Académique Documents
Professionnel Documents
Culture Documents
Mars 2010
Espace Menaces
La loi du 11 mars 1957 n'autorisant, aux termes des alinas 2 et 3 de l'article 41, d'une part, que les copies ou reproductions
strictement rserves l'usage priv du copiste et non destines une utilisation collective et, d'autre part, que les analyses
et les courtes citations dans un but d'exemple et d'illustration, toute reprsentation ou reproduction intgrale, ou partielle,
faite sans le consentement de l'auteur ou de ayants droit ou ayants cause est illicite (alina 1er de l'article 40)
Cette reprsentation ou reproduction, par quelque procd que ce soit, constituerait donc une contrefaon sanctionne par les
articles 425 et suivants du Code Pnal
REMERCIEMENTS ............................................................................................... 4
GENERALITES ................................................................................................... 5
2.1
INTRODUCTION ...............................................................................................5
2.2
2.3
2.3.1
Disponibilit ...........................................................................................6
2.3.2
Intgrit ................................................................................................7
2.3.3
Confidentialit ........................................................................................8
2.3.4
Imputabilit............................................................................................8
2.3.5
2.4
3
3.1.2
Architecture ......................................................................................... 12
3.1.3
3.2.1
3.2.2
3.2.3
3.2.4
3.2.5
3.2.6
3.2.7
3.2.8
3.3
3.1.1
3.2
3.3.1
Larchitecture ....................................................................................... 23
3.3.2
3.3.3
3.3.4
3.3.5
4.1.2
4.1.3
CONCLUSION...................................................................................................40
3/42
CLUSIF 2010
1 REMERCIEMENTS
Le CLUSIF tient mettre ici l'honneur les personnes qui ont rendu possible la ralisation de ce document, tout particulirement :
Benoit
LE MINTIER
ERCOM
Jean-Franois
POMMIER
ERCOM
Michel
BERTIN
Indpendant
Jean-Charles
SIMON
Michelin
Jean-Marc
GREMY
Cabestan Consultants
4/42
CLUSIF 2010
2 GENERALITES
2.1 Introduction
Les enjeux de la scurit des moyens de communication voix ne sont gnralement
pas spcifiquement identifis au sein des entreprises et des administrations. Par
consquent, trs peu de politiques de scurit des systmes dinformation (SI)
prennent leur compte ces moyens de communication et leurs volutions.
Les normes et standards existants qui tendent jouer et tenir une place importante dans le paysage de la scurit des systmes dinformation (i.e. la srie ISO
27000), nintgrent pas, directement, la tlphonie ou les moyens de communication voix aussi bien dans lapprciation des risques que dans les propositions de
mesure, techniques et organisationnelles.
Ce document est donc destin apporter de linformation et une sensibilisation
auprs des responsables de diverses entits : Tlcommunication, Informatique,
Services Gnraux Services Financiers, Risks Management et Contrles et Inspection. Il permettra aussi dinterpeller chaque dirigeant sur la place importante
qu'occupe la phonie dans le systme d'information et de communication de
lentreprise.
Vue travers le prisme de la scurit, l'acquisition d'une vision globale des risques
et la connaissance des contre-mesures est une premire tape vers le choix de
moyens et de procdures de scurit. Ce document, par la prsentation des technologies et des risques inhrents, guidera le lecteur pour quil puisse avoir une vision globale des enjeux de scurit de la voix.
5/42
CLUSIF 2010
disponibilit,
intgrit,
confidentialit,
imputabilit,
conformit aux lois et rglements.
Time Division Multiplexing ou multiplexage temporel. Cest une technique de transmission (voix,
donnes ou images) permettant un metteur de transmettre plusieurs communications simultanment sur un mme support de communication en allouant un temps de transmission identique
chaque canal.
Moyens de Communication Voix :
Prsentation et Enjeux de Scurit
6/42
CLUSIF 2010
Les architectures mises en uvre et les quipements associs doivent rpondre aux
besoins, notamment :
Des fonctionnalits de redondance et de recouvrement automatique pour
une disponibilit 24h/24 et 7j/7 ;
une gestion des appels et de la bande passante pour optimiser les flux en
gnral et imprativement les flux prioritaires (ex. appels durgence) ;
une administration et une supervision de linfrastructure globale ;
le contrle et une maintenance de lensemble.
Nous pouvons galement rflchir aux enjeux de la disponibilit de la tlphonie
cellulaire : interruption due la mto, situation de crise avec saturation (notion
de rseau partag, etc.), indisponibilit de la voix pour les VIP et pour les oprationnels, enjeux de la batterie pour les portables, enjeux des accords de roaming,
etc.
