Guide PABX PDF

PREMIER MINISTRE
Secrtariat gnral de la dfense nationale
Issy les Moulineaux, le n /SGDN/DCSSI/SDO/BAS
Direction centrale de la scurit des systmes dinformation
Recommandations de scurisation Autocommutateur tlphonique
Informations
Nombre de pages du document : 43
Evolution du document : Version 0.1 Rdaction Laurent Estieux Validation DCSSI Philippe Brandt Date
N /SGDN/DCSSI/SDO/BAS
Page 2 sur 43
Table des matires

1 Introduction 1.1 1.2 1.3 1.4 Objectifs des recommandations . . . . . . . . . . . . . . . . . . . . . . . . qui sont destines ces recommandations . . . . . . . . . . . . . . . . . Structure de ce document . . . . . . . . . . . . . . . . . . . . . . . . . . . Rappels juridiques sur lutilisation et lexploitation dun autocommutateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 7 7 7 7 9 10 10 10 11 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 11 12 12 12 12 12 13 13 13 13 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 13 14 14 14 14 14 15 15 15 15 15 15 16 16 16 17 18 18 18
2 3
Avertissements Pr-requis 3.1 3.2 Matriels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Connaissances ncessaires . . . . . . . . . . . . . . . . . . . . . . . . . . .
Prsentation des autocommutateurs 4.1 4.2 4.3 Dnition dun autocommutateur . . . . . . Composants dun autocommutateur . . . . . Intervenants sur un PABX . . . . . . . . . . . 4.3.1 Le constructeur . . . . . . . . . . . . . . . . . 4.3.2 Linstallateur/vendeur . . . . . . . . . . . . . 4.3.3 Le mainteneur et/ou le tl-mainteneur . . . 4.3.4 Ladministrateur courant . . . . . . . . . 4.3.5 Les usagers ou les abonns . . . . . . . . . . 4.3.6 Les postes oprateurs . . . . . . . . . . . . . 4.3.7 Loprateur de tlcommunication . . . . . .
Principaux risques dun autocommutateur 5.1 Les besoins de scurit . . . . . . . . . . . . . 5.1.1 La disponibilit . . . . . . . . . . . . . . . . . 5.1.2 Lintgrit . . . . . . . . . . . . . . . . . . . . 5.1.3 La condentialit . . . . . . . . . . . . . . . . 5.2 La menace . . . . . . . . . . . . . . . . . . . . . 5.2.1 La menace interne . . . . . . . . . . . . . . . 5.2.2 La menace lie la sous-traitance . . . . . . 5.2.3 Les services de renseignements . . . . . . . . 5.2.4 La dlinquance informatique but lucratif . . 5.2.5 Les pirates . . . . . . . . . . . . . . . . . . . 5.3 Les impacts . . . . . . . . . . . . . . . . . . . . 5.3.1 Perte dexploitation . . . . . . . . . . . . . . 5.3.2 Pertes nancires . . . . . . . . . . . . . . . . 5.3.3 Impact juridique . . . . . . . . . . . . . . . . 5.3.4 Notorit . . . . . . . . . . . . . . . . . . . . 5.4 Les victimes . . . . . . . . . . . . . . . . . . . .
6 7
Politique gnrale de la scurit des systmes dinformation Principes fondamentaux de la SSI 7.1 Dvelopper et implmenter une dfense en profondeur . . . . . . . . . . 7.1.1 La scurit des locaux et la sret de fonctionnement . . . . . . . . . . . . .
Page 3 sur 43
7.1.1.1 Ce quil faut prendre en compte prioritairement sur les lots techniques La dfense au niveau du rseau . . . . . . . . . . . . . . . . . . . . . . . . . 7.1.2.1 Utilisation de commutateurs . . . . . . . . . . . . . . . . . . . . . 7.1.2.2 Mise en place doutils de dtection dintrusion . . . . . . . . . . . 7.1.3 La dfense au niveau des htes . . . . . . . . . . . . . . . . . . . . . . . . . 7.1.4 La dfense au niveau des applications . . . . . . . . . . . . . . . . . . . . . 7.1.5 La dfense au niveau des donnes . . . . . . . . . . . . . . . . . . . . . . . . 7.2 Principe du moindre privilge . . . . . . . . . . . . . . . . . . . . . . . . . 7.1.2 8 Scuriser : mesures gnrales 8.1 8.2 8.3 Relev de conguration . . . . . . . . . . . . . Emploi de mots de passe complexes . . . . . Administration du systme . . . . . . . . . . . 8.3.1 Administration locale . . . . . . . . . . . . . 8.3.2 Administration distante . . . . . . . . . . . . 8.3.2.1 Terminal Services . . . . . . . . . . 8.3.2.2 SNMP . . . . . . . . . . . . . . . . 8.3.2.3 Tlmaintenance . . . . . . . . . . . 8.4 Condentialit des communications sensibles Scuriser : mesures spcifiques 9.1 Accs physique aux organes de tlcommunication . . . . . . . . . . . . 9.1.1 Accs aux locaux PABX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9.1.2 Remarques sur les risques dincendie, de dgts des eaux et de perte dnergie lectrique relatives aux PABX . . . . . . . . . . . . . . . . . . . . . . . . . . 9.1.3 Distribution des lignes tlphoniques . . . . . . . . . . . . . . . . . . . . . . Accs par un terminal local dadministration . . . . . . . . . . . . . . . . 9.2.1 Protection physique des terminaux dadministration . . . . . . . . . . . . . 9.2.2 Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9.2.3 Protection logique des terminaux dadministration . . . . . . . . . . . . . . 9.2.4 Journalisation, imputabilit et accs concurrentiels . . . . . . . . . . . . . . Accs par les consoles opratrices . . . . . . . . . . . . . . . . . . . . . . . Accs par le rseau tlphonique public . . . . . . . . . . . . . . . . . . . 9.4.1 Ligne de tlmaintenance . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9.4.1.1 Utilisation de modem avec authentication . . . . . . . . . . . . . 9.4.1.2 Numro de tlmaintenance . . . . . . . . . . . . . . . . . . . . . . 9.4.1.3 Existence de procdures de tlmaintenance . . . . . . . . . . . . . 9.4.2 Messagerie vocale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Accs par le rseau informatique . . . . . . . . . . . . . . . . . . . . . . . Gestion des sauvegardes . . . . . . . . . . . . . . . . . . . . . . . . . . . . Programmation des PABX . . . . . . . . . . . . . . . . . . . . . . . . . . . 9.7.1 Substitution . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9.7.2 Entre en tiers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9.7.3 Renvois sur numros externes . . . . . . . . . . . . . . . . . . . . . . . . . . 9.7.4 DISA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9.7.5 Poste ctif . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9.7.6 Justication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9.7.7 Messagerie vocale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9.7.8 Cadenas ou verrouillage des postes . . . . . . . . . . . . . . . . . . . . . . . 9.7.9 Accs au rseau public . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9.7.10 Aboutement de rseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
19 21 21 21 21 21 22 22 23 23 23 25 25 25 25 25 25 26 27 27 27 27 27 28 28 28 28 28 29 29 29 30 30 30 31 32 32 32 32 33 33 33 34 34 35 35 35 35
9.2
9.3 9.4
9.5 9.6 9.7
Page 4 sur 43
10 Maintenir le niveau de scurit : mesures gnrales 10.1 Rgles dexploitation . . . . . . . . . . . . . . . . . . . 10.1.1 Gestion des correctifs de scurit (serveurs et clients) . 10.1.2 Ralisation de ches rexes pour grer les alertes . . 10.1.3 Formation . . . . . . . . . . . . . . . . . . . . . . . . . 10.1.4 Gestion des comptes et des mots de passe . . . . . . . 10.1.5 Serveur de secours et de test . . . . . . . . . . . . . . 10.1.6 Gestion des sauvegardes . . . . . . . . . . . . . . . . . 10.1.7 Gestion des lments temporaires . . . . . . . . . . . . 10.2 Mise jour de la PSSI . . . . . . . . . . . . . . . . . . 10.3 Audits de scurit . . . . . . . . . . . . . . . . . . . . . 11 Annexes 11.1 Points vrier gnraux . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.1.1 Mesures gnrales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.1.2 Environnement rseau informatique . . . . . . . . . . . . . . . . . . . . . . 11.1.3 Environnement rseau tlphonique . . . . . . . . . . . . . . . . . . . . . . 11.1.4 Systme dexploitation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.1.4.1 Conguration du systme dexploitation de lautocommutateur . . 11.1.4.2 Conguration du systme dexploitation des lments dadministration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.2 lments pratiques relatifs aux autocommutateurs Alcatel . . . . . . . 11.2.1 Catgories dexploitation . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.2.1.1 Substitution . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.2.1.2 Entre en tiers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.2.1.3 Renvois sur numro externe . . . . . . . . . . . . . . . . . . . . . . 11.2.2 Zones de discrimination . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.2.3 Catgories daccs au rseau public . . . . . . . . . . . . . . . . . . . . . . . 11.2.4 Paramtres particuliers des postes utilisateurs . . . . . . . . . . . . . . . . . 11.2.4.1 Postes ctifs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.2.4.2 Postes non justis . . . . . . . . . . . . . . . . . . . . . . . . . . 11.2.4.3 Code daccs par dfaut . . . . . . . . . . . . . . . . . . . . . . . . 11.3 lments pratiques relatifs aux autocommutateurs Matra . . . . . . . . 11.3.1 Classes de facilits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.3.1.1 Substitution/Interception . . . . . . . . . . . . . . . . . . . . . . . 11.3.1.2 Entre en tiers/intrusion . . . . . . . . . . . . . . . . . . . . . . . 11.3.2 Paramtres particuliers des postes utilisateurs . . . . . . . . . . . . . . . . . 11.3.2.1 Cadenas ou verrouillage des postes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
36 36 36 36 36 36 37 37 37 37 37 39 39 39 39 39 39 39 40 40 40 40 40 41 41 41 41 41 42 42 42 42 42 42 43 43
Page 5 sur 43
Table des figures
Page 6 sur 43
1
1.1
Introduction
Objectifs des recommandations
Ce guide a pour vocation daider scuriser un autocommutateur (PABX1 ) laide de recommandations bases sur ltat de lart.
1.2
qui sont destines ces recommandations
Ces recommandations sont destines principalement aux administrateurs, responsables de la scurit des systmes dinformation et en gnral toute personne ou organisation voulant scuriser ou vrier la scurisation dun autocommutateur. En particulier ce guide nest pas un guide dadministration dun autocommutateur.
1.3
Structure de ce document
Ce document est scind en plusieurs parties : Partie 1 : introduction gnrale aux recommandations ; Partie 2 : mise en garde sur lapplication de ces recommandations ; Partie 4 : courte prsentation des autocommutateursi ; Partie 5 : relev non exhaustif des principales vulnrabilits lies lautocommutateur ; Partie 6 : rappel non technique sur lorganisation de la scurit dun systme dinformation ; Partie 7 : rappel des principes fondamentaux de la scurit dun systme dinformation ; Partie 8 : recommandations gnrales sur la scurisation dun systme dinformation et de serveurs ; Partie 9 : recommandations spciques la scurisation dun autocommutateur ne mettre en oeuvre quune fois, linstallation du systme ou lors de la premire mise en application de ce document ; Partie 10 : recommandations gnrales sur les oprations mener pour conserver un bon niveau de scurisation dans le temps ; Partie 11 : lments techniques complmentaires, comme des listes de contrle.
1.4
Rappels juridiques sur lutilisation et lexploitation dun autocommutateur
Ce document a, avant tout, une approche technique des systmes dautocommutateurs. Les dirents points dordre juridique qui sont prsents dans ce chapitre ne sont quindicatives et doivent tre dveloppes par un service juridique spcialis qui fournira une expertise qui dpasse le cadre de ce document. Les autocommutateurs manipulent une correspondance entre des numros de tlphone et des postes tlphoniques associs des personnes. De ce fait, il sagit dun systme eectuant un traitement automatis de donnes nominatives ce qui, conformment la loi n 78-17 du 6 janvier 1978 dite Loi informatique et liberts , ncessite une dclaration auprs de la CNIL2 . La CNIL propose sur son site un ensemble de documents vous permettant dclaircir vos droits et obligations attachs la mise en place et ladministration dun PABX : loi Informatique et Liberts n 78-17 du 6 janvier 1978 ; note dinformation La mise en place dautocommutateurs tlphoniques disponible ladresse http://www.cnil.fr/thematic/docs/entrep/trauto1a.pdf ; dlibration n 94-113 du 20 dcembre 1994 (norme simplie n 40) consultable ladresse http://www.cnil.fr/textes/normes/ns401a.htm
1 Private 2 CNIL
Automatic Branch eXchange : Commission Nationale de lInformatique et des Liberts
Page 7 sur 43
Une directive europenne (directive 95/46/CE du 24 octobre 1995) vient complter lencadrement du traitement automatis dinformations nominatives et devrait se voir transcrite dans le droit franais prochainement. Dautre part, les conversations tlphoniques pouvant avoir un caractre personnel et intime, lenregistrement des conversations, ou coutes tlphoniques, est lgalement trs fortement encadr, et, sauf de trs rares exceptions, ne doivent se rencontrer dans aucune entit. La CNIL rappelle dans sa note dinformation Les coutes tlphoniques sur le lieu de travail , disponible ladresse http://www.cnil.fr/thematic/docs/entrep/trecou1b.pdf, lensemble des dispositifs lgislatifs encadrant ces pratiques (code pnal, code du travail) en mentionnant, entre autres, la loi 91-646 du 10 juillet 1991 relative au secret des correspondances. Cette interdiction dcouter les conversations tlphoniques nempche cependant pas denregistrer les donnes techniques dune conversation mme personnelle, pour des nalits de gestion de ressources, dont une liste dtaille est dveloppe larticle 3 de la norme simplie n 40 de la CNIL avec, par exemple : numro de lappelant ; numro de lappel ; dure de la conversation ; date et heure du dbut de communication ; type de communication (voix, donnes, fax). Lensemble du personnel doit cependant tre inform par lintermdiaire dun rglement des traitements connexes au systme tlphonique susceptibles dtre eectus (facturation, analyse de qualit). Ce rglement devra avoir bien entendu t pralablement soumis aux partenaires sociaux dans le cadre dun comit dentreprise ou dun comit technique paritaire.
Page 8 sur 43
Avertissements
La responsabilit du choix et de la mise en oeuvre des recommandations proposes dans ce document incombe au lecteur de ce guide. Il pourra sappuyer sur la politique de scurit du systme dinformation et sur les rsultats dune analyse des risques de la scurit des systmes dinformation pour dterminer les recommandations les plus pertinentes. Le lecteur devra galement raliser des tests exhaustifs an de vrier ladquation de ces recommandations avec son contexte particulier. Vu la nature volutive des systmes dinformation et des menaces portant sur ceux-ci, ce document prsente un savoir-faire un instant donn et a pour ambition dtre rgulirement amlior et complt. Vos commentaires sont les bienvenus. Vous pouvez les adresser ladresse postale suivante : Bureau Audits en SSI SGDN/DCSSI/SDO/BAS 51, boulevard de la Tour-Maubourg 75700 Paris 07 SP
Page 9 sur 43
3
3.1
Pr-requis
Matriels
Le lecteur, sans tre un spcialiste des tlcommunications, devra connatre certains lments spciques des quipements quil utilise : vocabulaire, fonctionnalits, etc. . .Le guide tente de traiter le problme des PABX de manire gnrale, et, titre dannexe fournit des lments dinformation particuliers aux autocommutateurs Alcaltel.
3.2
Connaissances ncessaires
Le lecteur devra tre familier avec le vocubalaire relatif aux tlcommunications, la notion de rseau quil soit tlphonique ou informatique. Les parties plus techniques ncessiteront des connaissances relatives ladministration dun autocommutateur.
Page 10 sur 43
Prsentation des autocommutateurs
Lobjet de cette partie du document est de dnir, de manire gnrale, le vocabulaire et les notions de bases attachs ladministration dun autocommutateur (PABX).
4.1
Dnition dun autocommutateur
Dun point de vue fonctionnel, les autocommutateurs privs (ou PABX) sont des dispositifs chargs principalement dassurer la commutation tlphonique dun rseau tlphonique priv. Ils se distinguent des autocommutateurs publics, grs par les oprateurs tlphoniques, par le fait quils assurent la commutation tlphonique au sein de lentit tout en permettant son raccordement sur le rseau public. Ils permettent ainsi dorir un grand nombre de fonctionnalits inexistantes, ou peu rpandues sur le rseau tlphonique commut public (RTCP3 ) : messagerie vocale, standard tlphonique intgr, redirection dappels dynamique, accs distant au poste, etc. . . Dun autre point de vue, un autocommutateur est galement un systme dinformation : tous les outils de conguration, les services proposs ainsi que la commutation de communications sont des applicatifs sexcutant sur un systme dexploitation. Ces systmes dexploitation sont gnralement soit inaccessibles (masqus par des codes propritaires non documents) soit des systmes temps rel connus dont le niveau de scurit quivaut des systmes dexploitation de type UNIX datant des annes 90.
4.2
Composants dun autocommutateur
Un autocommutateur est donc nalement un systme informatique avec certaines spcicits matrielles et logicielles lies la destination de ce type de produit : la tlphonie. Une trs grande modularit des dispositifs est ncessaire de manire pouvoir suivre lvolution des besoins (en terme de dimensionnement ou de fonctionnalits). Larchitecture matrielle dire donc des systmes informatiques classiques. On trouve un fond de panier prsentant un bus classique permettant le dialogue des sous-systmes classiques informatiques (processeur, mmoire, disques, etc. . .) ainsi quune matrice de commutation, assurant une liaison rapide entre toutes les cartes priphriques destines au raccordement des lments tlphoniques. Sur ce fond de panier viennent se greer un certain nombre de cartes : une ou plusieurs cartes CPU4 comportant principalement un processeur charg de lexcution du systme dexploitation et de tous les applicatifs. Lutilisation de plusieurs cartes permet deectuer une rpartition de la charge sur de gros systmes ou de maintenir la disponibilit du service malgr un incident sur une carte CPU ; une carte disque dur permettant deectuer une sauvegarde sur ce support de tous les lments de conguration du systme dexploitation et des paramtres de lautocommutateur. La prsence de cette carte est facultative et ne se rencontre que sur les PABX haut de gamme, ayant un volume consquent de donnes stocker. En labsence de carte disque dur, le stockage peut galement tre assur par une PROM5 ; une ou plusieurs cartes dinterface permettant linterconnexion au rseau public, appeles carte MIC6 . Leur nombre varie principalement en fonction du nombre maximal de communications simultanes que lentit peut tablir ; une ou plusieurs cartes dinterface numrique permettant la connexion des dirents postes numriques de lentit. En gnral, le protocole de communication entre ces postes et le PABX est propritaire. Ceci explique pourquoi les postes tlphoniques sont directement lis au modle de lautocommutateur. Le mode de communication est parfois numrique entre le poste et le PABX ce qui ne permet cependant pas de se protger ecacement face une coute avec du matriel adquat ;
3 RTCP 4 CPU
: Rseau Tlphonique Commut Public : Central Processing Unit 5 PROM : Programmable Read-Only Memory 6 MIC : Modulation Impulsions de Codage
Page 11 sur 43
une ou plusieurs cartes dinterface permettant le raccordement dquipements ncessitant une communication analogique de bout en bout (fax analogiques ou tlphones classiques) dites interfaces Z ; une ou plusieurs cartes fournissant un service particulier tel la messagerie vocale (MEVO) ; une carte modem permettant un accs distant via le RTCP pour administrer le PABX. Ce dispositif peut ventuellement tre externe lautocommutateur, tout comme certains applicatifs ddis, et reli par une liaison srie ; une carte de taxation permettant de rapatrier depuis le PABX les informations de taxation (facturation) sur une console dporte. Ce transfert se dit au l de leau dans le cas dune rplication en temps rel de la taxation sur cette console dporte. Dans le cas contraire, la console de taxation demande (sur action de ladministrateur) le rapatriement de lensemble de la taxation qui tait stocke sur le PABX. La communication entre ces deux lments peut se faire par un lien V24 ou ethernet ; ...
4.3
4.3.1
Intervenants sur un PABX

