Les fraudes liées aux PABX-IP sont encore sous-estimées

La gestion de la fraude représente une part importante des activités de la BEFTI, y compris sur les PABX-IP, explique Anne Souvira, Commissaire Divisionnaire, Chef de la BEFTI. En la matière, elle remarque d’ailleurs que les risques juridiques et financiers restent encore mal mesurés au sein des entreprises. Sans compter un défaut d’intérêt certain pour l’installation et la formation, ainsi qu’une absence de surveillance des flux, le plus souvent dans une logique de minimisation des coûts.

Le mode opératoire observé est généralement assez simple. En effet, le piratage s’effectue le plus souvent par l’utilisation de la console de télégestion ou via les fonctions du répondeur, de l’assistant personnel… Souvent, le problème provient juste d’un mot de passe encore beaucoup trop trivial. Le piratage des salles de conférences virtuelles se fait également grâce à l’utilisation de codes d’accès très simples. Les attaquants peuvent ainsi assister à vos réunions en toute discrétion.

Les coûts de ce type de piratage sont dans une majorité des cas extrêmement élevés pour une entreprise. Il faut savoir que tous les opérateurs ne remboursent pas ce type de fraude et qu’ils le feront d’ailleurs de moins en moins à l’avenir.

Pour Anne Souvira, il est essentiel pour une entreprise de surveiller ses prestataires, techniciens… à la fois dans les phases d’installation, mais aussi de maintenance… Le choix de ses prestataires s’avère également primordial. En effet, un installateur agréé n’est pas toujours honnête… Il est, de plus, important de se préoccuper des anomalies en temps réel. Enfin, les portes de télégestion doivent toujours rester fermées, sauf en cas de réelle utilité.

Ecoute, usurpation d’identité, TDoS… les risques sont multiples

Parmi les attaquants menant à bien ce type de piratage, on trouve tout type de profils, remarque Marc Lefebvre, Consultant Sécurité chez Orange. En effet, il peut s’agir tout bonnement du personnel de l’entreprise qui souhaite « faire joujou avec le téléphone », ou de personnes de la société commissionnées pour faire de l’espionnage et obtenir des informations confidentielles. On retrouve, en outre, des attaquants externes ayant la volonté de nuire à l’entreprise, en portant atteinte à la disponibilité notamment, ou juste bercés par l’appât du gain.

Les risques sont, quant à eux, multiples. On retrouve d’ailleurs aussi les risques hérités de la téléphonie « numérique » classique reconduits désormais sur la téléphonie sur IP. Il peut s’agir de :
– Détournement de fonctionnalités téléphoniques légitimes ou malversations sur des protocoles voix et de signalisation ;
– Utilisation du rebond téléphonique ;
– Enregistrement de communications ;
– Usurpation d’identité, via le changement de paquets ;
– Atteinte à la disponibilité, par des attaques DDoS notamment ;
– Aujourd’hui, on retrouve également les TDoS. Il s’agit de SMS Bombing, c’est-à-dire du spam de plateforme téléphonique par l’envoi massif de SMS ;
– Les attaquants utilisent aussi désormais les smartphones, tablettes, messageries instantanées… afin d’intercepter les communications et les messages, de récupérer les contacts, login/mots de passe de comptes (grâce à des outils comme XMPPloit…).
– Sans oublier, bien entendu, Internet, qui permet, dans un cadre de VoIP, d’accéder facilement au réseau de l’entreprise.
– En outre, la problématique liée à la sécurité de téléphonie en mode Cloud mérite, selon lui, d’être posée.

Parmi les principaux scénarios d’exploitation, Joffrey Czarny, Chercheur en sécurité informatique chez EADS, cite pour sa part :
– Ecoute de communications téléphoniques : à titre d’exemple, les flux voix (RTP) non chiffrés permettent de faire de l’écoute de communications.
– Manipulation des flux de signalisation :
• SCCP (redirection d’appels) : une attaque de type Man-in-the-Middle suffit pour injecter un paquet malveillant ;
• Un simple appel malveillant suffit (si l’interlocuteur décroche) pour qu’un attaquant récupère l’identifiant de connexion SIP.
– Ecoute des échanges téléphoniques externes : si on arrive à jouer sur le code MGCP, on peut manipuler la gateway voix. Il rappelle d’ailleurs, à ce sujet, que les gateways sont aussi sensibles que les IPBX.
– Vol d’identité via le vol de l’identifiant de connexion SIP ou via l’usurpation d’adresse Mac : ce type d’attaque met en exergue la trop fréquente négligence concernant les identifiants des téléphones qui sont généralement restés par défaut. Il souligne également les problèmes de mots de passe qui apparaissent en clair dans le code source du téléphone. Un aspect encore trop souvent négligé, même dans le cadre de politique de gestion des mots de passe.
– Enfin, l’abus des fonctionnalités d’un téléphone IP, comme par exemple la prise de contrôle à distance qui peut se faire via Extension Mobility.

Périmètres comme équipements doivent faire l’objet de mesures de sécurisation spécifiques

Stéphane Choquet, Managing Director chez Checkphone, déplore qu’il faille souvent attendre de recevoir sa facture de téléphone pour détecter un quelconque piratage. Le coût s’avère généralement conséquent pour l’entreprise, surtout si l’attaque passe par l’utilisation d’appels surtaxés. Sans compter que ce type d’attaque a généralement lieu le vendredi en fin de journée… Malgré des dommages financiers énormes et une perte de confiance entre les acteurs certaine, la fraude génère toutefois encore peu de plaintes et de procès.

Pour lui, la définition d’une politique de sécurité se doit d’inclure la téléphonie et le déploiement d’une solution de sécurité périmétrique. Protéger sa téléphonie et ses communications unifiées, au même titre que ses données, s’avère, en effet, indispensable. Le déploiement de firewalls voix devient d’ailleurs, selon lui, une nécessité.

Pierre Alexandre Fuhrmann, DG et R&D d’Aastra, insiste, quant à lui, sur la prise en compte des aspects sécurité dès la phase de conception des logiciels. Il recommande également d’essayer de durcir l’OS, de dégraisser autant que faire se peut les librairies et de fermer le maximum de ports. Il conseille, en outre, d’effectuer des tests génériques d’attaques/défenses.

Pour lui, la téléphonie sur IP s’avère cependant beaucoup plus sécurisée que la téléphonie TDM traditionnelle. L’important est de mettre régulièrement à jour ses solutions de ToIP, afin de réduire autant que faire se peut les nouvelles failles de sécurité.