Quels sont les impacts financiers, de notorit ou dimage dune indisponibilit des
moyens de communication tlphonique pour lentreprise ?
Destruction du systme d'exploitation grant le PABX (autocommutateur)
ou le serveur de communication ;
gnration de charge sur le rseau (fonctionnement dgrad) ;
panne lectrique ;
indisponibilit des ressources.
Quel est limpact sur limage de lentreprise en cas de perte dexploitation du systme tlcom et tlphonique le jour du lancement dune campagne de tlmarketing ?
Blocage de lignes et qualit de l'accueil ;
recomposition des messages d'assistance vocale.
2.3.2 Intgrit
Le paramtrage des fonctionnalits de la tlphonie est accessible par des administrateurs. Dans le cas de la tlphonie cellulaire les paramtres sont potentiellement accessibles au travers des outils dadministration intgrs.
Quels seraient les impacts dun changement de programmation du systme tlphonique ou du tlphone mobile ?
7/42
CLUSIF 2010
2.3.3 Confidentialit
Une des usages important et frquent du tlphone dans les organisations est la
communication dinformation stratgique entre dirigeants ou dcideurs.
Quel serait limpact dun accs malveillant des informations traites par le systme tlphonique ?
2.3.4 Imputabilit
Pour assurer les fonctions de facturation interne comme le suivi des communications et des cots globaux, les systmes tlphoniques embarquent des fonctions
de comptabilisation des communications : qui appelle qui, combien de temps durent les communications, pour lessentiel.
Quel serait limpact dune connexion malveillante en tlmaintenance sur le PABX
non trace, ou le rebond depuis le PABX vers un numro surtax ?
8/42
CLUSIF 2010
Programmation dficiente :
interception de la sur numrotation,
effacement de traces, fonctionnalits
caches
Administration PBX
/ LDAP
/ consoles POPC
/ MEVO Numrique
Poste
Utilisateur
Administration
via IP :
pntration LAN
Firewall
coutes sur
Ethernet
INTERNET
Dni de
service
IP Spoofing
Poste
utilisateur
fax
Oprateur mobile
Serveur
IPBX
Passerelle GSM
RTC P
PABX
Entre en tiers
discrte / illicite
T2
modem
Dtournement des
lignes fax, modem
Identification
des appels
coute
Stabilit
Informatique
lectrique
modem
Accs
Physiques
Violation
daccs
Accs tlmaintenance
9/42
CLUSIF 2010
10/42
CLUSIF 2010
Fraude financire
Accs au PABX depuis lextrieur via la fonction DISA2, revente de cartes prpayes
pour des communications vers des pays exotiques, imputation des cots des communications lentreprise pirate.
Nota : La tlphonie cellulaire a galement son lot dattaque avec par exemple le
sniffage du carnet dadresse, du calendrier et des contacts via linterface Bluetooth dans les lieux publics.
DISA, Direct Inward System Access. Permet un utilisateur dutiliser le PABX depuis le rseau public commut (par exemple passer un appel depuis lextrieur avec comme numro appelant son numro interne)
Moyens de Communication Voix :
Prsentation et Enjeux de Scurit
11/42
CLUSIF 2010
3.1.2 Architecture
Il comporte synthtiquement :
Une unit centrale (carte UC) qui effectue les traitements.
Une mmoire de masse (disque dur ou mmoire flash) qui contient le programme de gestion des appels tlphoniques (en particulier le routage entre le rseau interne de lentreprise et le rseau public externe de
loprateur), ainsi que les paramtres de configuration (numros de postes,
numros de SDA, etc.).
Des entres/sorties grer comprenant, dune part des lignes rseaux
(i.e. vers le rseau tlphonique public externe), dautre part des lignes
de postes (i.e. vers le rseau tlphonique priv interne lentreprise).
Une possibilit daction sur ces entres/sorties par l'intermdiaire de la
matrice de commutation, qui met en connexion les lignes de postes et les
lignes rseau.
12/42
CLUSIF 2010
Rseau de Commutation
S0
S2
Lignes
d abonns
I
N
T
E
R
F
A
C
E
U
S
A
G
E
R
I
N
T
E
R
F
A
C
E
BUS
Facilits
UC
Donnes
usager
Unit de
Console
Mmoire
Vive
R
E
S
E
A
u
T0
T2
MIC
RTC Analogique
Module
dAdmin
Console
dadministration
13/42
CLUSIF 2010
3.1.3.2 La confrence
La confrence : il s'agit d'une mise en communication simultane de trois
intervenants (ou plus). Si le poste local raccroche, le PABX essaye de maintenir la communication entre les autres interlocuteurs, mme si ces derniers sont externes lentreprise.