Le constructeur
Son rle se limite la construction du matriel (autocommutateur, cartes priphriques, postes tlphoniques). Il fournit galement une documentation dutilisation de son matriel. Il est rare que le constructeur vende directement son matriel et assure le service aprs-vente auprs de lutilisateur ou ladministrateur nal. 4.3.2 Linstallateur/vendeur
Son rle consiste conseiller son client lors de lachat dun autocommutateur. Il diligente des tudes de dimensionnement, eectue les achats et met en service lautocommutateur auprs de son client. Cest lintermdiaire principal entre le client et le constructeur au cours de lachat. Cest lui qui devrait sassurer (dans le cas dun matriel neuf) de la bonne conguration du matriel fourni du point de vue de la scurit et ce, en adquation avec les objectifs de scurit exprims par le client. Il doit communiquer cette conguration au client. 4.3.3 Le mainteneur et/ou le tl-mainteneur
Son rle consiste eectuer la maintenance de lautocommutateur au cours de son exploitation. Le mainteneur et linstallateur sont souvent la mme entit, surtout lors du premier contrat de maintenance. Il assure en particulier le service aprs-vente en cas de dysfonctionnement du produit ainsi que la mise jour logicielle et/ou matrielle du produit. Ses domaines de comptence peuvent tre largis mais sont xs contractuellement dans le contrat de maintenance. Dans le cas o lentit cliente possde des ressources humaines ayant des comptences de maintenance du produit quelle a achet, elle peut elle-mme raliser cette tche en tant en contact avec un installateur ou le constructeur pour rcuprer les mises jour. Dans le cas contraire, ces tches sont le plus souvent ralise distance par le prestataire, via tl-maintenance avec tous les risques lis ladministration distante dun systme dinformation. Le contrat de maintenance doit, dans la mesure du possible, comprendre des protocoles de transmissions dinformations relatives la scurit du SI : journaux, relevs dincidents, etc. . . 4.3.4 Ladministrateur courant
Son rle consiste eectuer ladministration courante de lautocommutateur : cration de nouveaux postes, aectation de droits sur les postes, etc. Si lentit cliente ne possde pas de ressources humaines possdant une expertise dans le domaine, cette partie peut-tre sous-traite, par exemple, auprs du mainteneur. Cependant, il nest pas rare que ces tches soient eectues en interne. Mme sil sagit de tches simples raliser, ladministrateur doit gr son systme avec la rigueur et la mthode de lexploitant dun SI sensible.
Page 12 sur 43
4.3.5
Les usagers ou les abonns
Ce sont les utilisateurs du tlphone. Les problmes rencontrs par ces personnes doivent tre examins par ladministrateur courant ou le mainteneur pour des problmes non triviaux. Ce type dutilisateur ncessite simplement de savoir manipuler son poste tlphonique. Les utilisateurs nont aucun besoin dinteragir directement avec le PABX : les oprations courantes sont eectues par le biais de leur tlphone (accs la messagerie vocale, redirection de lignes, etc. . .). 4.3.6 Les postes oprateurs
Leur rle consiste principalement mettre en relation des personnes au niveau dun standard par exemple. Par ce fait, ces postes interagissent directement avec le PABX ce qui peut reprsenter un risque. Ce dernier sera bien sr dtaill ultrieurement dans ce document mais, de manire synthtique, il faut veiller limiter les pouvoirs des postes oprateurs en tenant compte du principe du moindre privilge 4.3.7 Loprateur de tlcommunication
Loprateur tlphonique nopre pas directement sur le PABX mais est amen intervenir dans sa priphrie physique proche. Il en assure le raccordement au rseau RTCP, au travers dune armoire dinterconnexion dont il est propritaire et sur laquelle il peut tre amen intervenir. Cette armoire est gnralement dispose au sein mme de lentit, proximit du PABX ce qui peut soulever des problmes pour laccs des techniciens de loprateur ces armoires qui doit tre possible, aux heures prvues par les contrats (en gnral 24h/24).
Principaux risques dun autocommutateur

