Chapitre 1

I- Voix sur IP : description

I-1 introduction :
La voix sur IP (Voice over IP) est une technologie de communication vocale en pleine
émergence. Elle s’intègre dans le sillage d’une avancée technologique à travers laquelle les
opérateurs, entreprises ou organisations et fournisseurs voyant le transport réseau de paquets
IP introduire de nouveaux services voix et vidéo et donc surpasser le trafic traditionnel du
réseau voix (réseau à commutation de circuits) cherchaient à bénéficier de cet avantage. Ce
fût en 1996 la naissance de la première version voix sur IP appelée H323. Issu de
l'organisation de standardisation européenne ITU-T sur la base de la signalisation voix RNIS
(Q931), ce standard a maintenant donné suite à de nombreuses évolutions, quelques nouveaux
standards prenant d'autres orientations technologiques.

I-2- principe de la technologie

Les données à transmettre étant la voix dont la numérisation génère un signal à
découper en paquets qui sont transmis sur un réseau IP vers une application qui
se chargera de la transformation inverse (des paquets vers la voix). Au lieu de
disposer à la fois d'un réseau informatique et d'un réseau téléphonique commuté
(RTC), l'entreprise peux donc, grâce à la VoIP, tout fusionner sur un même réseau.
Ca par du fait que la téléphonie devient de la "data". Les nouvelles capacités des
réseaux à haut débit devraient permettre de transférer de manière fiable des
données en temps réel. Ainsi, les applications de vidéo ou audioconférence ou de
téléphonie vont envahir le monde IP qui, jusqu'alors, ne pouvait raisonnablement
pas supporter ce genre d'applications (temps de réponse important, jigue-jitter,
Cos-Qos,...).

I-3 Standards VoIP :

Les premières technologies de VoIP imaginées étaient propriétaires et donc très
différentes les unes des autres. Pourtant, un système qui est censé mettre des
gens et des systèmes en relation exige une certaine dose de standardisation.
C'est pourquoi sont apparus des protocoles standards, comme le H323 ou le SIP

I-3-1 protocole H323 :

H.323 est un protocole de communication englobant un ensemble de normes

utilisés pour l'envoi de données audio et vidéo sur Internet. Il existe depuis 1996
et a été initié par l'ITU (International Communication Union), un groupe
international de téléphonie qui développe des standards de communication.
Concrètement, il est utilisé pour l'interactivité en temps réel, notamment la
visioconférence (signalisation, enregistrement, contrôle d'admission, transport et
encodage) et encore dans des équipements tels que les routeurs Cisco..
Chapitre 1

I-3-2 protocole SIP :

Le protocole SIP (Session Initiation Protocole) a été initié par le groupe MMUSIC
(Multiparty Multimedia Session Control) et désormais repris et maintenu par le
groupe SIP de l'IETF. SIP est un protocole de signalisation appartenant à la
couche application du modèle OSI. Son rôle est d'ouvrir, modifier et libérer les
sessions. L'ouverture de ces sessions permet de réaliser de l'audio ou
vidéoconférence, de l'enseignement à distance, de la voix (téléphonie) et de la
diffusion multimédia sur IP essentiellement. Un utilisateur peut se connecter avec
les utilisateurs d'une session déjà ouverte. Pour ouvrir une session, un utilisateur
émet une invitation transportant un descripteur de session permettant aux
utilisateurs souhaitant communiquer de s'accorder sur la compatibilité de leur
média, SIP permet donc de relier des stations mobiles en transmettant ou
redirigeant les requêtes vers la position courante de la station appelée. Enfin, SIP
possède l'avantage de ne pas être attaché à un médium particulier et est sensé
être indépendant du protocole de transport des couches basses.

D’autre part, Les messages SIP peuvent contenir des données confidentielles, en effet le
protocole SIP possède 3 mécanismes de cryptage :

- Cryptage de bout en bout du Corps du message SIP et de certains champs d'en-tête

sensibles aux attaques.
- Cryptage au saut par saut (hop by hop) à fin d'empêcher des pirates de savoir qui
appelle qui.
- Cryptage au saut par saut du champ d'en-tête Via pour dissimuler la route qu'a
emprunté la requête.

De plus, à fin d'empêcher à tout intrus de modifier et retransmettre des requêtes ou réponses
SIP, des mécanismes d'intégrité et d'authentification des messages sont mis en place. Et pour
des messages SIP transmis de bout en bout, des clés publiques et signatures sont utilisées par
SIP et stockées dans les champs d'en-tête Autorisation.

I-3-3 Comparaison :

 les avantages du protocole H.323 :

- Il existe de nombreux produits (plus de 30) utilisant ce standard adopté par de grandes
entreprises telles Cisco, IBM, Intel, Microsoft, Netscape, etc.
- Les cinq principaux logiciels de visioconférence Picturel 550, Proshare 500, Trinicon
500, Smartstation et Cruiser 150 utilisent sur Ip la norme H.323.
- Un niveau d'interopérabilité très élevé, ce qui permet à plusieurs utilisateurs
d'échanger des données audio et vidéo sans faire attention aux types de média qu'ils
utilisent.

 les avantages du protocole SIP :

- SIP est un protocole plus rapide. La séparation entre ses champs d'en-tête et son corps
du message facilite le traitement des messages et diminue leur temps de transition dans
le réseau.
Chapitre 1

- Nombre des en-têtes est limité (36 au maximum et en pratique, moins d'une dizaine
d'en-têtes sont utilisées simultanément), ce qui allège l'écriture et la lecture des
requêtes et réponses.
- SIP est un protocole indépendant de la couche transport. Il peut aussi bien s'utiliser
avec TCP que UDP.
- De plus, il sépare les flux de données de ceux la signalisation, ce qui rend plus souple
l'évolution "en direct" d'une communication (arrivée d'un nouveau participant,
changement de paramètres...).

De ce fait, la simplicité, la rapidité et la légèreté d'utilisation, tout en étant très complet, du

protocole SIP sont autant d'arguments qui pourraient permettre à SIP de convaincre les
investisseurs. De plus, ses avancées en matière de sécurité des messages sont un atout
important par rapport à ses concurrents.

I-3-4 le protocole MGCP :

C’est un protocole de signalisation issu d’une concertation de l’ITU et de l’IETF. Alors que
H.323 et SIP permettent à des terminaux d’émettre des appels en mode point à point
directement et toutes les fonctions sont spécifiées dans le protocole, MGCP est conçu
différemment ; Il est utilisé dans le cadre de réseaux VoIP centralisés, où l’intelligence et la
configuration des communications sont prises en charge par un serveur central (appelé call
agent) et où les passerelles (Media Gateways) sont de simples équipements réseaux passifs de
terminaisons (fonctionnement en mode maître/esclaves).

I-3-5 Les protocoles de transport RTP et RTCP :

RTP (Real Time Transport Protocole) est un protocole qui a été développé par l'IETF afin de
faciliter le transport temps réel de bout en bout des flots données audio et vidéo sur les
réseaux IP, c'est à dire sur les réseaux de paquets. Il a pour but d'organiser les paquets à
l'entrée du réseau et de les contrôler à la sortie. Ceci de façon à reformer les flux avec ses
caractéristiques de départ. RTP est un protocole qui se situe au niveau de l'application et qui
utilise les protocoles sous-jacents de transport TCP ou UDP. Mais l'utilisation de RTP se fait
généralement au-dessus de UDP ce qui permet d'atteindre plus facilement le temps réel. Les
applications temps réels comme la parole numérique ou la visioconférence constitue un
véritable problème pour Internet. Qui dit application temps réel, dit présence d'une certaine
qualité de service (QoS) que RTP ne garantie pas du fait qu'il fonctionne au niveau Applicatif.
De plus RTP est un protocole qui se trouve dans un environnement multipoint, donc on peut
dire que RTP possède à sa charge, la gestion du temps réel, mais aussi l'administration de la
session multipoint.