Proche du cas prcdent o il peut arriver que les deux communications
extrieures soient maintenues l'insu de l'entreprise. Cette malveillance,
permet dappeler le GSM dun ami, dappeler son GSM, dabouter les deux
communications et de quitter lentreprise. Les deux communications GSM
sont la charge de lentreprise.
3.1.3.3 La substitution
La substitution : la fonction a pour objet d'obtenir partir d'un autre poste
les fonctionnalits de son propre poste ou celle d'un autre poste partir de
son propre poste.
La malversation classique est lusurpation d'identit ralise par une personne depuis son poste, mais attribue la personne dont le poste a t
substitu.
3.1.3.4 Lcoute de conversation
Lcoute de conversation : limplmentation de la fonction permet
lentre en tiers sans bip d'annonce sur le poste que lon souhaite couter quand celui-ci est en communication.
La malversation vidente est lutilisation malveillante de certaines fonctionnalits des fins despionnage.
confrence,
double appel,
filtrages,
messagerie,
centre d'appels,
etc.
Grce la technologie de Voix sur IP, la voix et les donnes convergent sur un
mme support de transport. Il est ainsi possible de tlphoner au travers d'Internet.
Moyens de Communication Voix :
Prsentation et Enjeux de Scurit
14/42
CLUSIF 2010
Avaya,
Siemens AG,
Nortel,
Cisco Systems,
Alcatel-Lucent,
NEC,
Aastra.
Comme dautres secteurs de lIP le logiciel libre y a trouv sa place. Ainsi certains
logiciels permettent de transformer un simple ordinateur PC en PABX, avec toutes
ses fonctions. Citons entre autres :
Asterisk,
CallWeaver (anciennement OpenPBX),
3CX.
15/42
CLUSIF 2010
INTERNET
Toutefois, les enjeux de la voix sur IP sont aussi techniques et dpassent la simple
ide de la communication tlphonique moindre cot. Du fait de la convergence
voix, donnes et images, il devient plus facile de grer un support de transmission
unique pour l'ensemble des services (tout sur IP).
De plus, la voix sur IP permet au travail collaboratif de prendre son essor. La
convergence dveloppe de nouvelles sources de productivit et defficacit pour
les utilisateurs.
Commutateur
local de
rattachement
Centre
de
commutation
Commutateur
local de
rattachement
chantillonne,
numrise,
compresse,
segmente pour tre encapsule dans des paquets IP.
16/42
CLUSIF 2010
Ces derniers sont dirigs par des routeurs, travers le rseau IP. Ils arrivent au
destinataire dans un ordre pouvant tre diffrent de celui de l'mission.
Nous pouvons comparer le principe de fonctionnement celui du courrier. Le message adress est dcoup en 10 lettres (les donnes) expdies au fur et mesure
au moyen de 10 enveloppes (les paquets) avec ladresse de destination.
Adresse
Adresse
Adresse
Adresse
Lettre 3
Lettre 5
Lettre 1
Le
ttre
Le
e2
ttr
ip
Internet
Les flux de signalisation sont pilots en gnral par un serveur de tlphonie qui
fait fonction dautocommutateur. Ce serveur de tlphonie supporte lensemble
des fonctionnalits. Les flux de signalisation se reposent en gnral sur TCP.
Les flux voix sont achemins directement en Point Point (Peer to Peer) via UDP
via RTP (Real-time Transport Protocol).
17/42
CLUSIF 2010
Serveur de tlphonie
ip
Voix cod
ip
18/42
CLUSIF 2010
Serveur de
tlphonie
Gatekeeper
Serveurs Informatiques
Fichiers
IPBX ?
Passerelles
Gateway
RTCP
ip
ip
ip
ip
Il est noter que les communications voix sont achemines directement en point
point. Aucune communication ne transite au travers du serveur de tlphonie (sauf
si celui-ci cumule les fonctions de serveur de tlphonie et de passerelle).
Dun point de vue pratique les postes sont directement interconnects un switch
rseau.
Switch
Switch
Par ailleurs, pour des raisons dconomie de cblage, les postes IP sont en gnral
des mini-hubs . Ils permettent ainsi dinterconnecter facilement en srie sur un
seul port du switch le tlphone IP et le PC.