Dans cette partie seront dcrits les principaux risques lis lautocommutateur.
5.1
Les besoins de scurit
Un autocommutateur est un systme informatique au mme titre quun serveur informatique. Pour cette raison, les besoins de scurit pesant sur un PABX incluent les besoins classiques visant un systme dinformation. De manire gnrale, lexistence et la porte dune atteinte sont trs diciles valuer pour lentit victime car les PABX sont dune spcicit et dune technicit trs importantes. Si lentit ne dispose pas de ressources internes possdant cette expertise, sa tche sera dautant plus ardue. 5.1.1 La disponibilit
Plus encore que pour nimporte quel systme informatique, la disponibilit du service tlphonique est cruciale pour une entreprise ou une administration. En eet, mis part les problmes de perte de production ou de donnes dexploitation dune entit suite un blocage malveillant des lignes, le tlphone laire reste un lment critique de la scurit au sens large : un dysfonctionnement dun autocommutateur peut occasionner, par exemple, limpossibilit de joindre les secours en cas daccident sur le lieu de travail. Il est bon de rappeler quun autocommutateur est un systme temps-rel qui, lorsquil est surcharg, donnera la priorit la commutation, cest dire ltablissement de communications tlphoniques au dtriment de la taxation. Les dfauts de disponibilit se dclinent principalement comme suit : arrt du systme de taxation et de comptabilit ; blocage des lignes ; destruction du systme dexploitation de lautocommutateur ; destruction physique du commutateur (vandalisme, incendie, dgts des eaux, etc. . .).
Page 13 sur 43
5.1.2
Lintgrit
Le besoin dintgrit concerne aussi bien les conversations tlphoniques commutes par le PABX que la conguration de lautocommutateur. Atteindre la premire dclinaison de ce besoin est dicile mettre en uvre car cela implique une modication en temps-rel de la conversation de ce qui suppose des moyens techniques importants. Si lobjectif est la dsinformation dun interlocuteur, il pourra plus simplement tre ralis par lusurpation de lidentit dun interlocuteur en empruntant son poste ou par des techniques de manipulations sociales ( social engineering ). La seconde dclinaison du besoin dintgrit porte sur la conguration du PABX. Elle peut induire, par exemple, des changements de droits des utilisateurs. Il nexiste malheureusement pas doutil automatique permettant de satisfaire pleinement ce besoin. Seule une analyse rgulire (par un audit par exemple) permettrait de mesurer les carts entre une conguration thorique, consigne dans le volet technique dune politique de scurit du PABX (PSSI), et la ralit. 5.1.3 La condentialit
La principale atteinte au besoin de condentialit reste la possibilit dune coute des communications. Quil sagisse dune communication dite prive ou professionnelle, la perte de condentialit dune communication tlphonique reste une menace aux multiples enjeux dont une responsabilit juridique vidente au regard de la loi 91-646 du 10 juillet 1991 relative au secret des correspondances. Au del de laspect pnal, des informations sensibles dune communication tlphonique peuvent tre interceptes. Lorsquil existe un dispositif de messagerie vocale, l encore un nouveau besoin de condentialit existe : il sagit de lcoute des messages vocaux destins un interlocuteur qui relve du mme cadre juridique.
5.2
5.2.1
La menace
La menace interne
Comme pour tout systme informatique, il est toujours plus facile de se protger dune menace extrieure que dune menace interne. Cette menace est dautant plus varie que laspect nancier des communications tlphoniques est un lment non ngligeable intressant tous les types de personnels. Ainsi on peut, en interne, retrouver les prols de malveillance suivants : les exprimentateurs que lon peut rapprocher des pirates voqus par la suite ; les personnes utilisant de manire abusive les services tlmatiques (Minitel rose, jeux) ; les personnes dsirant passer des communications titre personnel au frais de leur employeur ; les personnes orant leur complicit un autre type dagresseur se situant dans les autres catgories mais extrieur lentit vise ; les personnes utilisant un autocommutateur des ns despionnage, de dtournement de communications loccasion de conits interne ; etc. . . 5.2.2 La menace lie la sous-traitance
La forte spcicit et technicit de ladministration dun autocommutateur implique que la gestion de cet quipement soit trs souvent sous-traite (totalement ou en partie). Tous les problmes lis la sous-traitance, en particulier le niveau de conance donn au prestataire, viennent augmenter le niveau de la menace par dicult de contrle. En outre, cette menace ne se limite pas au seul prestataire charg de ladministration de lautocommutateur mais aussi lensemble des personnels extrieurs lentit : entretien, gardiennage, etc.
Page 14 sur 43
5.2.3
Les services de renseignements
Ces services possdent potentiellement des moyens et techniques importants et ecaces. Il convient de sassurer, au regard de la sensibilit des informations vhicules par le systme tlphonique, si la mise en uvre de technologies permettant de se protger contre cette menace est ncessaire. En eet, les moyens de protection ecaces, dans ce contexte, peuvent tre trs coteux en matriel et en exploitation. 5.2.4 La dlinquance informatique but lucratif
Le fait de pouvoir tirer un prot nancier dune malveillance sur un autocommutateur (appels longues distances facturs la socit) entrane un intrt tout particulier de certains dlinquants pour ce genre de systme. Il a pu tre constat, par exemple, des cas de rseaux organiss revendant des ressources tlphoniques voles une socit. 5.2.5 Les pirates
Les pirates dautocommutateurs, aussi appels phreaker , sont des personnes seules, internes ou externes lentit qui agissent pour leur propre compte ou pour le compte dautrui (acquisition de comptences, reconnaissance, vengeance, jeu/d) avec ou sans but lucratif. Dun point de vue lgal, ces personnes restent des dlinquants conformment la loi n 88-19 du 5 janvier 1988 du code pnal (loi Godfrain). La trs grande majorit de ces pirates utilise des outils dattaque disponibles publiquement (sur Internet par exemple) sans relle comprhension du fonctionnement technique de ceux-ci. Seul un nombre restreint (mais en constante volution) de ces pirates sont inventifs, cratifs et capables de dvelopper de nouveaux moyens dattaque. Le nombre restreint de site Internet underground traitant du sujet peut laisser croire que le monde des pirates dautocommutateurs ne dispose que dune faible communication et quil nexiste pas doutils faciles mettre en uvre. Un rcent article de SecurityBugware disponible ladresse http://www.securitybugware.org/Other/5097.html, repris par le bulletin dalerte CERTA-2002-ALE-005 mis par le CERTA, montre que la communaut des pirates dispose potentiellement de moyens dattaques librement diuss sur lInternet.
5.3
Les impacts
Contrairement aux systmes informatiques de type serveur, les menaces pesant sur les autocommutateurs ont des impacts nanciers levs, facilement apprciables. Il est ncessaire de prendre galement en compte les aspects juridiques (cas des coutes) car la lgislation et la jurisprudence est plus dveloppe que pour les systmes de messagerie lectronique par exemple. 5.3.1 Perte dexploitation
Dans le cas dune socit ou dune administration dont lactivit est essentiellement fonde sur loutil tlphonique, latteinte porte un autocommutateur aura directement des rpercussions sur la productivit : dans le cas dune activit commerciale, il peut sagir dune perte de commande ; il peut aussi sagir dun arrt complet de la production si cette atteinte devait durer dans le temps ; dans le cas de services de secours, il peut sagir dune grave atteinte leur capacit dexercer leur fonction. 5.3.2 Pertes nancires
Si un agresseur parvient dtourner un autocommutateur pour passer des communications non autorises, les dpenses lies au service tlphone peuvent devenir trs importantes. Les cots engendrs par ce type datteinte sont donc trs facilement dcelables par le biais de lanalyse de la facturation.
Page 15 sur 43
5.3.3
Impact juridique
Les usages malveillants et/ou illgaux oprs sur un autocommutateur peuvent entraner de trs forts impacts juridiques au sein de toute entit. Par exemple, tous les mcanismes dcoute, mme sils peuvent tre techniquement trs facilement mis en uvre, exposent le responsable de ces coutes de trs graves sanctions judiciaires. 5.3.4 Notorit
Lautocommutateur tant bien souvent un moyen daccs privilgi une entit, les problmes de perte de disponibilit ou dintgrit peuvent avoir des consquences sur limage de marque dune administration ou socit. A titre dexemple, la modication des messages daccueil prsents aux appelants ou la saturation des liens (atteinte en disponibilit ou par mauvais dimensionnement) pourra avoir un impact trs ngatif auprs des personnes appelant.
5.4
Les victimes
Les victimes de malveillance sur leur autocommutateur sont principalement les entits faisant un usage important de cet quipement en terme de volume et/ou de fonctionnalits : les socits ou administrations possdant une facturation importante. La dtection dune fraude devient alors plus dicile du fait dun cot des fraudes qui peut reprsenter une faible proportion des cots globaux ; les socits ou administrations ayant une facturation trs variable. Ces variations empchent la caractrisation prcise dune fraude tant donn que le surcot engendr par une fraude doit tre distingu dun pic de communications normal ; les socits ou administrations utilisant un grand nombre de fonctionnalits des PABX. Comme pour un systme dinformation classique , le fait de multiplier les services offerts augmente les risques de malveillance ; les socits ou administrations orant lhbergement dun service tlmatique ; les entits orant lhbergement dun numro unique7 ; les collaborateurs ayant t les cibles dune malveillance telle que le dtournement de leurs communications par exemple ; etc. . .
7 Numro
unique : appellation gnrique des appellations commerciales telles que numro vert, indigo, etc. . .
Page 16 sur 43
Politique gnrale de la scurit des systmes dinformation
Un document, la politique de scurit dun SI (Systme dInformation) doit exister au sein de lorganisme mettant en uvre le SI. Parmi les rgles relatives la scurisation dun autocommutateur prsentes dans la PSSI, on doit retrouver au moins les lments ci-dessous : la fonctionnalit du composant au sein du SI ; la liste des comptes dadministration ainsi que les modalits de gestion de ces comptes dans le temps ; la liste des ux entrants/sortants vers/depuis le composant ; la liste des services lancs au dmarrage ; la liste des services audits et leurs chiers ; le suivi des mises jour des versions des logiciels utiliss ; une copie des chiers de conguration de tous les services et des chiers de dmarrage ; les mesures de scurit physique mises en place ; la liste des correctifs et des modications ralises sur le composant ; les oprations dexploitation mettre en uvre sur le composant. Les recommandations nonces dans tout ce document devraient galement trouver leur place dans les rgles de cette PSSI. Le lecteur pourra se reporter au document dit par la DCSSI Guide pour llaboration dune Politique de Scurit Interne (disponible sur le site internet de la DCSSI, www.ssi.gouv.fr) pour plus dinformations sur ltablissement dune PSSI.
Page 17 sur 43
7
7.1
Principes fondamentaux de la SSI