Le protocole RTCP est fondé sur la transmission périodique de paquets de contrôle à tous les
participants d'une session. C'est le protocole Udp (par exemple) qui permet le multiplexage
des paquets de données Rtp et des paquets de contrôle Rtcp. Le protocole Rtp utilise le
protocole Rtcp, Real-time Transport Control Protocol, qui transporte les informations
supplémentaires relatives aux paramètres de la qualité de service, à la synchronisation
supplémentaires entre les médias, à l’identification et au contrôle de la session.

On peut dire alors que les paquets Rtp ne transportent que les données des utilisateurs. Tandis
que les paquets Rtcp ne transportent en temps réel, que de la supervision
Chapitre 1

I-4 L’architecture voIP :

I-4-1 schéma de principe :

La VoIP étant une nouvelle technologie de communication, elle n'a pas encore de
standard unique. En effet, chaque constructeur apporte ses normes et ses
fonctionnalités à ses solutions. Il existe tout de même des références en la
matière que tous les acteurs de ce marché utilisent comme base pour leur
produit dont les trois principales sont H.323, SIP et MGCP/MEGACO.

Il existe plusieurs approches pour offrir des services de téléphonie et de

visiophonie sur des réseaux IP. Le schéma ci-dessus, décrit de façon générale la
topologie d'un réseau de téléphonie IP. Cependant, chaque norme (qu’on a cité
dans le paragraphe précédent) a ensuite ses propres caractéristiques pour
garantir une plus ou moins grande qualité de service.

Certaines préfèrent une approche peer to peer avec l'intelligence répartie à la

périphérie (terminal de téléphonie IP, passerelle avec le réseau téléphonique
commuté...), alors que d’autres placent l'intelligence dans le réseau. Cette
dernière est aussi déportée soit sur les terminaux, soit sur les
passerelles/Gatekeeper (contrôleur de commutation). Quelque soit l’architecture
adoptée On retrouve les éléments communs suivants :

• Le routeur : Il permet d'aiguiller les données et le routage des paquets entre deux
réseaux. Certains routeurs, comme les Cisco 2600, permettent de simuler un
gatekeeper grâce à l'ajout de cartes spécialisées supportant les protocoles VoIP.
• La passerelle : il s'agit d'une interface entre le réseau commuté et le réseau IP.
Chapitre 1

• Le PABX : C'est le commutateur du réseau téléphonique classique. Il permet de faire

le lien entre la passerelle ou le routeur et le réseau RTC. Une mise à jour du PABX est
aussi nécessaire. Si tout le réseau devient IP, il n'y a plus besoin de ce matériel.
• Les Terminaux : Des PC ou des téléphones VoIP.

I-4-2 Gateway et Gatekeeper

L’un des éléments clefs d'un réseau VoIP sont la passerelle et leurs « Gatekeepers »
associés. Les passerelles ou gateways en téléphonie IP sont des ordinateurs qui fournissent
une interface où se fait la convergence entre les réseaux téléphoniques commutés (RTC) et
les réseaux basés sur la commutation de paquets TCP/IP. C'est une partie essentielle de
l'architecture du réseau de téléphonie IP. Le gatekeeper est l'élément qui fournit de
l'intelligence à la passerelle. Le gatekeeper est donc le compagnon logiciel de la gateway.

Tandis que le gateway permet aux terminaux d'opérer en environnements hétérogènes, un

gatekeeper doit assurer deux services principaux : la gestion des permission et la résolution
d'adresses, il doit ainsi répondre aux aspects suivant de la téléphonie IP :

 Le routage des appels : en effet, le gatekeeper est responsable de la fonction de

routage. Non seulement, il doit tester si l'appel est permis et faire la résolution
d'adresse mais il doit aussi rediriger l'appel vers le bon client ou la bonne passerelle.
 Administration de la bande passante : le gatekeeper alloue une certaine quantité de
bande passant pour un appel et sélectionne les codecs à utiliser. Il agit en tant que
régulateur de la bande passante pour prémunir le réseau contre les goulots
d'étranglement (bottle-neck).
 Tolérance aux fautes, sécurité : le gatekeeper est aussi responsable de la sécurité dans
un réseau de téléphonie IP. Il doit gérer les redondances des passerelles afin de faire
aboutir tout appel. Il connaît à tout moment l'état de chaque passerelle et route les
appels vers les passerelles accessibles et qui ont des ports libres.
 Gestion des différentes gateways : dans un réseau de téléphonie IP, il peut y avoir
beaucoup de gateways. Le gatekeeper, de par ses fonctionnalités de routage et de
sécurité, doit gérer ces gateways pour faire en sorte que tout appel atteigne sa
destination avec la meilleure qualité de service possible.

Ainsi, le gatekeeper peut remplacer le classique PABX. Cependant, Il n'existe pas les
mêmes contraintes avec un gatekeeper qu'avec un PABX. En effet, ce dernier est constitué
par du logiciel et l'opérateur peut implémenter autant de services qu'il le désire. Alors
qu'avec un PABX, l'évolutivité est limitée par le matériel propriétaire de chaque
constructeur, avec le gatekeeper, l'amélioration des services d'un réseau de téléphonie IP
n'a pas de limites. Le grand bénéfice du développement d'un gros gatekeeper est de
remplacer le PABX classique. En effet, chaque PABX utilise son propre protocole pour
communiquer avec les postes clients, ce qui entraîne un surcoût. Avec le couple
gateway/gatekeeper, ce problème n'existe pas. Il utilise des infrastructures qui existent, le
LAN et des protocoles tel qu'IP.

I-5 les avantages de la VoIP :

La VoIP offre de nombreuses nouvelles possibilités aux opérateurs et utilisateurs qui

bénéficient d'un réseau basé sur Ip. Les avantages les plus marqués sont les suivants :
Chapitre 1

I-5-1 Réduction des coûts :

En déplaçant le trafic voix Rtc vers le réseau privé WAN/IP les entreprises peuvent réduire
sensiblement certains coûts de communications. Réductions importantes mises en
évidence pour des communications internationales, ces réductions deviennent encore plus
intéressantes dans la mutualisation voix/données du réseau IP inter-sites (WAN). Dans ce
dernier cas, le gain est directement proportionnel au nombre de sites distants.

I-5-2 Choix d'un service opéré

Les services opérateurs ouvrent les alternatives VoIP. Non seulement l'entreprise peut opérer
son réseau privé VoIP en extension du réseau RTC opérateur, mais l'opérateur lui-même ouvre
de nouveaux services de transport VoIP qui simplifient le nombre d'accès locaux à un site et
réduit les coûts induits. Le plus souvent les entreprises opérant des réseaux multi-sites louent
une liaison privée pour la voix et une pour la donnée, en conservant les connexions RTC
d'accès local. Les nouvelles offres VoIP opérateurs permettent outre les accès RTC locaux, de
souscrire uniquement le média VoIP inter-sites.