Switch
Switch
Switch
Serveurs Informatiques
In terne t
Tlphonie
Fichiers
Routeur
RTCP
Gateway
Switch
19/42
CLUSIF 2010
20/42
CLUSIF 2010
bilit rejaillit sur les solutions de scurit ; en particulier les systmes de chiffrement ne seront compatibles qu'avec le matriel de leur constructeur.
3.2.8.1 Avoir une approche globale de bout en bout
Une solution ToIP/VoIP doit avoir des niveaux de disponibilit, dintgrit et de
confidentialit, conformes aux exigences de scurit, y compris ses aspects juridiques.
Afin que ces exigences de scurit soient appliques, il faut prendre en compte
lensemble des aspects humains, organisationnels et techniques.
Lapplication des enjeux de la tlphonie au SI (Systme dInformation) et rciproquement est donc un prrequis.
Quelques points dattention
On retrouve sur un rseau VoIP/ToIP les mmes menaces que sur un systme/rseau de tlphonique classique. Les consquences d'une atteinte la disponibilit, l'intgrit, la confidentialit ou la traabilit sont identiques, quel
que soit le support de la voix.
Cependant, les risques sont plus importants dans le cadre de la VoIP que dans les
architectures de voix traditionnelles. En effet, les vulnrabilits sont plus tendues
mme si elles sont en principe connues du systme dinformation existant :
L'utilisation du protocole IP et d'OS courants (MS Windows, Linux, *BSD,
etc.) ouvre la porte toutes les attaques connues sur la pile TCP/IP ellemme ;
les vulnrabilits sont plus nombreuses compte tenu de la complexification
gnrale du rseau : les routeurs, call servers, proxies, media gateways, firewalls, sont autant de points d'attaque potentiels ;
les terminaux IP sont vulnrables tout autant qu'un ordinateur classique reli un rseau, contrairement un poste TDM qui est pratiquement insensible une quelconque attaque par le rseau;
la parcellisation importante de linfrastructure est aussi un avantage pour
un pirate qui pourra ainsi dissimuler plus facilement une intrusion.
Pour tre exhaustifs et aller plus loin dans lidentification des menaces, lest points
dattention retenus doivent tre dcoups de la faon suivante :
21/42
CLUSIF 2010
DHCP, TFTP, DNS, etc. La disponibilit de la fonction voix repose dsormais sur
une multitude dquipements.
2. La tlphonie couvre les besoins de lentreprise du sous-sol au grenier et participe la scurit, avant tout essentielle, celle des biens et des personnes. Un
poste tlphonique traditionnel peut tre raccord au PABX sur une distance de
plusieurs kilomtres. En ToIP, il faut tendre les rseaux locaux avec leurs
contraintes et leurs limitations, ou tudier la mobilit avec dautres avantages
et contraintes.
3. Avec la VoIP/ToIP les rseaux WAN et LAN deviennent des lments critiques
en termes de performances et de disponibilit. Les concepts dexploitation et
dorganisation doivent voluer en consquence.
4. Lusage des softphones3 ne permet pas un cloisonnement des rseaux voix et
donnes. Cela introduit une faille de scurit.
5. La ToIP sur un rseau Wi-Fi doit tre mise en place en gardant lesprit que le
manque de matrise de lenvironnement physique du rseau doit tre compens
par dautres mcanismes de scurit complmentaires, quelques fois spcifiques pour rpondre aux exigences tant de Disponibilit que de Confidentialit
des changes et du service.
3.2.8.3 Malveillance
6. La ToIP dveloppe le risque de compromission des donnes et des quipements
beaucoup plus facilement.
7. L'accs physique est plus critique puisque l'accs au rseau peut suffire couter n'importe quelle communication.
8. La simplicit du codage de la Voix, du sniffing IP et du mirroring par exemple
rend la duplication de communication triviale.
9. L'identification physique du terminal en tlphonie traditionnelle est perdue et
est remplace par une identification logique qui est facile usurper (MAC spoofing, IP spoofing).
10. Les failles de la tlphonie traditionnelle restent applicables dans le monde IP.
3.2.8.4 Qualit de service
11. Il est impratif dans le cadre de la ToIP de dfinir prcisment et contractuellement les niveaux de service attendu (dfinir le SLA).
12. Il y a un compromis trouver entre qualit de service et scurit. Les moyens
techniques mis en uvre devront prendre en compte la QoS. Lanalyse des risques ralise en amont pourra dterminer les besoins globaux ou locaux de
contrle des flux (au risque de ralentir les changes) ainsi que le chiffrement
de bout en bout.