Dvelopper et implmenter une dfense en profondeur
Le principe de la dfense en profondeur est de multiplier les protections dune ressource (information, composant, service. . .), tous les niveaux o il est possible dagir. Ainsi, un agresseur devra passer outre plusieurs protections, de nature et de porte direntes, avant daccder la ressource. Ce principe doit tre appliqu tous les stades de la scurisation dune ressource quelle quen soit sa nature : une donne, une application, un systme, un rseau, voire mme le local hbergeant le systme dinformation. 7.1.1 La scurit des locaux et la sret de fonctionnement
Ce document na pas pour objectif de dtailler les mesures de scurit physique mettre en uvre pour lexploitation de systmes dinformations sensibles, les principaux points techniques ncessaires seront ici abords sous langle de leur scurisation, sans entrer dans le dtail technique de leur mise en uvre. En particulier, les dirents lots techniques, au sens btimentaire (incendie, climatisation, . . .) possdent un grand nombre de contraintes techniques, rglementaires, lgales ainsi que des interrelations qui ne seront pas dtailles dans ce document. Les rgles essentielles de scurit physique prendre en compte dans la conception ou lamnagement de locaux, en vue de linstallation de systmes dinformation plus ou moins complexes et sensibles, recouvrent plusieurs lments de nature dirente mais interdpendants. Ces rgles appliquer sur tout ou partie de ces lments doivent sinscrire en amont de toute autres actions, dont lobjectif est de garantir en premire instance, laccs physique, lintgrit et la disponibilit dun systme dinformation et de ses donnes. Les situations gographiques, les implantations et les natures des constructions et des quipements dun site sont importantes au regard des risques naturels, de lenvironnement et des techniques mises en uvre. On sattachera donc examiner les points suivants : Lenvironnement : La typologie des sols, magntisme naturel, nappes phratiques, rsistance aux eondrements, . . . ; Les zones inondables, lindice kraunique du lieu (impacts de foudre), les prcipitations, vents dominants (par rapport au voisinage pour les prises daration), . . . ; Lexistence de voies daccs au site et leur praticabilit ainsi que les dessertes V.R.D. (Viabilisation des Rseaux de Distribution) ; La nature de limplantation (zones urbaines, industrielles, . . .), la prise en compte du POS (Plan dOccupation des Sols) pour lemprise et les extensions btimentaires futures, la nature du voisinage (prsence, dindustries chimiques pouvant induire des pollutions importantes, daroports (crash), voies autoroutires ou transports suburbains (vibrations)), . . . ; Lemprise et les btiments : Lemprise avec son plan de masse indiquant la position, le type et la nature des cltures, les voies internes de circulation, les diverses accessibilits, lespace rserv aux parkings (personnels, visiteurs), . . . ; Le gros uvre, le type et la nature des btiments et des toitures (rsistance aux charges rsultantes des prcipitations et jets dobjets, . . .), coulements des eaux uses et pluviales, positionnement des diverses canalisations , . . . ; Les lots de second uvre et rpartitions des locaux, type et nature des cloisonnements, modularit, rpartition relative, issues (vitrages, portes, . . .), . . . ; Les lots techniques, gnralits (nergie, ventilation, climatisation, dtection/extinction incendie, . . .), implantation (usage ddi), type, nature, redondance (secours), renvois dalarmes sur dfaillance.
Page 18 sur 43
7.1.1.1
Ce quil faut prendre en compte prioritairement sur les lots techniques
Avant tout, les locaux accueillants les lots techniques doivent tre ddis, laccs ces derniers ou directement aux composants, ne doivent tre accessibles que par des personnels qualis, internes ou externes (maintenance), en rgime restrictif et contrls an dabaisser les risques potentiels (malveillances, fausses manuvres, . . .). Les agressions ou dfaillances sur des lments connexes au systme dinformation peuvent concourir son indisponibilit totale ou partielle. Pour cela, il y a ncessit de vrier les points suivants : 7.1.1.1.1 nergie lectrique
Le local accueillant le poste de transformation MT/BT (Moyenne Tension/Basse Tension) doit, si possible, tre implant sur le site tout en laissant un accs, sous contrle, au fournisseur (tte de cble). De mme, la dernire chambre de tirage avant transformation devra se situer sur le site. Dans le cas ou une seconde arrive serait mise place (secours), il sera ncessaire de ngocier avec le fournisseur un tirage de ligne, pour ce qui est hors site, empruntant un chemin physique dirent et venant dune sous station dirente ; Le TGBT (Tableau Gnral Basse Tension) lment sensible de la premire rpartition de lnergie au sein du site, fera lobjet dune attention dans sa localisation et son accessibilit. Par ailleurs, les locaux (ex : PABX (autocommutateur tlphonique), conception ancienne donduleurs, . . .) renfermant des batteries et dont la composition est base dacide, doivent tre ddis et isols physiquement des matriels auxquels il sont raccords. Ces locaux seront munis dune ventilation mcanique et amnags lectriquement en antidagrant. On vriera que les terres et masses (btiments, vrins supportant les faux planchers, matriels informatiques, PABX, . . .) sont conformes la rglementation (ex : terres informatiques < ou = 1 Ohm, . . .). Dans la mme optique, on sassurera que les divers revtements de sols ou muraux sont anti-statiques. On veillera ce que les divers ensembles lectriques primaires soient munis de parasurtenseurs ou parafoudre an de limiter les risques krauniques sur les matriels pouvant se rvler sensibles aux variations induites sur les dirents rseaux (PABX, serveurs, . . .). 7.1.1.1.2 Secours nergie lectrique
Selon limportance du site (au regard de son infrastructure et de ses installations), un secours par groupe lectrogne ddi ou partag peut tre envisag. Sa localisation est des plus importantes. En eet, on peut tre confront des problmes relatifs aux vibrations, ainsi quaux coups de blier ds aux ondes stationnaires (longueurs des tubes dchappements des gaz) si ce dernier se trouve en sous-sol ou rez-de-chausse. Par ailleurs, il faudra sassurer de la prsence dun bac de rtention de capacit suprieure celle de la cuve fuel de dmarrage avec une vacuation conforme lantipollution. Lensemble des matriels formant le systme dinformation (serveurs, terminaux, imprimantes, . . .) doivent tre raccords sur un circuit ondul (rgulation) avec une disponibilit dun minimum de 1/4 dheure an de permettre une extinction propre des systmes. ce sujet, limplantation de londuleur (intermdiaire tampon, en cas de rupture dnergie, entre le fournisseur dnergie et le dmarrage du groupe lectrogne) ainsi que ses caractristiques intrinsques, seront tudis de manire ce que toute extension de matriels rclamant une nergie ondule soit possible. Il est noter que pour ce qui concerne les PABX, le maintien des batteries en tampon doit tre au minimum de lordre de 48 heures. 7.1.1.1.3 Climatisations et ventilations
Les climatisations, quelles soient autonomes ou centralises, associes aux ventilations sont des lments dont limportance est vitale pour la vie des matriels (serveurs, PABX, ..) par nature
Page 19 sur 43
fortement exothermiques. En eet, elles permettent de les rguler en temprature et hygromtrie vitant ainsi les surchaues et diminuant par voie de consquence le risque incendie. On prendra soin pour les climatisations de relever le type, la nature, et la puissance de dissipation frigorique. Lexistence dune redondance, an dassurer une forte disponibilit, est fortement conseille. Pour produire du froid, llment rfrigrant doit tre compress partir de compresseurs euxmmes devant tre refroidis. Pour cela, des changeurs thermiques (arothermes) protgs en malveillance (blocage volontaire des pales de ventilation) devront tre installs et disposs de manire ce quils ne causent aucune nuisance sonore (vitesse des pales provocants des siements) ni vibratoire. Les VMC (Ventilation Mcanique Centralis) seront judicieusement positionnes en particulier les prises daration (au regard des pollutions de lenvironnement et des vents dominants). Les direntes conductions de ventilation (gaines, faux planchers/plafonds..) et les reprises dair doivent tre vries au moins une fois lan et les ltres changs selon lenvironnement deux quatre fois par an. Lensemble climatisation/ventilation se doit dtre asservi en arrt sur une dtection conrme dincendie, an de ne pas devenir un vecteur de propagation. 7.1.1.1.4 Incendie
Indpendamment des obligations lgales (IGH, (Immeubles de Grande Hauteur) . . .), il est ncessaire que les locaux accueillants les matriels du systme dinformation ou y contribuant (onduleurs, cellules climatisation, nergie, . . .) soient protgs contre lincendie. cet gard, on choisira la nature (ammes, tempratures, fumes, . . .) et le type de la dtection (statique, direntiel, vlocimtrique, . . .) an de lapproprier au risque le plus probable (une solution mixte peut tre envisage). Des solutions, manuelles (extincteurs appropris) ou automatiques (gaz non halogns, eau pulvrise, . . .), dextinction sont mettre en uvre pour complter et agir rapidement sur lextinction dun incendie. Les locaux ainsi que les gaines de ventilation, faux planchers/plafonds devront priodiquement faire lobjet dun dpoussirage an dviter ce vecteur complmentaire dincendie. Des alarmes sonores et lumineuses locales avec renvoi vers un poste de surveillance devront accompagner lactivation de ces dtections. On relvera la prsence des dlments combustibles (revtement des parois, , . . .), lieux de stockage (papier, . . .), disposition relative des locaux, an dagir sur ces lments pour abaisser le risque dincendie. Enn, il est indispensable davoir disposition des procdures et des consignes relatives lincendie tant en prvention quen action. 7.1.1.1.5 Dgts des eaux
Les locaux revtant un caractre sensible au regard du systme dinformation ou contribuant sa disponibilit doivent tre protgs contre le dgt des eaux (inondations, rupture de canalisation, . . .). Si en terme de condentialit le positionnement en sous-sols semble remporter la faveur, il est indispensable que ces locaux soient dots de faux planchers munis de dtecteurs dhumidit coupls des pompes de relevage et rendus tanches au regard des tages suprieurs, ou sinscrire dans des units totalement cuveles. 7.1.1.1.6 Contrles des accs anti-intrusion
Dans le cadre gnral, un premier niveau de contrle daccs (niveau de lenceinte du site), ainsi quun second niveau (accs aux btiments), doivent tre installs sparment ou confondus selon la nature du site, leur nature (contrle humain, lectronique, mixte...) et leur type (contrle visuel, portiques, badges, cartes lectronique...). Pour les locaux sensibles (serveurs, PABX, ...), un contrle daccs dans un rgime restrictif quel quen soit le type et la nature sera indpendant ou intgr aux autres contrles daccs.
Page 20 sur 43
Des systmes anti-intrusion, actifs ou passifs, dirents niveaux (enceinte, btiments, locaux sensibles...) doivent tre mis en uvre. Leur type et leur nature (grillage, barreaux, radars, infrarouge...) doivent tre choisis dune manire cohrente au regard de lenvironnement. Les alarmes, des contrles daccs et des dispositifs anti-intrusion, ainsi que leurs renvois intgrs ou non dans une unit de gestion centralise, doivent imprativement tre complments par des consignes et des procdures. Ces mesures organisationnelles doivent tre cohrentes entre elles ainsi quau regard de leur environnement. Une redondance minimum et une autonomie sont indispensables an de permettre une continuit a tous les niveaux des contrles daccs et des dispositifs anti-intrusion. AVERTISSEMENT Les alarmes techniques et celles concernant les contrles daccs/anti-intrusion sont de natures direntes. On sattachera ce quelles ne soient pas gres par les mmes personnes et quelles ne soient pas techniquement regroupes. 7.1.2 La dfense au niveau du rseau
Les PABX sont dsormais souvent administrs via des rseaux informatiques de type TCP/IP ou X25 qui peuvent potentiellement tre interconnects dautres rseaux. Au vu des risques, expliqus plus loin dans ce guide, relatifs ce genre darchitecture, il conviendrait de ne jamais interconnecter un autocommutateur un rseau informatique non ddi son administration. Lutilisation dun rseau dadministration ddi cet usage peut ventuellement tre tolr. Dans tous les cas, les prcautions dusage, relatives au dploiement de rseaux, numres ci-dessous devraient tre mise en uvre. Il faut comprendre ici la dfense des ux circulant sur le rseau (limiter les ux autoriss, les chirer (contre lcoute et le piratage de session), limiter lutilisation de logiciels dcoute 8 . . .), ainsi que des ux entrants ou sortants du primtre du rseau (mettre en place des moyens de ltrage, limiter les ux autoriss, limiter les connexions non contrles comme les modems). 7.1.2.1 Utilisation de commutateurs
La mise en place dun environnement rseau scuris passe par la mise en uvre de commutateurs bien administrs. En eet si lon se passe de commutateurs 9 et que lon utilise des concentrateurs 10 , tout le trac est dius sur la totalit du rseau local, sans contrle possible par lexpditeur ou le destinataire. Ainsi, si quelquun coute le trac local, il peut recevoir des informations qui ne lui sont pas destines. Lutilisation de commutateurs est dautant plus recommande que la grande majorit des protocoles utiliss par les applications classiques (messagerie lectronique, navigation Web, accs des chiers distants. . .) ne sont pas chirs. Cependant, il faut noter que la protection apporte par un commutateur nest pas parfaite, car sujette des attaques au niveau du protocole de rsolution dadresse (ARP), et doit tre complte par dautres mesures dcoulant du principe de dfense en profondeur. 7.1.2.2 7.1.3 Mise en place doutils de dtection dintrusion La dfense au niveau des htes
Elle consiste durcir le systme dexploitation dun composant, ainsi que ses relations avec les autres composants du SI. 7.1.4 La dfense au niveau des applications
La scurisation dune application sappuie sur des mcanismes propres lapplication, mais aussi sur la scurisation du systme dexploitation sans lequel elle ne peut exister.
appels sniers appels switchs 10 galement appels hubs
9 galement 8 galement
Page 21 sur 43
7.1.5
La dfense au niveau des donnes
Les donnes, stockes comme transmises, sont particulirement vulnrables (mots de passe, contenu de chiers, de messages lectroniques. . .). Le chirement et/ou des mesures de contrle daccs discrtionnaires permettent de protger les donnes stockes. De mme, des donnes transmises sous forme chire seront moins vulnrables en cas dinterception.
7.2
Principe du moindre privilge
Le principe du moindre privilge est de ne permettre que ce qui est strictement ncessaire la ralisation de la fonction recherche. Comme le principe de dfense en profondeur, il se dcline tous les niveaux dun SI. Il se traduit, par exemple, par la limitation des droits accords un utilisateur ceux ncessaires pour remplir sa mission (utilisation du systme, administration, gestion des sauvegardes. . .) et aucun autre.
Page 22 sur 43
8
8.1
Scuriser : mesures gnrales

