’un système UC.

Alors que les collaborateurs de l’entreprise sont de plus en plus nombreux à utiliser un nombre croissant d’équipements et que la frontière entre travail et domicile s’estompe, il devient plus important que jamais de comprendre comment sécuriser efficacement les systèmes VoIP, SIP et UC.

La triste réalité est que le piratage est un jeu ou un moyen de gagner de l’argent pour beaucoup. Si vous êtes responsable informatique ou DSI, une attaque bien exécutée peut vous être fatale. Vous n’avez donc d’autre choix que de tout mettre en œuvre pour protéger votre entreprise.




Voir les articles précédents

    

Voir les articles suivants