33
22/42
CLUSIF 2010
3.3.1 Larchitecture
La tlphonie cellulaire comprend deux parties principales :
Le poste de tlphone portable ou rcepteur-metteur ou combin dont
l'utilisateur se sert pour communiquer, nous l'appellerons simplement
portable par la suite.
le rseau qui achemine entre deux utilisateurs les communications mises
et reues depuis leurs portables.
A l'origine, la tlphonie cellulaire a t conue simplement pour permettre deux
utilisateurs mobiles de communiquer oralement, mme quand ils se dplacent.
Elle a rapidement volu et permet aujourd'hui la communication de donnes sous
plusieurs formes : texte, image, vido, mail...
En tlphonie cellulaire (services voix et donnes) cest la possibilit offerte un usager, en fonction de la souscription un service spcifique, dutiliser son tlphone et les services affrents sur
un rseau hte, en opposition son rseau dit dorigine. Cest le cas des connexions sur des rseaux
cellulaires GSM, 2G, 3G ou 4G ltranger.
23/42
CLUSIF 2010
Un processeur et de la mmoire,
des priphriques usuels dont un clavier, un cran, un micro, un hautparleur et une antenne qui permettent la transmission hertzienne avec la
station de base. Il peut aussi contenir un autre priphrique comme une interface Bluetooth, une camra,...
Pour la partie logicielle il comprend :
Un systme d'exploitation,
des applicatifs embarqus.
Les applicatifs embarqus peuvent tre d'origines diverses.
Nota : l'applicatif qui gre la communication est la proprit de l'oprateur associ
au portable.
3.3.2.2 La carte SIM (Subscriber Information Module)
C'est une carte puce. Elle contient des informations (cls secrtes) qui assurent
l'authentification de l'utilisateur et le chiffrement des changes sur le lien radio.
Elle reste la proprit de l'oprateur auquel l'utilisateur est li par contrat.
3.3.2.3 Le rseau de tlphonie cellulaire
Le portable utilise le rseau d'un oprateur. Un tel rseau ncessite une logistique importante. Il couvre tout ou partie de territoires par un dcoupage en cellules dans lesquelles les clients se dplacent. Il comprend une partie hertzienne et
une partie filaire.
Chaque cellule est contrle par une station de base . Par voie hertzienne la
station de base assure la communication des utilisateurs qui se trouvent dans sa
cellule avec le rseau filaire. Celui-ci assure la communication vers la station de
base de la cellule o se trouvent leurs correspondants ou si ceux-ci utilisent le rseau d'un autre oprateur, vers le rseau filaire de cet autre oprateur.
24/42
CLUSIF 2010
Station de base
Mobile
25/42
CLUSIF 2010
La carte SIM calcule une clef de session Ks en appliquant l'algorithme cryptographique A8 au challenge reu du rseau. Elle la fournit au portable.
Le portable assure lui-mme le chiffrement de la communication avec la
clef Ks et l'algorithme cryptographique A5.
3.3.4.1 L'imputation des communications
Chaque carte SIM est associe un utilisateur donn. Chaque communication mise
est associe la carte SIM qui a t authentifie pour accder au rseau. La communication est impute l'utilisateur contractuellement associ cette carte SIM.
3.3.4.2 Le vol
Chaque portable est identifiable par un code IMEI situ dans la mmoire du portable.
Cette valeur est spcifique chaque tlphone portable. L'utilisateur doit la noter
et la conserver pour des raisons de support
En cas de vol ou de perte du portable l'utilisateur doit adresser une dclaration
l'oprateur du rseau qu'il utilise pour interdire l'accs au rseau partir de son
portable.
On peut afficher le code IMEI sur le portable en saisissant *#06#.
Le code IMEI d'un portable l'identifie. Il est situ dans la mmoire du portable. Sur
Internet, des sites spcialiss proposent des matriels et des logiciels pour le modifier :
Pour les portables anciens, la modification ncessite son dmontage,
pour les portables rcents, un PC, un cble de connexion entre le PC et le
portable et un logiciel suffisent.
3.3.5.1.2
Modification du logiciel
26/42
CLUSIF 2010
Programmation
Certains portables peuvent tre reprogramms. Ils peuvent alors dcrocher silencieusement sur rception d'un signal spcifique, dun SMS ou dun appel particulier.
3.3.5.1.4
Modification du matriel
Certains portables, trs rpandus, peuvent tre modifis par des branchements
internes simples et judicieux qui permettent d'activer certaines fonctions comme
main libre , rponse automatique et suppression de la sonnerie .