Relev de conguration
Il est recommand dtablir et de tenir jour un relev de conguration des autocommutateurs en distinguant les dirents types de serveurs et leur localisation dans larchitecture globale du systme dinformation. Pour chacun de ces types, un document dcrira les choix de conguration raliss, et la liste des mesures particulires ces systmes comme, par exemple : les choix raliss lors de linstallation, en terme de partitions, de paramtrages du BIOS. . . les procdures lies lidentication/authentication des utilisateurs et des administrateurs ; la liste des applications installes et leur version ; la liste des services installs, leur proprit (dmarrage automatique, manuel. . .), la liste des services dsinstalls ; le niveau de mise jour appliqu, en dtaillant les mises jour principales, comme les Service Packs de Windows, les correctifs cumulatifs, postrieurs aux Service Packs, tels que les Rollup Patches de Windows et les correctifs individuels, postrieurs aux Rollup Patches, appels Hotxes dans les environnements Windows ; les rgles de contrle daccs aux ressources, et les droits positionns sur les cls de registre, rpertoires et chiers ; les rgles daudit et de journalisation ; les mesures de chirement et dempreintes des chiers critiques contenus sur les serveurs. Les aspects lis lorganisation doivent galement tre dcrits. Ce document devra en particulier tre utilis pour toute nouvelle installation de serveurs de mme type. Un volet exploitation devra prciser les tches lies la scurit devant tre assures. On pourra pour cela sinspirer de la structure du prsent document. Lobjectif de ce document est multiple : assurer une continuit de service en cas dabsence de ladministrateur charg de linstallation du systme ; faciliter la constitution dannexes techniques la PSSI ; savoir sur quels composants assurer une veille technologique. Ce relev de conguration papier du serveur contient des informations permettant daccder aux paramtrages du serveur, didentier les versions du systme, des applications, des services, etc. Il doit donc tre identi comme condentiel et stock dans un endroit protg (local ferm cl par exemple). Dune faon pratique, ce relev de conguration peut tre constitu en consignant les choix raliss lors de lapplication des direntes parties de ce document. Ce relev devra bien videment faire lobjet de mises jour aussi souvent que ncessaire, comme indiqu au paragraphe 10.1.1 page 36.
8.2
Emploi de mots de passe complexes
Les mots de passe sont souvent la seule et unique protection dun systme dinformation contre lintrusion logique. Une bonne politique de choix et de gestion des mots de passe est donc le passage oblig pour scuriser une machine, voire un systme dinformation tout entier. An dtre robuste aux attaques, un mot de passe doit tre complexe. Si lenvironnement dans lequel il est utilis le permet, un mot de passe complexe doit avoir les proprits suivantes : il se compose dun nombre susant de caractres : au moins sept pour un utilisateur et plus de quatorze pour un administrateur pour les environnements sous Windows, huit caractres pour les systmes de type Unix/Linux ; il comporte au moins un caractre de chaque catgorie : caractre alphabtique minuscule ;
Page 23 sur 43
caractre alphabtique majuscule ; chire ; caractre spcial (disponible sur le clavier, hors des trois premires catgorie). Pour un scuriser un compte avec des privilges tendus sur une application, sur un systme ou sur un composant (compte administrateur, communaut SNMP avec droits en criture. . .), on peut galement envisager lutilisation dun caractre ASCII non imprimable, obtenu en appuyant sur ALT et NB, o NB est un nombre compris entre 1 et 255 pour les environnements Windows. il nexiste dans aucune langue ni aucun dictionnaire ; il est remis dans une enveloppe cachete locier de scurit qui la stocke dans un lieu adquat. Les systmes dautocommutateur ont la particularit dorir des moyens dauthentication, pour accder certains services, bass non pas sur des mots de passe taps sur un clavier mais sur des codes daccs taps sur un poste tlphonique. La plupart du temps, des codes daccs par dfaut existent (0000, 1234, MCDU11 de lappelant) et ne sont pas changs par les utilisateurs faute de sensibilisation. Recommandation : Les utilisateurs devraient tre encourags changer leurs codes daccs de manire rgulire. Malheureusement, il nexiste pas toujours, comme sur les systmes informatiques classiques, de date dexpiration des codes daccs ou de dispositifs techniques obligeant les utilisateurs au changement de leur code daccs. Cependant, les codes par dfaut peuvent tre facilement identis en analysant ce code chir dans les paramtres des postes tlphoniques : en eet, un grand nombre de codes similaires sur des postes vous signalera lemploi dun code par dfaut. Il est quelquefois possible dallonger la longueur des codes daccs (4 chires par dfaut) ce qui devrait tre, si possible, mis en uvre. En eet, il nexiste gnralement pas dinvalidation de code daccs suite un nombre dni de tentatives infructueuses. Lallongement du code daccs permet ainsi daugmenter le temps de russite dune attaque exhaustive (force brute). Lutilisation de tels mots de passe ne saurait tre ecace sans une complte acceptation par les utilisateurs et les administrateurs des contraintes associes. En eet, il est primordial de sensibiliser et dinformer les utilisateurs aux risques lis lutilisation hasardeuse des mots de passe : mots de passe ou codes daccstriviaux ; mots de passe ou codes daccspartags entre plusieurs utilisateurs ; mme mot de passe ou code daccsutilis pour scuriser laccs deux ressources direntes. Cette pratique est particulirement dangereuse lorsque un mme mot de passe est utilis dans une application qui le transmet en clair sur le rseau (par exemple, la messagerie lectronique), o il peut tre facilement cout, et comme authentication dune ressource critique (par exemple, lauthentication systme). puis de les former des comportements scuriss. Ainsi, on peut aider les utilisateurs choisir un mot de passe complexe, en utilisant par exemple des aides mnmotechniques, expliquer la ncessit dun changement rgulier des mots de passe, sensibiliser leur condentialit (ne pas partager son mot de passe avec dautres utilisateurs, ne pas communiquer son mot de passe sauf locier de scurit, etc. . .). In ne, les utilisateurs doivent pouvoir choisir des mots de passe mmorisables ou pouvant tre regnrs simplement chaque utilisation. Dans le cas inverse, cette protection sera rendue inecace par des comportements inadapts (mots de passe marqus sur un post-it. . .). Enn, une recrudesence dutilisateurs ayant bloqu leur compte ou ne se souvenant plus de leur mot de passe doit tre perue positivement, comme la manifestation de leort quils font pour choisir des mots de passe complexes. Il convient galement de garder lesprit les solutions techniques existantes pour se passer des contraintes inhrentes aux mots de passe : utilisation de systmes didentication et dauthentication forte (carte puce, cl USB, biomtrie, etc. . .), allis des dispositifs dits Single Sign On , cest--dire permettant une identication et authentication forte unique pour toute une session (connexion une machine, accs des ressources locales ou distantes. . .).
11 4
derniers chires dun numro de tlphone
Page 24 sur 43
8.3
8.3.1
Administration du systme
Administration locale
Il est recommand dadministrer un serveur localement, cest dire partir de sa console. Pour ces activits, ladministrateur utilisera ponctuellement un compte ddi avec les privilges adquats. Pour les tches ne ncessitant pas de tels privilges, ladministrateur prendra soin dutiliser un autre compte, avec des droits restreints. 8.3.2 Administration distante
Nanmoins, si une administration distante du serveur est requise, elle ne devrait pas pouvoir tre ralise depuis nimporte quel poste du rseau interne. Il est donc ncessaire de limiter cette fonctionnalit aux seuls postes des administrateurs, en particulier au niveau de leur adresse IP. Toutefois, lutilisation de stations dans un rle dadministration impose que le niveau de scurisation de la station dadministration distance soit au moins quivalent celui du serveur (scurit physique et logique). Sil est ncessaire de se connecter travers le rseau sur le serveur, il est prfrable dutiliser des outils dadministration chirs, fournis avec le systme ou tiers en raison des possibilits dcoute. 8.3.2.1 Terminal Services
Une solution est dutiliser un client Terminal Services pour se connecter distance sur le serveur administrer, si celui-ci met en uvre un systme dexploitation de la famille Windows. Il existe de tels clients pour un grand nombre de systmes dexploitation, mme non Windows. Un administrateur peut donc grer un serveur distance. Il est recommand dutiliser les fonctions de chirement oertes par le composant Terminal Services (chirement lev ), an de protger les donnes circulant sur le rseau. Si le service Terminal Services Web est utilis sur le serveur, on prendra soin de modier la page web par dfaut (/TSWeb/default.htm). Attention toutefois, car ce service requiert linstallation dun serveur web, ce qui augmente sensiblement la charge dadministration et de scurisation du Terminal Services Web. Le seul moyen didentication et dauthentication tant ici la fourniture dun nom dutilisateur et dun mot de passe, il est particulirement important que celui-ci soit complexe. 8.3.2.2 SNMP
SNMP est une couche rseau connue pour ses failles intrinsques. Elle ne devrait pas tre active ou dfaut ne pas tre accessible depuis un rseau non sr. Si SNMP est active, les noms de communaut utiliss ne doivent pas tre triviaux (public, private, nom_dentit, etc. . .) et rpondre aux mmes contraintes de complexit que les mots de passe (cf. 8.2). 8.3.2.3 Tlmaintenance
Si elle existe, la liaison de tlmaintenance du serveur ne devrait pas tre active en permanence. Le modem donnant accs cette fonctionnalit devrait tre dbranch en fonctionnement normal. Il ne devrait tre rebranch que lorsquune tlmaintenance est ncessaire, et aprs que la demande en ait t faite par un intervenant identi. Plusieurs mcanismes de scurisation du modem peuvent tre mis en place : modem acceptant exclusivement des mthodes dauthentications fortes ; modem assurant un rappel automatique dun numro pr-dni (call-back) ; modem acceptant le chirement. Il est recommand dutiliser ces trois mcanismes conjointement. Si tout ou partie de la tlmaintenance est ralise par des prestataires externes, il convient dimposer des rgles trs strictes de gestion des moyens didentication/authentication, et de contrle du personnel en charge de la prestation. En particulier, les mots de passe ne devraient pas
Page 25 sur 43
tre triviaux, ni partags entre les dirents intervenants du prestataire et changs rgulirement, mme si cela peut tre lourd grer par le prestataire.
8.4
Condentialit des communications sensibles
Comme il le sera expos dans le chapitre 9.7, il existe de nombreux moyens techniques permettant de mettre en uvre des coutes tlphoniques. Cette menace peut intervenir au sein dune entit mais aussi potentiellement sur le rseau public. Recommandation : Dans le cas de communications destines changer des informations sensibles voire classies de dfense, il convient dutiliser des moyens de communications assurant un chirement des communications tels que les lignes scurises. Pour des utilisations ayant un fort besoin de condentialit, il ne doit jamais tre omis dactiver le chirement (activ souvent par lintermdiaire de carte puce). En eet, ce nest jamais le statut particulier, chez loprateur, de ces lignes ddies qui ore, lui seul, une garantie de scurit, mais bien la possibilit de chirer ecacement les communications.
Page 26 sur 43
9
9.1
Scuriser : mesures spcifiques

