Chapitre 2 - Confidentialité, intégrité, disponibilité et Menaces

dans les PBX

              2.1 Présentation             

La pratique appliquée et les incidents spécifiques ont montré que les PBX souffrent d'une série de problèmes
qui influent négativement sur la confidentialité, l'intégrité et la disponibilité des communications. La vérité est
que la communauté universitaire n'a pas montré un grand intérêt pour la sécurité des PBX, peut-être en raison
de leur nature traditionnellement fermée et exclusive. Heureusement, avec la VoIP, les choses ont changé et il
y a un regain d'intérêt pour la recherche.
Malgré l'implication accrue de la communauté universitaire dans les discussions sur la sécurité, de
nombreux problèmes traditionnels (en particulier ceux qui ciblent les appareils, les implémentations et les
services) n'ont pas été résolus dans la VoIP, mais de nouveaux sont apparus, ciblant même les protocoles.
A part des problèmes techniques, l'utilisateur reste l'un des maillons les plus faibles de l'écosystème de la
sécurité. C'est pourquoi cette contribution vise principalement à sensibiliser les utilisateurs. Dans ce chapitre
d'introduction, nous décrirons brièvement et regrouperons le plus grand nombre possible de menaces en
matière de confidentialité, d'intégrité et de disponibilité auxquelles les PBX sont confrontés. De cette manière,
il servira de base aux discussions techniques qui suivront dans les prochains chapitres. Cela permettra
également de mieux comprendre comment appliquer les mesures de sécurité présentées ultérieurement dans le
chapitre respectif.

              2.2 Confidentialité             

E avesdropping est bien sûr ce qui vient en premier lieu à l'esprit quand on parle de menaces de confidentialité
de la téléphonie. Les communications vocales peuvent être interceptées en temps réel ou enregistrées pour être
récupérées et analysées ultérieurement. Les appels peuvent être multiplexés vers des postes d'écoute internes
ou externes. Ils peuvent également être redirigés vers d'autres destinations (éventuellement en utilisant
également un homme au milieu de l'attaque). Outre les appels téléphoniques vocaux, les appels fax et (étant
donné la convergence de la téléphonie et d'Internet) le trafic de données peuvent être interceptés et extraits.