I-5-3 Un service PABX distribué ou centralisé :

Les PABX en réseau bénéficient de services centralisés tel que la messagerie vocale, la
taxation, etc... Cette même centralisation continue à être assurée sur un réseau VoIP sans
limitation du nombre de canaux. A l'inverse, un certain nombre de services sont parfois
souhaités dans un mode de décentralisation. C'est le cas du centre d'appels où le besoin est
une centralisation du numéro d'appel (ex : numéro vert), et une décentralisation des agents du
centre d'appel. Difficile à effectuer en téléphonie traditionnelle sans l'utilisation d'un réseau IP
pour le déport de la gestion des ACD distants. Il est ainsi très facile de constituer un centre
d'appel ou centre de contacts (multi canaux/multi-médias) virtuel qui possède une
centralisation de supervision et d'informations.

I-5-4 Evolution vers un réseau de téléphonie sur Ip

La téléphonie sur IP repose totalement sur un transport VoIP. La mise en oeuvre de la VoIP
offre là une première brique de migration vers la téléphonie sur IP.

I-5-6 Intégration des services vidéo

La VoIP intègre une gestion de la voix mais également une gestion de la vidéo. Si nous
excluons la configuration des "multicasts" sur les composants du réseau, le réseau VoIP peut
accueillir des applications vidéo de type vidéo conférence, vidéo surveillance, e-learning,
vidéo on demand,..., pour l'ensemble des utilisateurs à un coût d'infrastructure réseau
supplémentaire minime.
Chapitre 1

II- Sécurité de la VoIP : IPS

II-1 Introduction :

Comme toute nouvelle technologie, la voix sur IP introduit de nouveaux risques et de

nouvelles attaques. Héritant à la fois des propriétés de la téléphonie traditionnelle et des
réseaux de données, la voix sur IP est donc susceptible de connaître les problématiques
sécurité de ces deux mondes. Ainsi, les attaques rencontrées dans la téléphonie traditionnelle
comme la manipulation des protocoles de signalisation ou encore le “phreaking”
(détournement du système de téléphonie pour éviter la facturation) trouvent un pendant en
téléphonie sur IP. Le but de ces attaques lui ne change pas : la fraude et la manipulation de
données. Par ailleurs, la sécurité des réseaux informatiques, plus complexes, offre un panel
d’attaques beaucoup plus large. Ainsi, tous les éléments du réseau, du niveau physique jusqu’à
la couche applicative, font partie intégrante de la sécurité de la voix sur IP et offrent des
possibilités d’attaques importantes et potentiellement inhabituelles en téléphonie classique
comme les dénis de service.

II-2 Les vulnérabilités de la VoIP :

Le système VoIP utilise l’Internet, de ce fait il hérite des bons, mais aussi des mauvais côtés
de celui-ci.

Deux types d’attaque sont possibles sur le réseau: l’attaque externe et l’attaque interne. Dans
un réseau VoIP, par exemple, les menaces externes sont des attaques lancées par une personne
autre que celle qui participe à un appel basé sur la VoIP. Les menaces externes se produisent
généralement quand les paquets de la voix traversent un réseau peu fiable et/ou l'appel
traverse un réseau tiers durant le transfert de message.

Il existe trois principales vulnérabilités sur un environnement VoIP. La première dépend des
protocoles utilisés (SIP, H.323 …), la deuxième est relative à l’infrastructure du réseau VoIP
alors que la dernière est reliée aux systèmes d'exploitation sur lesquels les éléments VoIP sont
implémentés. Chaque protocole ou service a ses propres vulnérabilités. Nous allons nous
intéresser particulièrement au protocole SIP puisque il sera notre protocole de signalisation et
on aura donc à établir notre solution de sécurité à partir des failles de ce protocole.

II-2-1 Les vulnérabilités du protocole :

Chapitre 1

Comme on a déjà mentionné lors de la présentation des standards VoIP, un appel téléphonique
VoIP est constitué de deux parties: la signalisation, qui instaure l'appel, et les flux de médias,
qui transportent la voix.

La signalisation, en particulier SIP, transmet les entêtes et la charge utile (Payload) du paquet
en texte clair, ce qui permet à un attaquant de falsifier facilement les paquets. Elle est donc
vulnérable aux faussaires qui essaient de voler ou perturber le service téléphonique et à
l’écoute clandestine qui recherche des informations sur un compte utilisateur valide, pour
passer des appels gratuits par exemple. La signalisation utilise, en général, le port par défaut
UDP/TCP 5060. Le firewall doit être capable d’inspecter les paquets de signalisation et ouvre
ce port afin de leur autoriser l’accès au réseau. Un firewall qui n'est pas compatible aux
protocoles de la VoIP doit être configuré manuellement pour laisser le port 5060 ouvert, créant
un trou pour des attaques contre les éléments qui écoutent l'activité sur ce port.

Le protocole RTP utilisé pour le transport des flux de média présente également plusieurs
vulnérabilités dues à l'absence d'authentification et de chiffrage. Chaque entête d’un paquet
RTP contient un numéro de séquence qui permet au destinataire de reconstituer les paquets de
la voix dans l'ordre approprié. Cependant, un attaquant peut facilement injecter des paquets
artificiels avec un numéro de séquence plus élevé. En conséquence, ces paquets seront
diffusés à la place des vrais paquets.

Généralement, les flux de médias contournent les serveurs proxy et circulent directement
entre les points finaux. Les menaces habituelles contre le flux de la voix sont l’interruption de
transport et l'écoute clandestine. Les protocoles de la VoIP utilisent TCP et UDP comme
moyen de transport et par conséquent sont aussi vulnérables à toutes les attaques de bas
niveau contre ces protocoles, telles que le détournement de la session (TCP) (session
Hijacking), la mystification (UDP) (spoofing), etc.

II-2-2 Les vulnérabilités de l’infrastructure :

Une infrastructure VoIP est composée de téléphones IP, gateway, serveurs (proxy, register,
location). Chaque élément, que ce soit un système embarqué ou un serveur standard tournant
sur un système d'exploitation, est accessible via le réseau comme n'importe quel ordinateur.
Chacun comporte un processeur qui exécute des logiciels qui peuvent être attaqués ou
employés en tant que points de lancement d’une attaque plus profonde.

a/ vulnérabilité des hosts

 Les téléphones IP

Un pirate peut compromettre un dispositif de téléphonie sur IP, par exemple un téléphone IP,
un softphone, ou d’autres programmes ou matériels clients. Généralement, il obtient les
privilèges qui lui permettent de commander complètement la fonctionnalité du dispositif.

Compromettre un point final (téléphone IP) peut être fait à distance ou par un accès physique
au dispositif. Le pirate pourrait modifier les aspects opérationnels d'un tel dispositif:

• La pile du système d'exploitation peut être changée. Ainsi la présence de l'attaquant ne

sera pas remarquée.
Chapitre 1

• Un firmware modifié de manière malveillante peut avoir été téléchargé et installé. Les
modifications faites à la configuration des logiciels de téléphonie IP peuvent permettre:

- Aux appels entrants d'être réorientés vers un autre point final sans que l'utilisateur
soit au courant.

- Aux appels d’être surveillés.

- A l'information de la signalisation et/ou les paquets contenant de la voix d’être routés

vers un autre dispositif et également d’être enregistrés et/ou modifiés.

- De compromettre la disponibilité du point final. Par exemple, ce dernier peut rejeter

automatiquement toutes les requêtes d’appel, ou encore, éliminer tout déclenchement
de notification tel qu’un son ou une notification visuelle à l’arrivée d’un appel. Les
appels peuvent également être interrompus à l’improviste (quelques téléphones IP
permettent ceci via une interface web).

• D’autres conséquences possibles sont:

- Des backdoors pourraient été installés.