Accs physique aux organes de tlcommunication
Lobjectif de cette partie est de complter le chapitre 7.1.1 en tenant compte des spcicits des autocommutateurs. 9.1.1 Accs aux locaux PABX
Recommandation : Laccs aux locaux hbergeant les dispositifs techniques de lautocommutateur tant normalement protg par un systme de contrle daccs (cf. 7.1.1), seules les personnes suivantes devraient normalement pouvoir accder ce local : installateur de lautocommutateur (uniquement pour linstallation) ; mainteneur de lautocommutateur ; administrateur courant de lautocommutateur ; personne responsable de la scurit du site (pour laccompagnement du personnel nentrant pas dans ces catgories) ; personne charge dun audit technique de lautocommutateur ; ventuellement les techniciens de loprateur tlphonique si ses dispositifs de raccordement au RTCP sont situs dans le mme local. En particulier, les usagers et les dtenteurs de postes oprateur nont aucun besoin daccder au local PABX. Si une de ces personnes fait partie dune socit extrieure (sous-traitance de la maintenance par exemple), laccs et les manipulations sur lautocommutateur se feront sous la surveillance du personnel charg de la scurit du site avec laccord des responsables de la tlphonie. 9.1.2 Remarques sur les risques dincendie, de dgts des eaux et de perte dnergie lectrique relatives aux PABX
Les autocommutateurs sont gnralement des dispositifs ne rclamant que peu dintervention sur le systme mme : tout se fait partir dune console dadministration. Par ce fait, ces dispositifs sont souvent un peu oublis et ne disposent pas toujours des moyens de protection adquats face aux risques dincendie, de dgts des eaux et de perte dnergie. Recommandation : Il ne faut pas oublier quen cas dapparition dun de ces risques, le systme tlphonique devient un moyen privilgi de gestion de la crise : appel et coordination des secours par exemple. Les contraintes de disponibilit de ces quipements sont donc extrmement importantes et la mise en place de protections adquates indispensable. 9.1.3 Distribution des lignes tlphoniques
Le PABX prsente des interfaces de sortie sur lequel loprateur connecte son armoire de brassage gnrale. Il existe trs souvent tout un rseau de distribution qui comporte, dans les tages des btiments, des armoires de brassage ddies au cblage tlphonique de ltage. Une personne malintentionne pourrait proter de ces accs physiques des lignes tlphoniques pour mettre en place, par drivation, des dispositifs physiques dcoute ou occasionner, par exemple, des dnis de services en manipulant le brassage. Recommandation : Il convient donc de placer sous cl lensemble des lments de distribution dune installation tlphonique : larmoire gnrale de brassage, ou tableau gnral de rpartition, ainsi que toutes les baies de brassage dcentralises. Un plan dtaill du schma de cblage devra tre maintenu et ventuellement servir de base des inspections rgulires.
Page 27 sur 43
9.2
Accs par un terminal local dadministration
Le terminal local dadministration se distingue des autres modes daccs dadministration (voqus ultrieurement) du fait quil utilise une connexion par une liaison laire en point point (cble srie trs souvent). Il sagit donc dune interaction directe avec lautocommutateur sans aucun protocole de communication sous-jacent. Sur un trs grand nombre dautocommutateur, laccs par ce type de terminal nest pas authenti au niveau du PABX si ce nest par des mcanismes triviaux et aisment contournables. Recommandation : Il convient donc de protger ecacement ce type de terminal sans quoi, une personne se trouvant face ce type dquipement pourrait modier le comportement de lautocommutateur sa guise : la rgle gnrale qui prvaut pour ce type de systme est de mettre en uvre les mmes mcanismes de scurit ces quipements quau PABX lui-mme. 9.2.1 Protection physique des terminaux dadministration
Recommandation : La console dadministration devrait se trouver dans le local hbergeant le PABX car de cette manire, laccs cette console bnciera des dispositifs de contrle daccs et de traabilit mis en place sur le local. De plus on vitera ainsi la multiplicit des locaux possdant un moyen dadministration du PABX ce qui diminuera le risque potentiel daccs ces moyens. Il convient dviter la solution, certes trs pratique, qui consiste ce que la personne charge de ladministration courante de lautocommutateur dporte une console dadministration dans son bureau. Si tel est le cas, le bureau de cette personne devrait possder les mmes dispositifs de contrle daccs et de traabilit que le local hbergeant lautocommutateur. Lusage dordinateur de type portable, qui peut facilement tre subtilis, est proscrire. 9.2.2 Authentication
Comme indiqu ci-dessus, bon nombre dautocommutateurs ne ncessitent pas dauthentication lors dun accs par un terminal local dadministration (ligne srie). Il sagit soit dune fonction inexistante soit dune fonction non active par dfaut. Recommandation : Si lautocommutateur le permet, il convient de mettre en place, localement, un mot de passe daccs pour lexploitation du systme. Bien sr, ce mot de passe devra tre choisi de manire judicieuse conformment aux principes voqus au paragraphe 8.2. 9.2.3 Protection logique des terminaux dadministration
Recommandation : De manire orir une protection supplmentaire en cas dintrusion dans le local contenant un terminal dadministration, il convient de mettre en place un certain nombre de dispositifs de protection logique sur ce terminal : Mise en place dun mot de passe daccs la console dadministration. Ceci peut se faire par le biais du mcanisme dauthentication du systme dexploitation de la machine hbergeant le logiciel daccs ladministration du PABX. Ce dernier viendra renforcer le mot de passe dexploitation permettant daccder au PABX. Mise en place dun mcanisme de veille automatique (5 mn dinactivit) avec authentication sur la machine hbergeant le logiciel daccs ladministration du PABX ; La machine hbergeant le terminal dadministration devrait tre ddie cet usage. En particulier, cette machine ne devrait tre interconnecte aucun rseau logique (en particulier lInternet et/ou lIntranet). 9.2.4 Journalisation, imputabilit et accs concurrentiels
De manire trop frquente, lensemble des actions opres par les administrateurs ne sont pas journalises. Ainsi en cas de malveillance, le mode opratoire et ltendue dune attaque ne pourront tre valus.
Page 28 sur 43
Sur certains modles dautocommutateur, et plus prcisment sur certaines versions de leur logiciel, il est possible de mettre en uvre une journalisation des actions. Recommandation : Il est fortement recommand dactiver cette fonctionnalit an de garantir une imputabilit et un suivi des oprations de conguration du PABX. Si ladministration du PABX est cone plusieurs personnes, il y a un risque, lors dune opration dadministration simultane par plusieurs administrateurs, que : des commandes contradictoires soient passes lautocommutateur, des commandes dun administrateur ne soient pas excutes du fait de lintervention dun autre administrateur, limputabilit des commandes ne puissent tre mise en uvre. Recommandation : Certaines versions logicielles dautocommutateur permettent de mettre en uvre un certain nombre de contre-mesures ecaces : crer dirents comptes dadministrateur garantissant ainsi une imputabilit lie une personne et non une fonction (administrateur), authentier les accs dadministration sur la base dun nom dutilisateur, dun mot de passe et dun nom de machine. Ainsi les tentatives daccs ladministration dun autocommutateur par une machine non dclare seront retardes (voire interdites), limiter laccs concurrentiel ladministration du systme an dviter les manipulations contradictoires. Il est conseill dactiver ce genre de fonctionnalits lorsquelles sont prsentes dans la version logicielle du PABX.
9.3
Accs par les consoles opratrices
Dans certaines architectures complexes, il existe des utilisateurs privilgis du PABX : ce sont les consoles opratrices ou postes oprateurs. Leur rle est de permettre loprateur qui les manipule, de mettre en relation manuellement des personnes ce qui ncessite parfois un niveau dinteraction lev avec lautocommutateur. Recommandation : Il conviendrait de veiller ne pas dployer ce genre de poste particulier au sein dune organisation si les fonctions de base des postes tlphoniques sont susantes. Dans le cas dune utilisation volue de son systme tlphonique, il convient de limiter les interactions entre ces postes et le PABX dans le respect du principe du moindre privilge. Ainsi, la modication de la programmation de lautocommutateur par ce type de poste ne devra pas tre rendue possible.
9.4
Accs par le rseau tlphonique public
Lactivit de maintenance des autocommutateurs tant trs souvent sous-traite des entreprises externes, ladministration distante des PABX par un rseau public est vite devenue ncessaire. Cest pourquoi, il existe des moyens dadministrer un autocommutateur empruntant les lignes tlphoniques classiques. Cependant, comme pour toute ouverture de rseau dit priv sur un rseau public, de nombreux problmes de scurit se posent. La recommandation de base qui prvaut est de limiter, tant que possible, ce type dadministration distante et dans le cas o la sous-traitance oblige dployer ce genre de modes dadministration, dimposer des conditions drastiques de scurit aux prestataires (par exemple lutilisation dun modem chirant authentication forte). 9.4.1 Ligne de tlmaintenance
Une ligne de tlmaintenance est une classique ligne tlphonique (gre par le PABX ou directe) sur laquelle est branch un modem reli au PABX via un port ddi permettant loprateur de tlmaintenance une interaction directe avec le systme du PABX. Recommandation : Dans le cadre de la mise en uvre de tels systmes quelques prcautions devraient tre prises qui sont explicites ci-dessous. Ces mesures sont complmentaires et ne sexcluent pas mutuellement.
Page 29 sur 43
9.4.1.1
Utilisation de modem avec authentication
Les modems utiliss pour dployer ce genre darchitecture nont priori aucune contrainte technique particulire. Cependant comme ils protgent laccs au systme dinformation critique dune entit, il conviendrait de sassurer que ces modems ne mettront en relation avec lautocommutateur que les personnes dment autorises. Pour ce faire, lutilisation de dispositifs dauthentication directement intgrs au modem est fortement conseill. L encore, de nombreux niveaux de scurit existent, avec, par ordre croissant : 1. modem simple sans authentication ; 2. modem avec mot de passe : simple mot de passe pouvant tre cout puis rejou sur la ligne tlphonique ; 3. modem avec mot de passe et rappel automatique vers numro xe : aprs validation du mot de passe, le modem raccroche et rappelle automatiquement un numro prprogramm. Lcoute et le rejeu du mot de passe reste possible mais la communication est coupe et rtablie automatiquement vers le numro prdni qui est celui du prestataire charg de la maintenance ; 4. modem authentication forte : les mcanismes cryptographiques utiliss permettent dempcher lventuel rejeu dun mot de passe en utilisant par exemple un protocole base de d/rponse ; 5. modem authentication forte et journalisation des transactions eectues : si le PABX nore pas la possibilit de journaliser les actions des oprateurs de maintenance, ceci peut tre eectu au niveau du modem qui enregistrera tous les changes eectus par son intermdiaire. Recommandation : Le choix du dispositif dpend de nombreux paramtres mais une solution avec authentication forte ( partir du niveau 3) devrait tre implmente ce qui viterait une interception et un rejeu trivial du mot de passe daccs au PABX. Dans tous les cas, la solution 1 ne devrait jamais tre retenue. 9.4.1.2 Numro de tlmaintenance
Les lignes de tlmaintenance se doivent dorir une haute disponibilit pour permettre au prestataire charg de la maintenance deectuer les tches qui lui incombent le plus rapidement possible. En gnral, les modems utiliss sont donc branchs en permanence sur un numro public (numro SDA12 ). Il convient de noter que les pirates essaient didentier en priorit ce type de numro qui peut leur permettre datteindre et de reprogrammer un PABX. Pour ce faire, ils testent, par des outils automatiss de composition de numro ( phoning ), lensemble des numros dune entit (situs en gnral dans un plage contigu) pour dcouvrir les modems en position dattente. Recommandation : De manire viter la dtection aise de votre numro de tlmaintenance, il conviendrait de lui faire attribuer par votre oprateur un numro de tlphone SDA ne faisant pas partie de la ou les principales plages de numro SDA gres par votre autocommutateur. Ce numro devra tre inscrit sur liste rouge et ntre rfrenc dans aucun document public. 9.4.1.3 Existence de procdures de tlmaintenance
Si le choix dun modem authentication forte est une rponse technique un problme, il ne faut pas pour autant ngliger les aspects procduraux, dautant plus que le choix de ce type de matriel est malheureusement rarement eectu. Comme il a t signal prcdemment, les modems de tlmaintenance sont en gnral branchs en permanence pour permettre au prestataire dorir un service de maintenance en haute disponibilit. Le revers de cette mdaille est dorir un accs potentiel permanent aux acteurs malveillants.
12 SDA
: Slection Directe lArrive
Page 30 sur 43
Recommandation : Une procdure permettant de supprimer cette vulnrabilit pourrait tre facilement mise en uvre avec le concours des PC scurit ou autres agents autoriss accder au local PABX (cf paragraphe 9.1.1) : le modem est par dfaut lectriquement teint ; lors dun besoin de maintenance, le mainteneur contacte le PC scurit par tlphone ou par fax an que des agents procdent la mise en marche manuelle du modem. Un moyen qui permet dauthentier le mainteneur devrait tre mis en uvre (prsentation du numro, message personnalis, etc. . .) ; lors de la n de lintervention, le mainteneur signale la n de son activit au PC scurit qui assure lextinction du modem. A dfaut, le PC scurit vient teindre le modem pass un dlai convenu avec le mainteneur ; lintervention est consign par le PC scurit en notant les dates et heures du dbut et de la n de lintervention, lidentit de personnel de maintenance, etc. . . Ce type de procdure ne dispense bien videmment pas de la mise en uvre des recommandations techniques ci-dessus. 9.4.2 Messagerie vocale
Les dispositifs de MEVO ne permettent pas directement dadministrer un autocommutateur. Cependant ces derniers sont souvent en accs direct depuis lextrieur, via un numro SDA, ceci an de permettre aux usagers de consulter leurs messages depuis lextrieur de lentit. Les principaux problmes lis ces dispositifs sont : les atteintes limage de marque de lentit dans le cas dun changement dun message daccueil dune messagerie vocale ; la condentialit des messages peut aussi tre compromise ; un dtournement des ressources de lautocommutateur et une sur-facturation car une MEVO peut permettre denvoyer des messages ltranger par lintermdiaire de la fonction de notication de message lextrieur. Une bote vocale peut aussi tre cre frauduleusement de faon permettre des lments externes lentit de communiquer par lintermdiaire de dpts de messages ; une lvation de privilges qui peut engendrer toute une panoplie de nouveaux risques (dni de service, perte de condentialit, etc. . .). En eet, il peut exister, comme sur un systme logiciel informatique (ce que la messagerie vocale est), des bogues logiciels conduisant une lvation de privilges ou la possibilit dexcution de commandes arbitraires sur le PABX mme. Recommandation : La messagerie vocale devrait donc tre considre non pas uniquement comme un service rendu aux utilisateurs mais galement comme une porte dentre sur le systme. Direntes rexions doivent donc tre menes avant le dploiement de cette fonctionnalit : respect du principe du moindre privilge en norant le service quaux personnes ncessitant rellement cette fonctionnalit ; possibilit, ou non, de consulter sa bote vocale depuis lextrieur de lentit (accs depuis un numro SDA) ; sensibiliser les utilisateurs au manque de condentialit potentiel des messages dposs sur les botes vocales ; dans le cas dun accs externe autoris, identication des usagers ayant accs cette facilit dans un document tel quune documentation dexploitation. Dans tous les cas, il faut garder lesprit que laccs la consultation et la programmation dune messagerie vocale ncessite un code daccs (souvent 4 chires). Les codes daccs par dfaut sont, en gnral, triviaux (1234, 0000, numro de poste, etc. . .) et ne font pas lobjet dun changement par les usagers. Les techniques de choix de codes daccs et de dtection des codes par dfaut sont consignes au paragraphe 8.2
Page 31 sur 43
9.5
Accs par le rseau informatique
Il se peut quun lment du PABX ou un lment ddi son administration se trouve interconnect un rseau informatique de type TCP/IP. Ceci peut se produire dans le cas : dune migration vers une intgration voix/donnes base sur de la tlphonie sur IP ; dune mutualisation des moyens dadministration du PABX et des systmes informatiques (annuaire par exemple) ; de lutilisation dun poste dadministration du PABX des ns de consultation dun rseau informatique (Internet par exemple) ; etc. . . Dans ce cas, le systme PABX peut tre vulnrable aux attaques classiques rencontres sur les rseaux informatiques. Les PABX sont dautant plus vulnrables que les systmes dexploitation employs ne sont pas des systmes largement diuss faisant lobjet dun suivi rgulier des failles de scurit. Ainsi de nombreuses failles classiques de scurit, corriges de longue date sur les systmes dexploitation modernes, sont toujours prsentes sur les autocommutateurs. Recommandation : Lensemble du systme tlphonique que constituent le PABX et les organes informatiques ddis son administration, doit tre isol et ne devrait donc pas tre interconnect un rseau logique de lentit.
9.6
Gestion des sauvegardes
Recommandation : Comme tout systme informatique, il est important dassurer une sauvegarde rgulire des lments de conguration dun PABX. Les guides de maintenance accompagnant les autocommutateurs mentionnent la procdure et les outils (propres chaque matriel) permettant de raliser cette sauvegarde. Les mdias utiliss (bandes, disquettes, etc. . .) pour raliser ces sauvegardes devront ensuite tre conservs en lieu sr, si possible un core ignifug. Ces mdias, ou au moins une copie, devront tre stocks dans un lieu spar gographiquement du local PABX et/ou du local dadministration, ceci an quun sinistre majeur dans ces locaux nanantisse pas lensemble des donnes.
9.7
Programmation des PABX
Dans ce chapitre seront exposs un certain nombre de fonctionnalits quil est possible dorir aux usagers mais qui prsentent des risques en terme de scurit. Ces fonctionnalits devraient, dans la mesure du possible, ne pas tre actives ou dans le cas contraire, tre analyses au cas par cas, dans le respect du principe du moindre privilge . Les noms de ces fonctions ne sont malheureusement pas normalises et donc direntes pour chaque constructeur mais restent souvent synonymes. 9.7.1 Substitution
Cette fonction permet dobtenir partir dun autre poste les fonctionnalits de son propre poste (ou rciproquement). Cette fonction est accessible soit sans aucune authentication soit en se basant sur un code daccs de faible robustesse (4 chires) avec un nombre dessais souvent illimit. Ce code daccs est en gnral laiss au code par dfaut par les usagers ce qui est une trs mauvaise pratique, une politique de gestion des mots de passe devrait tre mise en place. Les principaux risques sont lusurpation didentit car sur un rseau numrique interne, lidentit du poste substitu apparatra (et non de celui qui fait la substitution) et sur le rseau public, cest le NDS13 du substitu. Dans dautre cas, la substitution permet de masquer des actions malveillantes qui seront attribues au poste substitu et non au substituant. Il sera quasiment impossible de remonter lorigine de lappel car il ny a aucune journalisation des substitutions en temps rel active par dfaut.
13 NDS
: Numro de Dsignation Supplmentaire, identiant du systme fourni par le rseau RNIS
Page 32 sur 43
Une autre fonctionnalit, proche en terme de dnition mais surtout de risques existe. Il sagit des groupes dinterceptions qui dnissent un ensemble ferm de postes (constituants le groupe) o chacun des postes peut dcrocher un appel arrivant sur nimporte quel autre poste du groupe. Recommandation : Ces fonctionnalits, sauf besoin motiv, devraient donc tre dsactives de manire gnrale dans la programmation de lautocommutateur au niveau des catgories dexploitation. 9.7.2 Entre en tiers
Cette fonction permet de sinsrer dans une conversation sans obligatoirement y avoir t invit. Elle est nanmoins signale par un signal sonore et visuel (sur rseau numrique seulement) aux deux autres interlocuteurs. Les principaux risques sont, bien sr, latteinte au secret des conversations : gne des interlocuteurs, identication de ces derniers, etc. . . Aprs avoir eectu des manipulations supplmentaires sur les postes des interlocuteurs (suppression de lachage visuel par exemple), cette fonctionnalit peut devenir un dispositif dcoute. En eet le signal sonore gnr lors de lentre en tiers peut, par manque de formation ou de sensibilisation, tre mal compris, ou ignor, par les interlocuteurs espionns . De plus, le signal sonore peut ventuellement avoir t supprim par lattaquant . Recommandation : Cette fonctionnalit, sauf besoin motiv, devrait donc tre dsactive au niveau du PABX. Dans le cas contraire, il peut tre utile de vrier priodiquement la programmation de la sonnerie dentre en tiers en se rfrant au manuel de votre quipement. 9.7.3 Renvois sur numros externes
Il sagit deectuer un simple renvoi dun poste tlphonique vers un numro externe lentit. Ce renvoi vers le RTCP induit des impacts nanciers pour lentit victime. Cette technique est souvent utilise par des personnels internes an de facturer lentit leurs appels depuis leur domicile, par exemple, destination dun numro (Minitel, portables, numros unique, etc. . .). Les attaquants externes nont que peu dintrt mettre en place ce genre de renvoi (hormis sur un numro ctif) car lutilisateur du poste victime interrompra ce renvoi ds quil utilisera son poste ce qui rendra lexploitation du renvoi trs alatoire pour un attaquant. Recommandation : Les possibilits de renvois des postes tlphoniques devraient tre limites aux seuls renvois vers des numros internes lentit (i.e. ne passant pas par le RTCP) ou des numros externes prdnis via la numrotation abrge (qui sont souvent inclus dans le plan de numrotation interne). Les utilisateurs des postes devraient tre sensibiliss lutilisation de ces renvois et informs que les anomalies sur leur poste telles quun renvoi en place sans lavoir programm devraient tre signales aux quipes de maintenance de lautocommutateur ainsi quau responsable de la scurit. 9.7.4 DISA
La fonctionnalit DISA14 permet un abonn du rseau public (RTCP) daccder, via un numro ddi, aux services du PABX aprs sur-numrotation Q2315 . Labonn accde depuis lextrieur aux fonctions dun usager interne lgitime de la socit. Cette fonction est souvent utilise conjointement dautre fonctions volues (aboutement, substitution) an dorir des utilisateurs nomades, la possibilit dutiliser les services tlphoniques de manire transparente et sans cot. Il sagit de la fonction recherche de manire prioritaire par les pirates cherchant dtourner des ressources car elle est souvent utilise pour permettre des nomades dtablir des communication nationales voire internationales depuis nimporte o. De plus, les numros DISA sont souvent des numros uniques an de minimiser les cots tlphoniques la charge de lemploy ce qui ne fait quaugmenter lintrt dtourner ce genre de ressources. Recommandation : Cette fonctionnalit, sauf besoin motiv, devrait donc tre dsactive de la programmation du PABX. Dans le cas o cette fonction serait ncessaire, on veillera limiter
14 DISA 15 DTMF
: Direct Inward System Access Q23 : Systme de signalisation utilis pour transmettre la numrotation
Page 33 sur 43
soigneusement les services de lautocommutateur accessibles via la fonction DISA et les personnes susceptibles daccder ce service. Laccs ce dernier est protg par un code daccs (compos en sur-numrotation Q23) qui devra tre robuste et personnalis pour chaque utilisateur du service. Certains constructeurs orent des solutions dauthentication forte pour laccs ce service. Ces dispositifs devront tre privilgis dans le cadre du dploiement de la fonctionnalit DISA. 9.7.5 Poste ctif
Le poste ctif nest pas en soi une fonctionnalit gnrale dun autocommutateur. Il sagit dun poste tlphonique auquel aucune aectation de poste physique na t eectue (aucune rfrence de brassage ou de prise). Il ne sagit pas simplement dun numro qui naboutira sur aucun poste tlphonique mais comme tout poste cr, il appartient une catgorie dexploitation, possde des droits et peut accder des facilits. Les pirates ayant russi obtenir des privilges levs sur un autocommutateur, utiliseront un poste ctif quils auront cr pour y aecter des fonctionnalits auxquelles ils pourront ensuite accder de manire transparente. Par lutilisation du poste ctif, le pirate est assur quun utilisateur dun poste tlphonique de lentit ne remarquera aucune anomalie relative son forfait. Recommandation : Il nest malheureusement pas possible de dsactiver de manire globale les crations de poste ctif. Si lentit, pour ses besoins propres, ncessite dutiliser ce type de poste, ces derniers devront tre rpertoris explicitement (numro de poste, raison de lutilisation de cette fonction, etc. . .) dans le document dcrivant la conguration du PABX. Les personnes charges de la maintenance devraient ensuite rgulirement vrier si lensemble des postes tlphoniques grs par lautocommutateur sont bien aects des prises tlphoniques valides (i.e. destines un poste tlphonique rel). Les postes sans aectation de prise physique, ou de prise invalide, qui ne seraient pas mentionns explicitement dans des documents internes devront tre signals aux responsables de la scurit de lautocommutateur pour analyser lorigine de leur cration. 9.7.6 Justication
Il est possible, sur un autocommutateur, de ne pas faire apparatre certains postes dans la facturation dite par lautocommutateur. Les oprateurs ne dlivrant pas de facture dtaille dans le cas dun abonnement pour un (ou plusieurs) MIC, il ne sera jamais possible de recueillir les donnes techniques relatives aux communications manant et destines aux postes non justis. Cette fonctionnalit est parfois utilise pour protger les communications de hauts responsables dune entit an dassurer une certaine discrtion sur leurs interlocuteurs, les cots, etc. . . Cette fonctionnalit prsente aussi un trs grand intrt pour les pirates qui, en lutilisant, voient un moyen ecace de masquer leur forfait. Si le pirate parvient mettre en uvre cette fonctionnalit sur un poste ctif, la dissimulation des fraudes opres sera trs dicile dtecter. Recommandation : Cette fonctionnalit devrait donc tre dsactive de la programmation du PABX. Un audit rgulier de lensemble des postes tlphoniques devrait tre men an de recenser sil existe des postes non justis. Lutilit de cette fonctionnalit est de toute manire discutable, tant donn quelle cre un cas dexception au sein de lentit qui pourrait devenir problmatique si jamais un vnement judiciaire (crime ou dlit) mettait en jeu un poste non justi. Dans tous les cas, les enjeux lis cette fonctionnalit critique doivent tre clairement dnis dans la PSSI. Le fait que les factures gnres par un PABX soient destines un ensemble limit de personnes, vient renforcer cette recommandation. Larticle 5 de la dlibration n 94-113 du 20 dcembre 1994 de la CNIL xe en eet les destinataires des informations de taxation : les agents habilits des services comptables et du service du personnel ; les chefs de service pour les personnels relevant de leur autorit ; les agents disposant dun poste tlphonique pour les communications passes partir du dit poste. Les personnes charges de la collecte technique des donnes (mainteneur, responsable de lautocommutateur) sont tenus par le secret professionnel.
Page 34 sur 43
9.7.7
Messagerie vocale
Les risques et recommandations lis ce type de dispositif ont dj t explicits au paragraphe 9.4.2. 9.7.8 Cadenas ou verrouillage des postes
Cette fonctionnalit permet chaque utilisateur de poste tlphonique de verrouiller lutilisation de ce dernier. Le dverrouillage du poste nintervient que lors de la saisie du code daccs dni par lutilisateur. De cette manire, on prvient lutilisation dun poste par une personne autre que le dtenteur du poste. Lusage de cette fonction par les utilisateurs permet de limiter lutilisation abusive de ressources de lentit (coup de tlphone nocturnes passs par les agents de gardiennage par exemple) et de renforcer limputabilit des appels mis. Recommandation : Chaque utilisateur devrait donc avoir la possibilit de verrouiller et dverrouiller son poste tlphonique. Pour ce faire, les fonctions le permettant doivent tre actives de manire globale au niveau du PABX. Les utilisateurs devraient se voir recommander lusage systmatique du verrouillage du poste ds quils quittent leurs bureaux (ou locaux). En eet, les utilisateurs sont dsormais sensibles la ncessit de verrouiller leur poste informatique lorsquils quittent leur poste de travail, il faudrait donc que le mme rexe sadopte pour les postes tlphoniques. 9.7.9 Accs au rseau public
Il est possible de dnir, pour chaque poste tlphonique, et par extension utilisateur, des catgories daccs au rseau public. Ainsi on peut dnir quel type de rseau un poste peut accder : interne, local (urbain), national (interurbain) et international. En dnissant les possibilits daccs au rseau de chaque poste, lutilisation abusive de la ressource tlphonique peut tre limite. Recommandation : Les postes tlphoniques de lentit devraient se voir attribuer des droits daccs au rseau conformment au principe de moindre privilge . Ainsi laccs au national et/ou linternational devrait constituer une exception si la mission de lentit est destine un public local par exemple. Si les accs au rseau public (local, national, international) sont destins un faible nombre de destinataires, il est possible de se passer de tout accs au rseau public en utilisant des numros abrgs pointant sur les numros destinataires du rseau public. 9.7.10 Aboutement de rseau
Laboutement de rseau consiste mettre en relation directe et autonome deux numros appels. Par exemple, dans le cas dune confrence trois, il y a aboutement si linstigateur de la confrence peut quitter cette dernire et mettre en relation directe les deux autres invits. Le tlphone de la personne qui a eectu cette opration est alors libr mais les circuits quil a tabli ne sont pas librs : cest donc lui qui supporte toute la facturation. Recommandation : Ces fonctionnalits, sauf besoin motiv, devraient donc tre dsactives de manire gnrale dans la programmation de lautocommutateur au niveau des catgories dexploitation.
Page 35 sur 43
10
10.1
Maintenir le niveau de scurit : mesures gnrales