En général, l'écoute des communications rend responsables les organisations qui traitent des informations
confidentielles. En plus de cela, les industries peuvent être confrontées à des problèmes d'espionnage. Le
piratage PBX peut conduire à l'interception d'informations stratégiques ou tactiques de l'armée, de la police ou
des ministères comme cela a également été prouvé dans des situations de guerre [ 1 ].
Même dans les PBX numériques où la commutation est effectuée de manière numérique, les téléphones bas
de gamme peuvent toujours être des téléphones analogiques, où l'audio est acheminé de manière analogique de
la carte PBX au poste téléphonique. Un simple robinet connecté dans le câble menant au téléphone (partout
dans son parcours possible, du répartiteur principal dans les locaux du fournisseur, à l'interface de la zone de
desserte, au répartiteur local jusqu'à l'intérieur du téléphone lui-même) peut facilement extraire l'audio ou
donner accès à la ligne pour passer des appels gratuits. Ceci est très connu sous le nom de fraude par «clip-
on». La figure  2.1 montre une interface de zone de desserte et la figure  2.2 un gros plan du cadre de
distribution publicitaire. Nous pouvons remarquer des informations sensibles concernant les numéros de
téléphone et les informations de routage et de patch laissées dans de petits morceaux de papier par les
techniciens. Plus important encore, un outil pour intercepter les appels est vu, qui lorsqu'il est inséré dans les
connexions respectives intercepte automatiquement l'audio sans déconnecter la ligne du tout.
Dans les systèmes numériques de bout en bout, ainsi que dans les systèmes VoIP, l'audio se déplace sous
forme de paquets numérisés. S'il n'y a pas de cryptage, ces paquets de données peuvent être traduits en audio.
Spécifiquement pour les PBX, il existe des modules matériels spéciaux qui exécutent cette tâche pour la
plupart des marques, traduisant les signaux numériques propriétaires en audio analogique audible (Fig.  2.3 ).
Les postes téléphoniques, par contre, peuvent être modifiés pour transférer la voix lorsqu'ils sont
raccrochés, avec une modification matérielle ou des commandes logicielles. En effet, il est totalement
impossible de forcer un téléphone analogique à 10 $ à faire quelque chose sans modification matérielle, alors
qu'un téléphone numérique à 200 $ avec toutes ces sonnettes et sifflets peut (facilement) être reprogrammé ou
commandé depuis le PBX pour allumer son microphone, et relayer l'audio entendu dans l'environnement
environnant à l'attaquant. Il se transforme de cette façon en un bug très efficace contrôlé à distance.
Un moyen classique d'interception est l'utilisation de dispositifs d'interception spéciaux, les fameux
«bogues». Le thème des contre-mesures de surveillance technique pour la défense contre les écoutes
électroniques et les bugs est un sujet à part entière, nous ne l'aborderons donc pas dans ce livre. Nous
mentionnerons cependant rapidement quelques informations sur les dispositifs d'interception ici.
Des dispositifs d'interception peuvent être placés sur les téléphones que nous utilisons ou sur le câblage et
le réseau et l'équipement du fournisseur. La méthode traditionnelle de clip-on, où une paire de fils (et
éventuellement un téléphone) est connectée en parallèle avec l'original, reste la plus efficace! La présence de
tension sur le fil lui-même permet le fonctionnement continu et à long terme d'un émetteur de bogue sans avoir
besoin de remplacer les piles, comme le montre la figure  2.4 . Ce dernier peut même être placé à l'intérieur de
l'appareil téléphonique lui-même. L'image d'un espion de cinéma qui a dévissé le microphone du combiné sur
un vieil appareil téléphonique analogique est très typique, même si la technologie utilisée aujourd'hui est
différente. Un autre élément de base qui mérite d'être mentionné est celui d'un appareil installé dans un
appareil téléphonique qui peut également intercepter des conversations ambiantes ayant lieu à l'intérieur du
bureau et pas uniquement lors d'appels. Cet appareil peut être «réveillé» et commencer à relayer l'audio à
partir du microphone du téléphone, sans que le téléphone ne sonne jamais.
Les écoutes qui enregistrent ou transmettent la voix sont plus courantes, mais il est également possible de
procéder à une interception passive sans aucune intervention. L'interception du signal des fils est possible, par
induction. Sur la figure  2.5, une bobine inductive spéciale est représentée qui intercepte les signaux
téléphoniques sans interrompre le circuit, simplement en captant les fluctuations électromagnétiques. Le
principe de base ici est que selon les équations de Maxwell, un champ électrique variable produit un champ
magnétique et vice versa. L'audio physique des appareils électroniques est transformé en un courant électrique
variable qui produit un champ magnétique. Ainsi, la bobine d'induction capte le champ magnétique, le
transforme en courant et entraîne un amplificateur pour permettre d'entendre l'audio initial.
Une technique plus élaborée est celle de «l'homme au milieu». Afin d'intercepter les communications, un
pirate informatique peut intervenir au milieu en prétendant (d'un point de vue technique) être l'autre partie et
en relayant l'information à la partie visée. Révéler des informations sensibles lors d'un appel téléphonique n'est
donc jamais une bonne idée à moins d'utiliser une sorte de moyen cryptographique.
Les interceptions peuvent se dérouler de manière active et / ou passive. Dans la méthode active, il existe
une sorte d'interaction physique ou technique avec le téléphone (ou le réseau) cible et, en tant que tel, il est
plus facile d'être repéré. Les moyens d'interception actifs incluent, par exemple, la connexion de câbles