- Toutes les informations concernant l'utilisateur qui sont stockées sur le dispositif
pourraient été extraites.

L’acquisition d'un accès non autorisé sur un dispositif de téléphonie IP peut être le résultat
d'un autre élément compromis sur le réseau IP, ou de l'information récoltée sur le réseau.

Les softphones ne réagissent pas de la même façon aux attaques comparés à leur homologues
téléphones IP. Ils sont plus susceptibles aux attaques dues au nombre de vecteurs inclus dans
le système, à savoir les vulnérabilités du système d'exploitation, les vulnérabilités de
l’application, les vulnérabilités du service, des vers, des virus, etc... En plus, le softphone
demeure sur le segment de données, est ainsi sensible aux attaques lancées contre ce segment
et pas simplement contre l’hôte qui héberge l’application softphone.

Les téléphones IP exécutent quant à eux leurs propres systèmes d’exploitation avec un
nombre limité de services supportés et possèdent donc moins de vulnérabilités.

 Les serveurs :

Un pirate peut viser les serveurs qui fournissent le réseau de téléphonie sur IP. Compromettre
une telle entité mettra généralement en péril tout le réseau de téléphonie dont le serveur fait
partie.

Par exemple, si un serveur de signalisation est compromis, un attaquant peut contrôler

totalement l'information de signalisation pour différents appels. Ces informations sont routées
à travers le serveur compromis. Avoir le contrôle de l'information de signalisation permet à un
attaquant de changer n'importe quel paramètre relatif à l’appel.

Si un serveur de téléphonie IP est installé sur un système d'exploitation, il peut être une cible
pour les virus, les vers, ou n’importe quel code malveillant.
Chapitre 1

b/ vulnérabilités de configuration des dispositifs VoIP :

- Plusieurs dispositifs de la VoIP, dans leur configuration par défaut, peuvent avoir
une variété de ports TCP et UDP ouverts. Les services fonctionnant sur ces ports
peuvent être vulnérables aux attaques DoS ou buffer overflows.

- Plusieurs dispositifs de la VoIP exécutent également un serveur WEB pour la

gestion à distance qui peut être vulnérable aux attaques buffer overflows et à la
divulgation d’informations.

- Si les services accessibles ne sont pas configurés avec un mot de passe, un

attaquant peut acquérir un accès non autorisé à ce dispositif.

- Les services SNMP (Simple Network Management Protocol) offerts par ces
dispositifs peuvent être vulnérables aux attaques de reconnaissance ou aux
buffer overflows.

- Plusieurs dispositifs de la VoIP sont configurés pour télécharger périodiquement

un fichier de configuration depuis un serveur par TFTP ou d'autres mécanismes.
Un attaquant peut potentiellement détourner ou mystifier cette connexion et
tromper le dispositif qui va télécharger un fichier de configuration malveillant à la
place du véritable fichier.

II-2-3 Les vulnérabilités du système d’exploitation :

Une des principales vulnérabilités des systèmes d'exploitation est le buffer

overflow. Il permet à un attaquant de prendre le contrôle partiel ou complet de la
machine.

Bien-sûr, ce n’est pas la seule vulnérabilité et elles varient selon le fabricant et la

version.

Elles sont pour la plupart relatives au manque de sécurité lors de la phase initiale
de développement du système d'exploitation et ne sont découvertes qu’après le
lancement du produit.

Les dispositifs de la VoIP tels que les téléphones IP, Call Managers, Gateways et
les serveurs proxy, … héritent les mêmes vulnérabilités du système d'exploitation
ou du firmware sur lequel ils tournent.

Il existe une centaine de vulnérabilités exploitables à distance sur Windows et

même sur Linux. Un grand nombre de ces exploits sont disponibles librement et
prêts à être téléchargés sur l'Internet.

Peu importe comment une application de la VoIP s'avère être sûre, ceci devient
discutable si le système d'exploitation sur lequel elle tourne est compromis.

II-3 Les attaques possibles sur un service VoIP :

Lors du lancement d’une attaque le pirate peut profiter de l’une ou d’une

association des vulnérabilités que présente l’architecture VoIP. Mais quelques soit
Chapitre 1

le type de l’attaque, les objectifs sont généralement la perturbation voir

l’interruption du service ou le vol des données VoIP et même du service.

II-3-1 Déni de service (DoS ) :

C’est l’une des attaque les plus fréquentes sur les réseaux en générale dès qu’il
s’agit de services à diffuser pour les clients ce qui est le cas de la VoIP.

Il existe deux sortes d’attaque de déni de service:

• Ceux qui exploitent les erreurs de programmation pour «faire tomber» routeurs
et serveurs (ex: attaque par buffer overflow),

• Ceux causés par une attaque par saturation.

L’attaque par saturation a pour but de rendre un élément particulier du réseau

indisponible, généralement en dirigeant une quantité excessive du trafic réseau à
ses interfaces. Cette attaque peut être distribuée (DDos) en impliquant la
collaboration de plusieurs ordinateurs. Dans ce cas, l’attaque comporte 2 phases:

Phase1: L’installation des logiciels maîtres et zombies. Les logiciels zombie

livrent concrètement l’assaut contre la victime, tandis que les logiciels maîtres,
installés sur d’autres ordinateurs, déclenchent l’attaque.

Phase2: Lancement de l’offensive.

Dans le cas de SIP, une attaque DoS peut être directement dirigée contre les
utilisateurs finaux ou les dispositifs tels que téléphones IP, routeurs, proxy SIP
etc… ou contre les serveurs concernés par le processus, en utilisant le
mécanisme du protocole SIP ou d’autres techniques traditionnelles de DoS.

Voici les différentes formes d’attaque DoS :

a/ CANCEL :

C’est un type de déni de service lancé contre l'utilisateur. L’attaquant surveille

l’activité du proxy SIP et attend qu’un appel arrive pour un utilisateur spécifique.

Une fois que le dispositif de l’utilisateur reçoit la requête INVITE, l'attaquant

envoie immédiatement une requête CANCEL. Cette requête produit une erreur
sur le dispositif de l’appelé et termine l'appel. Ce type d'attaque est employé
pour interrompre la communication.

L’utilisateur toto initie l’appel, envoie une invitation (1) au proxy auquel il est
rattaché. Le proxy du domaine A achemine la requête (2) au proxy qui est
responsable de l’utilisateur titi. Ensuite c’est le proxy du domaine B qui prend le
relais et achemine la requête INVITE (3) qui arrive enfin à destination. Le
dispositif de titi, quand il reçoit l’invitation, sonne (4). Cette information est
réacheminée jusqu’au dispositif de toto. L’attaquant qui surveille l’activité du
proxy SIP du domaine B envoie une requête CANCEL (7) avant que titi n’ait pu
envoyer la réponse OK qui accepte l’appel. Cette requête annulera la requête en
attente -l’INVITE-, l’appel n’a pas lieu, c’est un déni de service.
Chapitre 1

b/ BYE

Un autre type d’attaque lancée contre les utilisateurs est le déni de service par
requête BYE. Cette dernière est envoyée soit à l’appelant, soit à l’appelé.