Rgles dexploitation
Les rgles dexploitation prsentes ci-dessous doivent tre mises en uvre pour un autocommutateur et tendues tous les systmes et composants faisant partie de lenvironnement dun autocommutateur 10.1.1 Gestion des correctifs de scurit (serveurs et clients)
Quand une mise jour de scurit concernant un autocommutateur est publie, les correctifs devraient tre identis, tests dans un environnement adquat puis installs sur le systme de production si les rsultats des tests sont satisfaisants. Un composant devrait toujours tre la dernire version stable de son systme dexploitation et de ses logiciels. Cependant, linstallation des derniers correctifs ncessite souvent lutilisation de la dernire version de logiciel ou de systme dexploitation. Cette version ntant pas forcment compatible avec les logiciels utiliss sur les composants, la recherche dune solution stable et scurise est donc parfois complexe. Il est parfois plus sr, mais aussi plus long, dinstaller la dernire version stable dun logiciel que dessayer dappliquer un correctif sur lancienne version existant. 10.1.2 Ralisation de ches rexes pour grer les alertes
Ces ches rexes devraient prciser, pour chaque incident possible, les tches devant tre ralises. Elles permettent une raction rapide et pertinente des administrateurs une situation durgence. Chacune des tches unitaires doit tre dcrite et son droulement prcis. Du personnel, entran leur utilisation, doit tre en astreinte pour permettre une raction rapide en cas dalerte. Ces ches doivent prciser : les modalits de dclenchement dune alerte ; les gestes durgence faire ou ne pas faire (ex : en cas de compromission, il faut dbrancher la machine incrimine du rseau mais ne pas lteindre ) ; les personnes contacter avec une liste de numro de tlphone tenue jour ; la graduation ventuelle des alertes (alarme interne, alerte du FSSI et du HFD, alerte des forces de lordre, etc. . .) ; quelles informations doivent tre fournies dans une alarme pour sa prise en compte (date, heure, constat, adresse IP, modalit de lattaque, rsultat constat, etc. . .) ; une ventuelle chane descalade en cas de dcision importante. De plus amples informations sont disponibles dans lavis du CERTA CERTA-2002-INF-002. 10.1.3 Formation
Le personnel devrait tre form ladministration de son serveur et/ou des applications sa charge. De plus, un clairage particulier devrait tre apport sur la scurit, au niveau du rseau comme au niveau systme. En eet, chaque systme ou application a ses propres fonctionnalits de scurit. Une mauvaise conguration dune de ces fonctionnalits peut compromettre la scurit de tout le systme et par extension du rseau. Une volution des produits utiliss ncessite une nouvelle formation des administrateurs. Plusieurs personnes doivent tre formes pour garantir une disponibilit adquate. 10.1.4 Gestion des comptes et des mots de passe
Des procdures claires devraient exister concernant : la cration de nouveaux comptes ;
Page 36 sur 43
la suppression ou la dsactivation de ceux rendus inutiles par le dpart dun utilisateur ; la modication de tous les mots de passe connus par un administrateur lors de son dpart, dun changement de fonction, . . . la vrication rgulire des comptes prsents sur le systme, et de leur privilges. intervalles rguliers, ladministrateur devrait vrier la qualit des mots de passe utiliss, sil y est autoris par la politique de scurit du SI, grce des outils spcialiss (John The Ripper par exemple). 10.1.5 Serveur de secours et de test
En cas de dysfonctionnement du serveur de production, une solution de secours devrait exister en fonction des besoins de disponibilit du systme. Pour un serveur, la solution la plus classique consiste disposer de matriel de remplacement. Ce matriel doit voluer de la mme manire que le composant quil est cens remplacer (mme version de systme dexploitation, composants internes cohrents comme mmoire, carte vido, capacit disque, logiciels, etc. . .). Une pice modie sur le serveur doit galement tre change au plus vite sur le secours. Cette machine de secours doit disposer des mmes contrats de maintenance que celle de production et tre teste priodiquement. 10.1.6 Gestion des sauvegardes
Des procdures de sauvegarde et de rcupration des donnes devraient tre formalises. Les congurations des serveurs devraient tre sauvegardes et les sauvegardes tre stockes dans un core ignifug, plac dans des locaux dirents de ceux accueillant les serveurs an dviter une destruction de tous les jeux de sauvegarde et du serveur de production en cas dincendie. Elles doivent bien entendu tre mises jour chaque modication du serveur. Elles doivent galement tre priodiquement vries et des restaurations ralises pour sassurer du bon fonctionnement des mdias de stockage. Elles doivent comporter des sauvegardes des lments de conguration comme la base de registre. 10.1.7 Gestion des lments temporaires
Des informations sensibles peuvent avoir t crites par dirents processus dans un rpertoire temporaire. Aprs utilisation, ces informations ne devraient pas pouvoir tre exploites par dautres processus, et devraient tre supprimes. Les rpertoires temporaires doivent donc tre apurs priodiquement. Cette opration peut tre ralise au moyen dun outil comme " at ".
10.2
Mise jour de la PSSI
La politique de scurit dcrivant les mesures de scurit et dadministration du serveur doit tre maintenue jour. Linstallation dun nouveau service doit tre prcde dune mise jour de la PSSI et la cration de ches rexes pour tous les incidents pouvant en dcouler.
10.3
Audits de scurit
La ralisation daudits rguliers de la scurit permet de vrier ladquation entre le niveau de scurit attendu et celui eectivement ralis. Ces audits permettent galement lanalyse des vulnrabilits rsiduelles dun systme dinformation, car la conguration des quipements volue, et des failles apparaissent. Mme si la maintenance du rseau est ralise, elle peut laisser passer un paramtre dangereux, une faille qui ne paraissait pas dangereuse car trop complexe, ou encore une rinstallation de logiciel sans rinstaller les correctifs. . . Un audit priodique permet donc de prendre du recul et de contrler le maintien du niveau de scurit :
Page 37 sur 43
audits rguliers du systme via une entit interne ou externe (Bureau Audits en SSI de la DCSSI par exemple) ; audits rguliers du systme via des scanners de vulnrabilits (exemple : Nessus, ISS. . .) ; mise en place dun systme de contrle dintgrit (exemple : tripwire, . . .).
Page 38 sur 43
11
11.1
11.1.1
Annexes
Points vrier gnraux
Mesures gnrales p. p. p. p. p. 17 17 18 18 23 O O O O O
Adapter le guide la PSSI applicable crire et mettre jour une politique de scurit Dvelopper et implmenter une dfense en profondeur Mettre en place des mcanismes de scurit physique tablir et tenir jour un relev de conguration des lments du SI 11.1.2 Environnement rseau informatique
Mettre en place une architecture dadministration isole Installer des commutateurs Ne pas utiliser, si possible, de plan dadressage par dfaut 11.1.3 Environnement rseau tlphonique
p. 32 p. 21
O O O
Garantir une forte redondance des liens tlphoniques de sortie (multi-sorties, multi-oprateurs, etc. . .) Messagerie vocale accessible depuis le RTCP (dans le cas o elle ncessite rellement dtre active) Choisir un numro SDA nappartenant pas aux plages SDA public de lentit Placer le numro SDA sur liste rouge Autoriser laccs ce service aux seuls utilisateurs en ayant le besoin Obliger les utilisateurs changer priodiquement leur mot de passe Contrler priodiquement les mots de passe mis en place par les utilisateurs DISA (dans le cas o cette fonction ncessite rellement dtre active) Choisir un numro SDA nappartenant pas aux plages SDA public de lentit Placer le numro SDA sur liste rouge Autoriser laccs ce service aux seuls utilisateurs en ayant le besoin Mettre en place des mcanismes dauthentication forte Accs de tlmaintenance (si cette fonctionnalit savre ncessaire) Recenser les canaux de tlmaintenance (mainteneur, constructeur, etc. . .) Choisir un numro SDA de tlmaintenance nappartenant pas aux plages SDA public de lentit Placer le numro SDA de tlmaintenance sur liste rouge Utiliser des dispositifs (modems) permettant de garantir lauthentication des intervenants et la condentialit des transactions Mettre en uvre des procdures de tlmaintenance 11.1.4 11.1.4.1 Systme dexploitation Conguration du systme dexploitation de lautocommutateur
p. p. p. p. p. p. p. p. p.
31 31 31 31 31 33 33 33 33
O O O O O O O O O O O O O O
Crer, si possible, un compte par individu susceptible dagir sur le systme Employer des mots de passe forts Activer le contrle daccs lautocommutateur Activer la journalisation des actions Supprimer les fonctionnalits (verrous logiciels) non utilises Mettre jour rgulirement le systme
p. p. p. p.
28 23 28 28
O O O O O O
Page 39 sur 43
11.1.4.2
Conguration du systme dexploitation des lments dadministration O O O O O O O
Privilgier des systmes dexploitation assurant une authentication forte16 Mettre jour rgulirement le systme dexploitation Crer, sur le poste, un compte par individu ncessitant un accs sur le poste Employer des mots de passe forts Mettre en place un dispositif de veille automatique base sur une authentication Sassurer que le poste utilis est ddi ladministration du PABX Sur lapplicatif dadministration, crer des comptes pour chaque utilisateur et attribuer des droits en respectant le principe de moindre privilge
p. 23 p. 28 p. 28
11.2
lments pratiques relatifs aux autocommutateurs Alcatel
Les lments techniques exposs ci-dessous sont susceptibles de varier en fonction des applicatifs et matriels utiliss ainsi que des modications apportes par le constructeur. 11.2.1 Catgories dexploitation
les catgories dexploitation permettent de dnir les droits des postes pour lutilisation de certaines fonctions (substitution, entre en tiers, etc. . .). Elles permettent de dnir des prols types et ainsi assurer une certaine homognit des congurations des postes qui rfrencent seulement une catgorie dexploitation. Dnir les catgories dexploitation suivant des prols types dagents de lentit Vrier que les catgories dexploitation inutilises ne possdent pas de droits 11.2.1.1 Substitution O O
La substitution permet un poste quelconque de se substituer un autre poste en composant le prxe de substitution suivi du numro de poste auquel se substituer ainsi que le code secret de poste. Pour se raliser, il faut que le poste qui eectue la substitution appartienne une catgorie dexploitation autorisant la substitution (paramtre substitution 1) et que le poste auquel on se substitue autorise cette substitution (paramtre Pas de substitution 0). Vrier que les postes pouvant eectuer une substitution ou tre substitu sont rfrencs et attribus suivant le principe de moindre privilge Vrier que les catgories dexploitation inutilises ne sont ni substituables ni capables deectuer des substitutions 11.2.1.2 Entre en tiers O O
Les postes capables deectuer une entre en tiers ont le paramtre Suxes/Entre en tiers gal 1 tandis que les postes sur lequel il nest pas possible deectuer une entre en tiers ont le paramtre Droits/Protection contre entre en tiers poste gal 1. Il existe un autre paramtre qui permet de se protger contre des entre en tiers de postes privilges levs (postes oprateurs par exemple) : Droits/Protection contre toute entre en tiers gal 1. Vrier que les postes pouvant eectuer une entre en tiers ou tre victime dune entre en tiers sont rfrencs et attribus suivant le principe de moindre privilge Vrier que les catgories dexploitation inutilises ne possdent pas de droits relatifs lentre en tiers O O
Page 40 sur 43
11.2.1.3
Renvois sur numro externe
Les postes autoriss eectuer des renvois sur des numros externes ont le paramtre Droits/Renvoi sur numro extrieur positionn 1. Vrier que les postes pouvant eectuer un renvoi externe sont rfrencs et attribus suivant le principe de moindre privilge Vrier que les catgories dexploitation inutilises ne possdent pas de droits permettant de renvois externes 11.2.2 Zones de discrimination O O
Les zones de discrimination permettent de regrouper, en une zone, un ensemble de numros tlphoniques. Ces zones sont ensuite rfrences par les catgories daccs au rseau public ce qui permet de dnir ensuite, pour chaque poste, les droits daccs au rseau tlphonique public. Ces zones de discrimination doivent eectuer des regroupements de numros de tlphone dont le mode de facturation et lutilit sont similaires du type : local, national, international, mobile, numro surtaxs, numro spciques (Transpac par ex.). Ceci na pas valeur dobligation mais permet de dnir plus facilement des droits relatifs la taxation, et donc relatifs aux ventuels abus de ressources. Dnir les zones en maintenant une certaine cohrence des numros quelles rf- O rencent Maintenir une documentation papier de ces paramtres O Vrier priodiquement le contenu des zones de discrimination O Identier clairement les zones de discrimination dangereuses (surtaxes principale- O ment) Dnir une zone de discrimination spcique contenant le prxe daccs aux four- O nisseurs daccs lInternet (FAI) : 0 860 actuellement 11.2.3 Catgories daccs au rseau public
Les catgories daccs au rseau public permettent de regrouper les direntes zones de discrimination et de dnir des droits daccs au rseau public suivant deux plages horaires (Jour et Nuit ). Elles sont ensuite rfrences par chaque poste an de lui dnir ces droits daccs au RTCP. Grer lattribution des droits daccs au RTCP en prenant bien en compte le principe de moindre privilge Maintenir une documentation papier des catgories daccs au rseau public Vrier priodiquement le contenu des catgories daccs au rseau public Identier clairement les catgories dangereuses (rfrenant des zones de discrimination dangereuses Distinguer clairement les droits diurnes et nocturnes 11.2.4 11.2.4.1 Paramtres particuliers des postes utilisateurs Postes ctifs O O O O O
Les postes ctifs sont des postes virtuels (non associs des combins) qui possdent cependant des droits. Ils sont identis par une localisation physique particulire : Adresse alvole 255 Adresse Carte interface 255 Adresse quipement 255 viter lutilisation des postes ctifs Dans le cas contraire, tenir un inventaire de ces postes Eectuer une vrication priodique de lexistence de ce type de poste O O O
Page 41 sur 43
11.2.4.2
Postes non justis
Ces postes qui chappent toute taxation sont identiables au paramtre Catgorie de taxation qui est positionn non justi. viter lutilisation des postes non justis Dans le cas contraire, tenir un inventaire de ces postes Eectuer une vrication priodique de lexistence de ce type de poste 11.2.4.3 Code daccs par dfaut O O O
Le code daccs du poste (code secret ) est stock sous forme chire ce qui ne permet pas de connatre le code exact. Cependant, le fait quune majorit de poste possde le mme code chir indique quil sagit probablement du code par dfaut
11.3
lments pratiques relatifs aux autocommutateurs Matra
Les lments techniques exposs ci-dessous sont susceptibles de varier en fonction des applicatifs et matriels utiliss ainsi que des modications apportes par le constructeur. 11.3.1 Classes de facilits
les classes de facilits permettent de dnir les droits des postes pour lutilisation de certaines fonctions (substitution, entre en tiers, etc. . .). Elles permettent de dnir des prols types et ainsi assurer une certaine homognit des congurations des postes qui rfrencent seulement une classe de facilit. Dnir les classes de facilits suivant des prols types dagents de lentit O Vrier que les classes de facilits inutilises ne possdent pas de droits O 11.3.1.1 Substitution/Interception
La substitution permet un poste quelconque de se substituer un autre poste en composant le prxe de substitution suivi du numro de poste auquel se substituer ainsi que le code secret de poste. Pour se raliser, il faut que le poste auquel on se substitue autorise cette substitution (paramtre Protection contre interception NON ). Certains postes ont la possibilit dintercepter un poste protg en ayant le paramtre Forcer la protection contre interception positionn OUI. Vrier que les postes pouvant eectuer une interception force ou tre intercepts sont rfrencs et attribus suivant le principe de moindre privilge Vrier que les classes de facilits inutilises ne sont ni interceptables ni capables deectuer des interceptions Vrier quil nexiste pas de poste pouvant forcer une interception 11.3.1.2 Entre en tiers/intrusion O O O
Les classes de facilits capables deectuer une intrusion ont le paramtre Droit lintrusion gal OUI tandis que les postes sur lequel il est possible deectuer une entre en tiers ont le paramtre Acceptation de lintrusion gal OUI. Les postes de privilges levs (postes oprateurs) peuvent tout de mme eectuer des intrusion malgr cette protection. Vrier que les postes pouvant eectuer une interception ou tre victime dune interception sont rfrencs et attribus suivant le principe de moindre privilge Vrier que les classes de facilits inutilises ne possdent pas de droits relatifs linterception O O
Page 42 sur 43
11.3.2 11.3.2.1
Paramtres particuliers des postes utilisateurs Cadenas ou verrouillage des postes
Le paramtrage de cette fonction seectue au niveau de ldition des classes de facilits. Les entres VERROUILLAGE et DVERROUILLAGE doivent tre positionns OUI pour activer la possibilit quun utilisateur eectue le verrouillage de son poste tlphonique.
Page 43 sur 43