3.3.5.2 Atteintes la confidentialit
3.3.5.2.1
Nous avons vu plus haut qu'il tait possible de modifier le logiciel ou le matriel de
certains tlphones portables.
Offrir ou quiper un utilisateur d'un tel tlphone portable permet d'espionner les
conversations de l'utilisateur. Ces portables peuvent dcrocher silencieusement sur
appel spcifique en utilisant des fonctions comme main libre , rponse automatique et suppression de la sonnerie .
On trouve mme dans le commerce spcialis, pour des prix importants mais non
prohibitifs, des tlphones offrant ces fonctions de manire standard, outre les
fonctions habituelles de communication.
De mme des constructeurs ont labor des produits permettant aux parents de
suivre leurs enfants en toute discrtion.
Mme si ce type dactivit est compltement illgal, le risque subsiste.
27/42
CLUSIF 2010
3.3.5.2.3
Un tlphone portable peut tre utilis comme micro pour couter les conversations dans une salle de runion (exemple : lespion dissimule le tlphone dans la
pice en ayant pris soin de lappeler au paravent.)
3.3.5.2.4
Le cot des communications de portable portable est infrieur celui des communications de fixe portable. Pour rduire les cots de communication certaines
socits utilisent des passerelles GSM. Ainsi les communications des postes fixes de
l'entreprise destination des GSM extrieurs sont routes vers les portables de la
passerelle pour tre transformes en une communication portable portable. Les
communications factures sont celles passes par les portables de la passerelle.
Cette architecture permet des conomies substantielles pour ces socits.
Du fait de leur immobilit , les portables de ces passerelles sont sensibles en
particulier aux menaces de duplication de carte et aux coutes.
Nota : certaines passerelles GSM fonctionnent sur des OS standard et sont administrables distance et via le LAN. Une connexion distante peut permettre une intrusion sur le SI et un accs la base de donnes des communications.
3.3.5.2.5
Des logiciels permettent d'exploiter certaines faiblesses des mcanismes cryptographiques utiliss dans les cartes SIM. Ils permettent de trouver la clef secrte Ki.
Pour cela il faut disposer d'un PC, d'un lecteur de carte puce et d'un logiciel
adapt et connatre le code PIN de la carte. Environ une heure de traitement suffit
pour casser le systme.
Un programmateur de carte, un logiciel adapt et la clef secrte Ki permettent de
dupliquer la carte SIM sur une carte gnrique autant de fois que dsir.
Le code PIN du portable est inconnu
On peut trouver directement la clef secrte Ki sans disposer du code PIN en utilisant une station mettrice qui effectue des transactions avec le portable cibl. Il
faut :
que la station soit proche de la cible,
qu'elle effectue un nombre lev de transactions (environ une dizaine
d'heures).
Dans ces deux cas, les logiciels et matriels peuvent se trouver via Internet et ce
type d'attaque peut tre ralis par le personnel de l'entreprise qui utilise ou maintient les portables, en particulier ceux des passerelles, afin de bnficier de communications gratuites.
28/42
CLUSIF 2010
Cas gnral
Les portables perdus ou vols font l'objet d'un trafic (revente ou utilisation frauduleuse). Certains cas de vols se sont mme accompagns de violence physique
l'gard de leur propritaire.
Les oprateurs et la presse publient rgulirement des recommandations sur les
prcautions prendre pour se protger de cette menace. En particulier ne pas tlphoner dans les lieux publics sensibles.
Groupes d'utilisateurs
Certains groupes dutilisateurs ont besoin d'une scurit importante et utilisent des
portables chiffrant qui partagent un secret. En cas de perte ou de vol la personne
qui dispose alors du portable peut usurper l'identit d'un membre du groupe et s'introduire dans le groupe. Il convient de prvoir la rvocation dun tel portable en
cas de perte ou de vol.
3.3.5.3.2
Une autre atteinte aux communications GSM est le brouillage des communications
radio entre le terminal et la station de base. Ce dernier peut tre intentionnel,
mise en place de brouilleur ddi au GSM, ou non intentionnel par les effets de
perturbations lectromagntiques de lenvironnement.
3.3.5.3.4
Les portables ont la mme structure qu'un ordinateur traditionnel. Ils sont sensibles
des menaces semblables celles des ordinateurs comme les vers et les virus. Ils
demeurent une cible attractive pour rcuprer leur carnet d'adresses ou provoquer
des appels ou l'envoi de SMS vers des numros surtaxs.