C’est exactement le même scénario que l’attaque par CANCEL ,sauf que dans ce
cas-ci, l’attaquant attend qu’une réponse positive acceptant l’appel (4) soit
envoyée par titi pour lancer son attaque. Dès que la 200 OK est envoyée,
l’attaquant envoie une requête BYE à l’un des participants ou même aux deux, ce
qui terminera l’appel sans que les communiquants n’y puissent rien.

c/ REGISTER

Le serveur d'enregistrement lui-même est une source potentielle de déni de

service pour les utilisateurs. En effet ce serveur peut accepter des
enregistrements de tous les dispositifs. Un nouvel enregistrement avec une «*»
dans l'entête remplacera tous les précédents enregistrements pour ce dispositif.
Les attaquants, de cette façon, peuvent supprimer l’enregistrement de quelques-
uns des utilisateurs, ou tous, dans un domaine, empêchant ainsi ces utilisateurs
d'être invités à de nouvelles sessions.

Notez que cette fonction de suppression d’enregistrement d’un dispositif au profit

d’un autre est un comportement voulu en SIP afin de permettre le transfert
d’appel. Le dispositif de l’utilisateur doit pouvoir devenir le dispositif principal
quand il vient en ligne. C’est un mécanisme très pratique pour les utilisateurs
mais également pour les pirates.

d/ Abus des codes de réponses :

Le client doit se méfier de certaines réponses. En effet il ne peut pas faire

confiance à une réponse non-authentifiée terminant, redirigeant ou interférant
l’appel. Des espions peuvent avoir écouté la requête de ce client et générer une
réponse non authentifiée.

Le client doit plus particulièrement être prudent avec les réponses de redirection
(code 3xx) et d’erreur (codes 4xx à 6xx).

Exemple: l’attaque de déni de service en utilisant un serveur proxy intrus. Ce

dernier renvoie une réponse de code 6xx au client. Si le client n’ignore pas cette
réponse et envoie une requête vers le serveur "régulier" auquel il était relié
avant la réception de la réponse du serveur "intrus", la requête aura de fortes
chances d’atteindre le serveur intrus et non son vrai destinataire.

e/ SIP INVITE flood :

Un déni de service plus traditionnel et des attaques de déni de service distribué

sont possibles en utilisant les caractéristiques du protocole SIP. Envoyer
simultanément une requête INVITE à un grand nombre d'utilisateurs en falsifiant
l'adresse source est un exemple. En Conséquence, tous les dispositifs répondent
simultanément au même dispositif créant une situation de déni de service.
Chapitre 1

Le protocole SIP permet l’envoi de messages INVITE multiples entre les terminaux
afin d’implémenter des services comme l’appel en attente (call hold) ou la mise
en attente d'un correspondant (call park).

f/ Requêtes manipulés :

Dans de nombreuses architectures, les proxys SIP sont placés face à l'Internet
afin d'accepter les requêtes depuis le monde entier. Cette situation fournit un
certain nombre d'opportunités potentielles en faveur des attaques de déni de
service.

Les attaquants peuvent créer des fausses requêtes qui contiennent une adresse
IP source falsifiée et un entête Via qui identifient l’hôte cible. Ils envoient cette
requête à un grand nombre d'éléments du réseau SIP. De cette façon, un User
Agent SIP ou un proxy SIP est utilisé pour produire du trafic DoS visant la cible.

Les attaquants peuvent également essayer d'épuiser la mémoire disponible et les

ressources du disque d'un registrar en enregistrant un énorme nombre de
liaisons (binding).

Notez aussi qu’une attaque DoS peut priver le réseau d’adresses IP en épuisant le
pool d’adresses IP d’un serveur DHCP dans un réseau VoIP. Cette situation est
plus connue sous le nom d’épuisement de ressources.

On constate que le déni de service peut être accompli par divers moyens. Le DoS
plus traditionnel et les attaques DDoS demandent en général l’inondation d’un
hôte par un grand nombre de requêtes de service pour qu'aucune requête
légitime ne puisse être traitée.

II-3-2 Ecoute Clandestine (Eavesdropping) :

L’eavesdropping est l'écoute clandestine d’une conversation téléphonique. Un

attaquant avec un accès au réseau VoIP peut sniffer le trafic et décoder la
conversation vocale. Un outil nommé VOMIT (Voice Over Misconfigured Internet
Telephones) est téléchargeable facilement sur le web pour réaliser cette attaque.
VOMIT convertit les paquets sniffés en fichier .wav qui peut être réécouté avec
n’importe quel lecteur de fichiers son.

II-3-3 Call Hijacking :

Le Call hijacking consiste à détourner un appel. Plusieurs fournisseurs de service

VoIP utilisent le web comme interface permettant à l'utilisateur d’accéder à leur
système téléphonique. Un utilisateur authentifié peut changer les paramètres de
ses transferts d'appel à travers cette interface web. C’est peut être pratique,
mais un utilisateur malveillant peut utiliser le même moyen pour mener une
attaque.

Exemple: quand un agent SIP envoie un message INVITE pour initier un appel,
l'attaquant envoie un message de redirection 3xx indiquant que l’appelé s'est
déplacé et par la même occasion donne sa propre adresse comme adresse de
Chapitre 1

renvoi. A partir de ce moment, tous les appels destinés à l’utilisateur sont

ransférés et c’est l’attaquant qui les reçoit.

Un appel détourné en lui-même est un problème, mais c’est encore plus grave
quand il est porteur d'informations sensibles et confidentielles.

II-3-4 Sniffing :

Un reniflage (sniffing) peut avoir comme conséquence un vol d'identité et la

révélation d'informations confidentielles. Il permet également aux utilisateurs
malveillants perfectionnés de rassembler des informations sur les systèmes VoIP.
Des informations qui peuvent par exemple être employées pour mettre en place
une attaque contre d'autres systèmes ou données.

Tous les outils requis pour renifler, y compris pour le protocole H.323 et des
plugins SIP pour les renifleurs de paquet (packet sniffer) existants, sont
disponibles en open source.

II-3-5 Interruption du trafic (Traffic Flow Distribution) :

Les paquets de données ne circulent pas sur une connexion dédiée pour la durée
d'une session, par conséquent, un attaquant peut manipuler le routage des
paquets et causer un délai dans certains chemins, obligeant ainsi ces paquets à
prendre un autre chemin choisi par l’attaquant. Ceci a comme conséquence:

- Augmentation de la vulnérabilité de reniflage parce que l’attaquant peut très

bien prévoir l’endroit idéal pour placer un dispositif de sniffing.

- Augmentation de la vulnérabilité face à l’attaque DoS.

II-3-6 REPLAY :

Cette attaque consiste à retransmettre de la véritable session de sorte que le

dispositif qui la reçoit retraite l'information.

II-3-7 Man In the Middle (intégrité des messages)

MITM est une attaque au cours de laquelle la personne malveillante a la capacité

de lire, insérer ou modifier les messages échangés entre les deux parties, et cela
sans qu’elles n’en soient conscientes. Ce type d’attaque peut notamment être
utilisé pour réaliser des écoutes ou encore des dénis de service.

II-3-8 Fraude de facturation

Un attaquant peut emprunter l’identité d’un véritable utilisateur ou même d’un

téléphone IP et l’utiliser pour faire des appels longue distance gratuits sur le
réseau VoIP.

Une autre forme de cette attaque est, par exemple, des messages SIP BYE
truqués et OK échangés qui semblent terminer un appel. La facturation est
arrêtée alors que le chemin des médias est resté ouvert. Si ces attaques ne sont
pas décelées, d’énormes revenus peuvent être dérobés à une entreprise.
Chapitre 1

II-3-9 SPAM

Trois formes principales de spams sont jusqu’à maintenant identifiés dans SIP:

- Call Spam: Ce type de spam est défini comme une masse de tentatives
d’initiation de session (des requêtes INVITE) non sollicitées. Généralement c’est
un UAC (User Agent Client: ex Sip Softphone, téléphones IP …) qui lance, en
parallèle, un grand nombre d'appels. Si l’appel est établi, l'application
spammeuse génère un ACK, joue une annonce préenregistrée, et ensuite termine
l'appel.