Guide PABX PDF

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Guide PABX PDF

Titre original :

Transféré par

Droits d'auteur :

Formats disponibles

PREMIER MINISTRE

Secrtariat gnral de la dfense nationale

Issy les Moulineaux, le n /SGDN/DCSSI/SDO/BAS

Direction centrale de la scurit des systmes dinformation

Recommandations de scurisation Autocommutateur tlphonique

Recommandations de scurisation Autocommutateur tlphonique

Nombre de pages du document : 43

Recommandations de scurisation Autocommutateur tlphonique

Table des matires

Avertissements Pr-requis 3.1 3.2 Matriels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Connaissances ncessaires . . . . . . . . . . . . . . . . . . . . . . . . . . .

Recommandations de scurisation Autocommutateur tlphonique

9.5 9.6 9.7

Recommandations de scurisation Autocommutateur tlphonique

Recommandations de scurisation Autocommutateur tlphonique

Table des figures

Recommandations de scurisation Autocommutateur tlphonique

qui sont destines ces recommandations

Rappels juridiques sur lutilisation et lexploitation dun autocommutateur

Automatic Branch eXchange : Commission Nationale de lInformatique et des Liberts

Recommandations de scurisation Autocommutateur tlphonique

Recommandations de scurisation Autocommutateur tlphonique

Recommandations de scurisation Autocommutateur tlphonique

Recommandations de scurisation Autocommutateur tlphonique

Prsentation des autocommutateurs

Dnition dun autocommutateur

Composants dun autocommutateur

Recommandations de scurisation Autocommutateur tlphonique

Intervenants sur un PABX

Recommandations de scurisation Autocommutateur tlphonique

Les usagers ou les abonns

Principaux risques dun autocommutateur

Les besoins de scurit

Recommandations de scurisation Autocommutateur tlphonique

Recommandations de scurisation Autocommutateur tlphonique

Les services de renseignements

Recommandations de scurisation Autocommutateur tlphonique

Recommandations de scurisation Autocommutateur tlphonique

Politique gnrale de la scurit des systmes dinformation

Recommandations de scurisation Autocommutateur tlphonique

Principes fondamentaux de la SSI

Recommandations de scurisation Autocommutateur tlphonique

Ce quil faut prendre en compte prioritairement sur les lots techniques

Recommandations de scurisation Autocommutateur tlphonique

Recommandations de scurisation Autocommutateur tlphonique

Recommandations de scurisation Autocommutateur tlphonique

La dfense au niveau des donnes

Principe du moindre privilge

Recommandations de scurisation Autocommutateur tlphonique

Scuriser : mesures gnrales

Emploi de mots de passe complexes

Recommandations de scurisation Autocommutateur tlphonique

derniers chires dun numro de tlphone

Recommandations de scurisation Autocommutateur tlphonique

Recommandations de scurisation Autocommutateur tlphonique

Condentialit des communications sensibles

Recommandations de scurisation Autocommutateur tlphonique

Scuriser : mesures spcifiques

Recommandations de scurisation Autocommutateur tlphonique

Accs par un terminal local dadministration

Recommandations de scurisation Autocommutateur tlphonique

Accs par les consoles opratrices

Accs par le rseau tlphonique public