3.3.5.4 Malveillances diverses
3.3.5.4.1
Ingnierie sociale
29/42
CLUSIF 2010
vrait pas rappeler un numro qu'il ne connat pas, d'autant plus qu'il dispose d'une
messagerie ou l'appelant aurait pu laisser un message.
Nanmoins diverses raisons poussent l'utilisateur rappeler. La surtaxe lui sera
alors facture.
3.3.5.4.2
Usage dtourn
30/42
CLUSIF 2010
4 LES
LER
4.1.1 Les services auxiliaires la fonction tlphonie
Les malveillances voques ci-aprs ont t observes dans le cadre de cas rels.
4.1.1.1 La bote aux lettres vocale (Voice Mail Box)
Elle permet la dpose d'un message dans la messagerie vocale (MEVO dans le jargon
tlphonique) pour un utilisateur absent ou occup. Les botes aux lettres volues
offrent des fonctionnalits complmentaires comme le routage d'appel qui permet,
lorsqu'on est l'extrieur de lentreprise d'appeler sa bote puis d'obtenir un appel
par rebond .
Les malveillances types sont les suivantes :
abus des fonctions de routage dappels pour passer des communications
longues distances,
coute des messages dun autre destinataire,
dpt de faux messages dans les botes (avec mascarade),
utilisation dune bote vocale comme relais pour changer des informations
entre rseaux mafieux .
4.1.1.2 Les numros cot partag
La facturation de l'appel entrant est impute l'entreprise (exemple : le numro
vert 0800).
pour raliser un rebond partir du systme tlphonique dune entreprise
ou dune administration, le pirate cible sa victime au travers dun numro
dappel gratuit. Le cot financier pour lattaqu peut devenir prohibitif
lorsque lattaque est mene depuis ltranger.
pour saturer un centre dappels ou pour se venger, le pirate va lancer des
appels successifs qui auront le double effet de bloquer les appels lgitimes
vers le numro unique et de coter cher lentreprise ou ladministration
par une facturation quasi continue sur ses numros (dans le cas du numro
vert).
4.1.1.3 Les serveurs vocaux interactifs (SVI)
Les serveurs vocaux interactifs ou les standards automatiques disposent de fonctions de traitement dappels et de routage des appels.
Ces outils de production sont :
sensibles aux attaques visant la saturation des liens ou des serveurs ;
vulnrables sils sont interconnects au SI ;
lobjet dattaque afin de recomposer les messages vocaux.
31/42
CLUSIF 2010
32/42
CLUSIF 2010
Groupe 4 et sa connexion sur des rseaux doprateur valeur ajoute, les rseaux
RNIS, la tlcopie a russi simposer comme un moyen sr et efficace de transmettre de linformation. Cette technologie ncessitant une connexion sur un rseau RNIS, beaucoup ont prfr rester sur une connexion du tlcopieur sur le
PABX. Aujourdhui donc, mme si la technologie Groupe 3 (numrique sur rseau
analogique) ne permet pas lidentification formelle et lhorodatage des communications, la reprsentation de lcrit propose par le fax fait office dindice ou
dlment de preuve.
Sans tre exhaustif, voici quelques unes des menaces pesant sur la tlcopie en
gnral :
impact sur la confidentialit, particulirement quand le tlcopieur est
dans une salle commune. Il existe toutefois quelques modles qui conservent les messages reus en
mmoire et ne dlivrent une impression
qu'aprs composition d'un code confidentiel,
prise du numro de fax de lautocommutateur et redirection vers son
poste,
impact sur l'intgrit par le biais d'une mascarade ayant pour finalit de
transmettre une information en se faisant passer pour un autre (reprogrammation du terminal tlcopie quant lidentit de lexpditeur et son
numro de tlphone),
redirection du fax mettre vers un fax entrant d'un autre destinataire (au
moment d'tre mis, le fax sortant est envoy sur le numro d'un fax entrant ce mme moment). Cet incident est toutefois peu probable et constituerait plus un incident dexploitation quune malveillance,
appel entrant avec blocage de dpart,
emploi d'un botier de chiffrement (attention la rglementation en vigueur),
il ne faut donc pas prsumer a priori de l'identit de l'metteur du message, surtout quand celui-ci n'est pas un correspondant habituel ou bien
que la teneur du message est inhabituelle.