- IM (Instant Message) Spam: Ce type de spam est semblable à celui de l'e-mail. Il

est défini comme une masse de messages instantanés non sollicitées. Les IM
spams sont pour la plupart envoyés sous forme de requête SIP. Ce pourraient être
des requêtes INVITE avec un entête Subject très grand, ou des requêtes INVITE
avec un corps en format texte ou HTML. Bien-sûr, l’IM spam est beaucoup plus
intrusif que le spam email, car dans les systèmes actuel, les IMs apparaissent
automatiquement (pop up) à l'utilisateur.

- Presence Spam: Ce type de spam est semblable à l’IM spam. Il est défini comme
une masse de requêtes de présence (des requêtes SUBSCRIBE) non sollicitées.
L’attaquant fait ceci dans le but d’appartenir à la "white list" d'un utilisateur afin
de lui envoyer des messages instantanés ou d’initier avec lui d’autres formes de
communications. L’IM Spam est différent du Presence Spam dans le fait que ce
dernier ne transmet pas réellement de contenu dans les messages.

II-4 Les mécanismes de sécurité :

Pour se protéger contre ces catégories d’attaques, différents procédures de
sécurité existent. Ces procédures diffèrent autant pour les mécanismes employés
que pour leur emplacement dans l’architecture réseau.

II-4-1 La sécurité physique :

La sécurité physique est une partie essentielle de tout environnement sécurisé.

Elle doit permettre la limitation des accès aux bâtiments et équipements (ainsi
qu’à toutes les informations qu’ils contiennent) évitant ainsi les intrusions
inopportunes, le vandalisme, les catastrophes naturelles, et les dommages
accidentels (pic d’intensité électrique, température trop élevée…).

A moins que le trafic Voix ne soit chiffré sur le réseau, toute personne ayant un
accès physique au réseau d’une société peut potentiellement se connecter à tout
moment et intercepter des communications. En effet, même avec le chiffrement
des communications mis en place, un accès physique aux serveurs Voix ou aux
Chapitre 1

passerelles peut permettre à un attaquant d’observer le trafic. Une politique de

contrôle d’accès pour restreindre l’accès aux composants du réseau de ToIP via
des badgeuses, serrures, service de sécurité, etc., permettra d’établir un premier
périmètre sécurisé.

Lors de la mise en place d’un système de ToIP, l’alimentation électrique doit être
étudiée en détail pour éviter toute interruption de service due à une coupure de
courant.

II-4-2 La sécurité de l’architecture réseau

En fonction des options de déploiement choisies, il est probable que la majorité

des systèmes doivent être accessibles depuis “partout ”. Il convient donc de
sécuriser ces éléments comme tout serveur, et dans la mesure du possible de
mettre en place une solution avec des pare-feux et des IPS/IDS.

La séparation entre le flux voix et data peut se faire au niveau du réseau à l’aide
de VLANs.

La sécurité des serveurs

L’ensemble des serveurs participant à une solution de ToIP doit respecter une
procédure de mise en place standard et être sécurisé avant toute connexion au
réseau. Une seule équipe au sein de l’entreprise doit être en charge de la
rédaction des procédures d’installation et de sécurisation des serveurs et cela
quel que soit le type de système (Windows, Linux, Unix propriétaire, etc.).

La sécurisation des serveurs comprend notamment :

> La suppression des comptes inutiles,

> La vérification du bon niveau de droit des différents comptes,

> La suppression des services inutiles,

> La suppression des logiciels ou modules inutiles,

> Le bon niveau de correction par rapport aux publications des

éditeurs/constructeurs.

Par ailleurs, nous recommandons un audit régulier des serveurs en production

par la même équipe. Celle-ci vérifiera le bon fonctionnement des serveurs et
s’assurera que les utilisateurs ne détournent pas les serveurs de leurs
fonctionnalités initiales, provoquant alors une baisse du niveau de sécurité de
l’entreprise.

La sécurité des SoftPhones et HardPhones IP

Les agents de SoftPhones IP résident par inhérence dans le segment de données

mais requiert un accès au segment de voix afin de pouvoir contrôler des appels,
passer des appels et de laisser des messages vocaux. Toutefois, les SoftPhones
ne sont pas immunisés contre les attaques envers les HardPhones. Les
SoftPhones PCs sont même plus vulnérables que les HardPhones et ceci pour la
Chapitre 1

simple et bonne raison qu’il existe un grand nombre d’accès possibles dans un
système PC. Ces possibilités d’accès dépendent de l’OS, des applications
résidentes et des services autorisés qui sont tous sujets aux vers, aux virus, etc.
De plus, les SoftPhones doivent résider à la fois sur le segment de données et sur
le segment VoIP et sont de ce fait sensibles aux attaques envers l’entièreté du
réseau et pas juste le PC lui-même. Par contre, les HardPhones IP doivent être
situés dans le segment de VoIP/SIP et s’exécutent sur des OS propriétaires
implémentant des services réseaux limités et ont donc certainement moins de
vulnérabilités. Puisque le déploiement de SoftPhones fournit une brèche
intéressante pour des attaques malveillantes envers le segment de voix, ces
téléphones représentent un grand risque pour l’entièreté de l’environnement de
VoIP/SIP.
De nombreux HardPhones IP fournissent un port de donnée séparé pour la
connexion d’un PC. Donc, seul un câble est requis pour permettre la connectivité
de données et de voix sur le PC de l’utilisateur. En outre, certains HardPhones IP
sont uniquement capables de fournir une connectivité basique de niveau 2. Ils
jouent donc le rôle d’un hub en combinant les segments réseau de données et de
voix. Tandis que d’autres téléphones IP offrent une connectivité de niveau 2
étendue permettant l’utilisation de la technologie VLAN afin de placer le
téléphone et le trafic de données sur deux différents VLANs. Pour assurer une
séparation logique de la voix et des données afin de maintenir la sécurité de
l’environnement de VoIP/SIP, uniquement les HardPhones implémentant le VLAN
de niveau 2 étendu doivent être utilisés.
En effet, n’importe quelles connexions entre les segments de voix et de donnée
requises par les téléphones pour l’accès à la boîte vocale de messages doivent
être contrôlées en bloquant l’accès direct des données au segment de réseau de
voix afin d’éviter que les vulnérabilités de données et les tunnels de données ne
compromettent le segment de voix. Ceci peut être effectué en plaçant un firewall
entre les segments de voix et de donnée.

RADIUS et AAA

RADIUS (Remote Authentication Dial In User Service) est un protocole et une

application client/serveur qui permet d’authentifier des utilisateurs et autoriser
leurs accès à tel ou tel système ou service. Ce système est un élément de
sécurité très intéressant au niveau de l’entreprise. C’est pourquoi il serait
intéressant de combiner RADIUS et SIP pour de la VoIP sécurisée.
Malheureusement pour le moment, il n’existe pas de standard pour l’utilisation
de RADIUS avec SIP.
Actuellement, c’est l’authentification basique et digest qui sont utilisées dans SIP.
Récemment, le groupe de travail AAA (protocole d’Authorizatrion-Authentifiction-
Accounting) de l’IETF a beaucoup travaillé sur un protocole extensible
d’authentification (Extensible Authentication Protocol) dans le protocole SIP.
L’avantage est que de nouveaux modèles d’authentification peuvent être utilisés
sans modifications du protocole SIP. Ceci est dû au fait que le paquet EAP, pour
un modèle d’authentification particulier, est envoyé d’une manière transparente
par le protocole SIP.
Toutefois, l’utilisation des authentifications basique et digest sont actuellement
préférables pour continuer à être utilisées directement dans le protocole SIP. D’ici
un proche avenir, leur interopérabilité avec une authentification de type RADIUS
sera une réelle nécessité.
D’ailleurs, SER (SIP Express Router) dans sa dernière version nous donne la
possibilité d’installer un module d’authentification RADIUS en collaboration avec
Chapitre 1

le proxy SIP. Cela laisse à croire que l’utilisation de RADIUS en entreprise pour la
VoIP n’est qu’une question de temps.
La Figure ci dessous décrit un scénario générique où le UAC et le proxy SIP
communiquent en utilisant le protocole SIP de manière standard alors que le
Proxy SIP et le serveur RADIUS communiquent en utilisant RADIUS tout en restant
transparent au UAC.

Figure - Scénario d'authentification d’UAC avec

RADIUS

La séparation et la sécurisation des flux :

Une fois numérisé, le trafic voix n’est plus identifiable comme tel et se confond
avec les flux data sur le réseau. Il devient ainsi victime des problèmes rencontrés
couramment en data. Si l’on réussit à séparer les flux avant d’en arriver à cette
situation, un traitement particulier peut alors être mis en place et permettre de
réduire autant que possible ce type d’inconvénients (broadcast, congestions,
DoS, …). La séparation des flux voix et data peut être réalisée via l’utilisation de
techniques comme les VLAN, la mise en place de qualité de service ou encore de
filtrage.

VLAN

La séparation logique des flux voix et data à l’aide de VLAN est une mesure
fortement recommandée. Elle doit permettre d’éviter que les incidents rencontrés
sur l’un des flux ne puissent perturber l’autre. Les VLAN ou réseaux locaux
virtuels, peuvent être représentés comme une séparation logique d’un même
réseau physique. Cette opération se fait au niveau 2 du modèle OSI. On notera
cependant qu’un VLAN est souvent configuré pour correspondre directement à un
subnet IP bien identifié, préparant ainsi le travail à effectuer sur la couche
supérieure.
Chapitre 1

Dans un environnement commuté complet, les VLAN vont créer une séparation
logique des domaines de broadcast et de collisions – des problèmes dus à ces
deux éléments sont souvent rencontrés dans des LAN trop importants ou
lorsqu’on utilise encore des hubs.

De plus, la réduction des domaines de broadcast permet de réduire le trafic sur le

réseau, libérant ainsi plus de bande passante pour les applications utiles et
réduisant les temps de traitement sur les périphériques réseau.

On peut utiliser cette technique pour organiser les postes utilisateurs selon leurs
situations physiques dans les bâtiments, le service auquel appartient l’utilisateur,
la vitesse de connexion, ou tout autre critère ayant du sens dans l’entreprise. Un
renforcement de la sécurité peut être réalisé en mettant en place un filtrage
inter-VLAN, n’autorisant que les utilisateurs d’un VLAN à y accéder. Le risque de
DoS peut ainsi être réduit.

Firewalls

Un pare-feu (appelé aussi coupe-feu, garde-barrière ou “firewall” en anglais), est

un système permettant de protéger un ordinateur ou un réseau d'ordinateurs des
intrusions provenant d'un réseau tiers (notamment Internet). Le pare-feu filtre les
paquets de données échangés avec le réseau. Il s'agit ainsi d'une passerelle
filtrante comportant au minimum les interfaces réseau suivantes :

> Une interface pour le réseau à protéger (réseau interne),

> Une interface pour le réseau externe.

Le système firewall est un système logiciel, reposant parfois sur un matériel

réseau dédié, constituant un intermédiaire entre le réseau local (ou la machine
locale) et un ou plusieurs réseau(x) externe(s). Il est possible de mettre un
système pare-feu sur n'importe quelle machine et avec n'importe quel système
pourvu que :

> La machine soit suffisamment puissante pour traiter le trafic,

> Le système soit sécurisé,

> Aucun autre service que le service de filtrage de paquets ne fonctionne sur le
serveur.

Fonctionnement d’un système pare-feu

Un système pare-feu contient un ensemble de règles prédéfinies permettant :

> D’autoriser la connexion (“allow”),

> De bloquer la connexion (“deny”),

> De rejeter la demande de connexion sans avertir l'émetteur (“drop”).

Chapitre 1

L'ensemble de ces règles permet de mettre en œuvre une méthode de filtrage

dépendant de la politique de sécurité adoptée par l'entité.

On distingue habituellement deux types de politiques de sécurité permettant :

> Soit d'autoriser uniquement les communications ayant été explicitement

autorisées : "Tout ce qui n'est pas explicitement autorisé est interdit",

> Soit d'empêcher les échanges qui ont été explicitement interdits.

La première méthode est sans nul doute la plus sûre, mais elle impose toutefois
une définition précise et contraignante des besoins en communication.

Les limites des firewalls

Un système pare-feu n'offre bien évidemment pas une sécurité absolue, bien au contraire. Les firewalls
n'offrent une protection que dans la mesure où l'ensemble des communications vers l'extérieur passe
systématiquement par leur intermédiaire et qu'ils sont correctement configurés. Ainsi, les accès au
réseau extérieur par contournement du firewall sont autant de failles de sécurité. C'est notamment le
cas des connexions effectuées à partir du réseau interne à l'aide d'un modem ou de tout moyen de
connexion échappant au contrôle du pare-feu.

N-IDS/H-IDS

Les systèmes de détection d’intrusion réseau ou NIDS (Network-based Intrusion Detection Systems)
ont pour but d’alerter les administrateurs de la solution en cas de trafic anormal ou jugé malicieux.
Un trafic qualifié de malicieux peut correspondre à la propagation d’un ver ou d’un exploit connu
(programme développé spécifiquement pour exploiter une faiblesse clairement identifiée dans un
logiciel donné), tandis qu’un trafic anormal fait plutôt référence à une utilisation détournée du réseau
(par rapport à son but premier) et aux règles de sécurité définies (une connexion en Peer-to-Peer par
exemple).
La détection d’intrusion système ou HIDS (Host-based Intrusion Detection System) fait référence à
une famille de logiciels collectant des informations sur les serveurs ou encore les postes utilisateurs
pour les analyser. Ce type d’action permet d’avoir une vue détaillée sur les différentes activités et
d’identifier les processus ou les utilisateurs ayant des activités non autorisées. La mise en place de ces
deux types de systèmes est conseillée.
L’utilisation de sondes NIDS aux points clés du réseau – accès internet, DMZ, etc. – permet de
superviser une partie importante du trafic aux points sensibles de l’infrastructure.
La gestion courante de ces sondes est réalisée autant que possible via des liens sécurisés (chiffrés). On
notera que pour une efficacité maximum, et donc un minimum d’erreur de qualification dans les
incidents (“false positive”), des mises à jour régulières et une configuration précise et détaillée seront
nécessaires .
Chapitre 1

Les sondes d’intrusion système doivent être mises en place sur l’ensemble des serveurs participant aux
infrastructures ToIP (DNS, DHCP, TFTP, RADIUS, NTP, LDAP…) et suivre un processus de
supervision en temps réel au sein de l’entreprise.