4.1.1.8 Les copieurs multifonctions (ou MFP)
Dans le prolongement de la description des outils de communication de voix, il y en
a un qui mrite quelques lignes : le copieur multifonctions, ou Multiple Fonction
Printer (MFP) en anglais. A mi-chemin entre le tlcopieur et limprimante en rseau, il combine les risques dun tlcopieur tels quvoqus, dune imprimante et
dun scanner. En fait, lespace des menaces auquel il sexpose est essentiellement
li au fait que cet quipement est dou dintelligence : systme dexploitation du
commerce, applications de communication et espace de stockage de donnes.
Voici un aperu des vulnrabilits des quipements MFP :
son systme dexploitation, ses applications (serveur de messagerie, partage
de fichiers, agent SNMP). Les capacits dexploiter distance
lquipement, de prendre la main sur ses fonctions ainsi que den dtourner
lusage, par les mcanismes intrinsques des applications et leurs vulnrabilits ventuelles,
33/42
CLUSIF 2010
34/42
CLUSIF 2010
4.1.1.10
Le DECT et lIP
Il sagit dune combinatoire entre DECT pour la partie radio telle que prsente cidessus et dun raccordement banalis des bornes par un rseau IP. L o prcdemment les bornes DECT taient relies en filaire sur lautocommutateur.
Lavantage est la simplicit du dploiement de la technologie DECT, sa large couverture hertzienne ainsi que la rutilisation des terminaux.
En revanche, sur sa partie IP, le flux voix est expos tel que celui de la ToIP, utilisant les mmes protocoles.
4.1.1.12
Le Wi-Fi et la ToIP
On vient de le voir, quand on parle de tlphonie sans fil dans lentreprise on fait
naturellement allusion au DECT. Ces dernires annes, avec larrive de la technologie de rseau local sans fil le Wi-Fi sont apparus de nouveaux besoins :
5
35/42
CLUSIF 2010
lintgration sur le mme LAN (ici le WLAN) des terminaux ToIP au mme titre que
leur cousin les PCs.
Les questions de scurit de la ToIP se posent autant que lors de lintgration de la
ToIP sur un LAN seul que pour lintgration du Wi-Fi seul. Mais cela vient
sajouter peut tre une complexit moins vidente : celle de la prdictibilit
daccs au service. En effet, tant les terminaux que le rseau Wi-Fi de par leur
conception noffrent pas toujours lassurance de laccs :
pour le terminal, parce que plus sophistiqu que son aeul le DECT avec
plus dlectronique et dintelligence pour traiter le Wi-Fi et lIP ainsi que la
ToIP. La fragilit du matriel ainsi que sa longvit en dure de batterie est
prouver dans des environnements industriels par toujours propices,
le rseau Wi-Fi, avec ses capacits daccueil en dbit, en terminaux et en
porte ainsi que les perturbations auxquelles il peut tre soumis, notamment
les attaques sur son infrastructure. En lespce, pour la mme couverture, la
densit de borne Wi-Fi est suprieure celle du DECT.
Il reste toujours pos la question dordre de sant publique de lusage de terminaux Wi-Fi comme tlphone.
36/42
CLUSIF 2010
37/42
CLUSIF 2010
38/42
CLUSIF 2010
39/42
CLUSIF 2010
5 CONCLUSION
Il parat maintenant bien acquis quil ny a plus deux mondes dans lentreprise,
celui des tlcoms et celui des Systmes dInformation. Lintgration des deux
mondes est une ralit bien tangible depuis une quinzaine danne.
Les outils de communication voix nont donc pas chapp ce mouvement. La description des technologies prsentes dans ce Dossier Technique du CLUSIF a dmontr quel point cette ralit a des rpercussions dans la scurit du patrimoine de lentreprise : technologique et informationnel.
Face aux carences actuelles de la normalisation dans la prise en compte de ce fait,
le risque Voix nen est que plus latent.
Assurment, les prochaines actions devront se porter sur la dfinition dun cadre
scuritaire commun la convergence des deux mondes.
Aujourdhui prsente dans dautres ouvrages du CLUSIF, la Scurit des Systmes
dInformation, devra tenir compte de la convergence du monde informatique et de
celui de la Voix.
Les communications unifies, la convergence autour du protocole IP et lusage dun
poste de travail qui devient pluridisciplinaire (plateforme bureautique, mtier, tlphone, visioconfrence, travail collaboratif) forceront elles aussi la convergence des mesures de scurit ?
Devrons-nous inventer de nouvelles mesures spcifiques la voix ? Ou lintgration
de la voix dans nos SI sera telle que nous ne distinguerons plus sur les rseaux et
les serveurs : un flux web dune simple conversation tlphonique.
40/42
CLUSIF 2010
LESPRIT DE LCHANGE
www.clusif.asso.fr