N-IDS/N-IPS

N-IDS pour Network-based Intrusion Detection System — Terme traditionnellement utilisé pour
désigner des solutions travaillant en mode « promiscuité » (comme les sniffers) et capables de
remonter des alertes lors d’intrusions sur le réseau.
N-IPS pour Network-based Intrusion Prevention System — Terme commun pour désigner les
solutions situées en passerelle ou en coupure sur un segment du réseau, forçant le trafic à circuler par
le système et proposant des contre-mesures sur le réel trafic analysé.

NAT

L’utilisation de NAT permet à la fois de parer au manque flagrant d’adresses IP publiques mais aussi
bien de cacher le réseau privé au réseau publique. C’est donc un élément de sécurité très intéressant.
Mais cela n’est pas sans frais, en effet, l’utilisation d’un NAT avec de la VoIP crée des problèmes de
translations d’adresses contenues dans la cargaison des messages SIP. Il est possible de contourner ce
problème mais cela peut induire de nouvelles failles de sécurité. Si la méthode utilisée pour parer au
problème du NAT nécessite la mise en place de systèmes sur le réseau publique, il faudra alors
s’assurer que ces systèmes soient sécurisés de manières à ne pas compromettre la sécurité du réseau
privé.

II-4-3 Exemples de mécanismes de sécurité pour le protocole SIP :

Le cryptage:

Les messages SIP peuvent contenir des données confidentielles. Pour les protéger, SIP possède 3
mécanismes de cryptage:

- Cryptage de bout en bout du corps du message SIP et de certains champs d’entête sensibles
aux attaques,

- Cryptage au saut par saut (hop by hop),

- Cryptage au saut par saut du champ d’entête Via pour dissimuler la route qu’a empruntée la
requête.

Toutes les requêtes et réponses SIP ne peuvent pas être cryptées de bout en bout car les champs
d’entête To et Via doivent être lisibles par les proxis SIP (pour router correctement les requêtes et
Chapitre 1

réponses). Par contre, elles peuvent toutes être intégralement cryptées au saut par saut.
Authentification:

Afin d’empêcher tout intrus de modifier et de retransmettre des requêtes ou réponses SIP, des
mécanismes de contrôle d’intégrité et d’authentification des messages sont mis en place. Les
mécanismes des couches réseau et transport sont utilisés pour l’authentification des messages transmis
au saut par saut. Et pour des messages SIP transmis cryptés de bout en bout, des clés publiques et des
signatures sont utilisées et stockées dans les champs d’entête Authorization.

Ces mesures aident à prévenir l’écoute clandestine. Leur application empêche les
pirates de saisir et de mystifier l’information.

II-4-4 IP Security (IPSec)

IPSec est un mécanisme général qui peut être utilisé pour protéger les messages
SIP proprement au niveau IP. Avec SIP, chaque proxy sur le chemin doit avoir un
accès en lecture/écriture sur l’entête des messages SIP afin de pouvoir
ajouter/retirer des valeurs VIA. L’utilisation d’IPSec ESP (Encapsulating Security
Payload) ou AH (Authentification Header) en mode transport doit donc être
utilisée sur une base hop-by-hop. Les associations de sécurité IPSec nécessaires
peuvent être établies de manière permanente sans participation active des UAs
SIP utilisant les connexions ou alors il est également possible de se faire à la
volée par les UAs et les proxis eux-mêmes en étroite interaction
le stack IPSec sous jacent.

II-4-5 Connexions VoIP/SIP WAN-à-WAN

Quand des connexions VoIP/SIP WAN-à-WAN sont établies, la confidentialité

d’appel est lésée. Afin d’assurer le même respect de cette confidentialité que
celle fournie par les PSTN existants, il faut chiffrer tous les appels WAN-à-WAN.
Ceci peut se faire de plusieurs manières : Le chiffrement de bout-en-bout, lequel
requiert que les téléphones IP aient beaucoup de puissance de traitement et la
capacité de supporter le chiffrement, ce qui n’est pas toujours possible. Quant
aux vendeurs de VoIP/SIP, ils ne fournissent pas tous la possibilité de chiffrer (tout
du moins pour le moment, ces vendeurs sont actuellement une minorité) depuis
le terminal abonné. Toutefois, le chiffrement peut être effectué au niveau liaison
(link-layer) à travers l’utilisation de la technologie VPN. Les passerelles sont
normalement désignées pour supporter de lourdes charges de traitement et sont
également capable de fournir un chiffrement au niveau liaison. Si ceci est
Chapitre 1

implémenté, alors les deux méthodes seront transparentes pour la communauté

d’abonné.

II-4-6 Services de Voice Mail VoIP/SIP

Le service de boîte vocale de messages dans un environnement de VoIP/SIP peut

se faire suivant différentes configurations. Par exemple, une plateforme voicemail
peut se connecter à une passerelle de VoIP/SIP pour fournir les services aux
utilisateurs de VoIP/SIP. En plus de fournir ce service, de nombreux systèmes de
voicemail sont également capables de fournir une messagerie unifiée en
interagissant avec les systèmes de messagerie e-mail existants.
Avec la messagerie unifiée, le serveur de voicemail doit être logiquement
connecté au réseau de donnée. La plateforme de voicemail doit être configurée
pour être connectée à la passerelle VoIP/SIP à travers un firewall d’inspection
statefull. Le firewall doit être configuré pour refuser tout le trafic entre le VLAN de
voix et le réseau de donnée sauf le trafic nécessaire pour transférer et recevoir
des appels vocaux et des messages entre les téléphones abonnés, la passerelle
VoIP/SIP et la plateforme de voicemail. Cette configuration est nécessaire afin de
limiter les risques d’attaques de type DoS sur le réseau de donnée et/ou le
réseau de VoIP/SIP. Le fait de filtrer le trafic va également diminuer le risque
d’exploits de vulnérabilités sur les OS supportant les services de téléphonie de
VoIP/SIP.
Le service de voicemail est généralement configuré pour s’exécuter sur des OS
ordinaires, tels que Microsot Windows NT/2000 et Unix/Linux. La marche à suivre
doit être faite de telle manière qu’elle assure que ces OS sont sécurisés. Les
applications supportant le service de voicemail doivent aussi être sécurisées. Par
exemple, MS SQL Server peut être utilisé pour supporter les droits d’accès des
abonnés ou MS IIS (serveur Web de Microsoft) peut être utilisé pour permettre
aux abonnés de changer leurs paramètres de voicemail en utilisant un navigateur
Internet via un protocole sécurisé tel que SSL (telnet et HTTP doivent être
désactivés).

II-4-7 Wireless LAN et VoIP/SIP

Au fil que la technologie de VoIP se développe, la combinaison de la VoIP et de la

technologie sans fil est vite devenue un cas réel d’implémentation de grande
envergure (il existe déjà des téléphones SIP sans fils, les HardPhones SIP
Chapitre 1

wireless). Une relativement nouvelle possibilité dans le domaine du wireless est

d’utiliser le standard 802.11 WLAN.
Cette nouvelle technologie suscite encore d’avantage les intérêts de la VoIP tels
que la QoS, la capacité du réseau, le dimensionnement, l’architecture et surtout
la sécurité. Le succès de la VoIP/SIP sur la technologie WLAN sera lié à la capacité
que les WLANs ont de supporter de manière adéquate la QoS. Beaucoup de
gouvernements sont en train d’étudier les solutions mobiles de communication
qui comprennent la VoIP/SIP sur WLAN, ce qui permet de définir des besoins
critiques communs en ce qui concerne l’interopérabilité et la flexibilité.