supplémentaires dans le cadre de distribution principal (clip-on) ou la reprogrammation du PBX.
Les interceptions Passives, en revanche, sont très fréquentes dans les systèmes sans fil, simplement en
«écoutant» les ondes et en décrypter les communications par ondes radio cryptées qui circulent dans l'air. Ils
se concentrent sur la cryptanalyse et peuvent cibler des protocoles et des algorithmes dans diverses parties du
réseau. Dans une communication sans fil typique, les ondes radio sont transmises librement dans l'air et elles
ne peuvent pas être facilement confi nées. Par conséquent, un intrus potentiel peut intercepter et traiter ces
signaux sans même se rapprocher de la cible. En fait, les appels sans fil analogiques plus anciens pouvaient
être interceptés passivement à l'aide d'un équipement bon marché, car il n'y avait aucun type de cryptage. Les
systèmes sans fil numériques ont changé cela. Jusqu'à récemment, il était traditionnellement difficile
d'intercepter les ondes aériennes pour les téléphones sans fil DECT qui sont également utilisés dans les PBX.
Cependant, certains projets open source au cours des dernières années ont apporté cette fonctionnalité à
l'utilisateur intéressé avec un grand succès [ 2 ].
Outre les actions malveillantes concernant l'interception de messages, il y a aussi l'interception légale où les
opérateurs sont tenus d'aider les autorités répressives. Chaque fournisseur-transporteur est obligé d'offrir des
mécanismes de surveillance des communications pour les besoins des autorités, conformément au mandat
nécessaire. L'abus de fonctionnalité d'interception légale peut s'avérer être l'une des options d'espionnage les
plus efficaces. Bien qu'il s'agisse d'un système très sensible qui devrait être correctement protégé, des attaques
réussies ont été observées [ 3 ]. Les employés disposant des justificatifs d'autorisation appropriés ou les pirates
malveillants qui parviennent à s'introduire dans le système (avec ou sans aide interne) peuvent intercepter à
volonté les appels des cibles qu'ils ont choisies.
Les administrateurs peuvent également activer des fonctionnalités de surveillance et de débogage qui
permettent une interception en temps réel. Il existe également des logiciels proposés par des sociétés tierces
dans le même but. La plupart des PBX offrent des outils pour écouter en silence les autres appels, dans le
cadre d'un superviseur vérifiant les performances et le comportement de l'agent. Il fait également partie de
 l'association des secrétaires-gérants, où le secrétaire peut s'immiscer et informer le gérant d'un appel urgent.
Les deux systèmes peuvent être abusés.
Habituellement, lorsqu'une intrusion se déclenche, un bip d'information à intervalles réguliers (par exemple,
toutes les 15 s) informe les parties que l'appel est surveillé. C'est un point très important. Malheureusement,
très peu de gens se rendent compte que ce ton est en fait un avertissement sur la présence d'un autre
interlocuteur dans la conversation. Pire encore, les administrateurs peuvent désactiver cette tonalité, ou la
régler sur une durée très courte ou sur une tonalité non audible (fréquence très élevée ou très basse).
Il n'est pas toujours nécessaire d'écouter le véritable pouvoir de communication-voix. L'interception des
journaux d'appels pourrait révéler de nombreuses connexions utiles. Grâce aux techniques de corrélation
d'appels et d'analyse du trafic, des connexions intéressantes peuvent être révélées (comme les contacts de
l'utilisateur) et des informations d'espionnage industriel recueillies même sans connaître le contenu réel des
appels, mais uniquement l'identité des parties. À titre d'exemple, si les journaux révèlent un flux d'appels entre
une entreprise et le bureau des brevets, il est raisonnable de supposer qu'un nouveau produit est en passe d'être
breveté.
En conséquence, des fournisseurs clés peuvent être trouvés et ainsi de suite.
Parmi les informations récoltées menaçant la confidentialité figurent les numéros transmis dans les tables
de transfert ainsi que les téléphones portables et les numéros personnels présents dans les journaux et stockés
dans la mémoire des téléphones et du PBX. De nombreux utilisateurs enregistrent également des codes
personnels tels que des codes PIN dans la mémoire du téléphone, afin qu'ils puissent également fuir. Enfin,
imaginez un fraudeur, ayant la capacité d'intercepter les numéros de carte de crédit alors que le client
insoupçonné appuie sur les touches de son téléphone pour effectuer une transaction téléphonique-banque.

              2.3 Intégrité             

Le deuxième élément majeur de la taxonomie des menaces concerne les attaques contre l'intégrité. De telles
attaques contre un PBX vont de la reprogrammation de celui-ci, à l'installation de portes dérobées pour un
accès futur, à la modification de données (par exemple, effacement d'informations incriminantes) et à la
modification de fonctionnalités (activer des services interdits) à la fraude économique. Supprimer ou modifier
les journaux d'appels et d'opérations respectifs couvriraient l'entrée et les traces des attaquants. En même
temps, il est possible de modifier le flux de communication, en connectant les lignes à différentes destinations
(éventuellement en utilisant un homme au milieu de l'attaque). Nuire à l'intégrité des données dans des fi
chiers et des emplacements mémoire spécifiques peut entraîner un déni de service et l'arrêt du PBX.
Les administrateurs expérimentés peuvent en attester, il est plus facile de trouver la cause d'un
dysfonctionnement lorsqu'il se manifeste par une absence totale de service que de découvrir ce qui ne va pas
lorsque le système se comporte mal ou lorsque l'erreur apparaît sporadiquement. Ainsi, un attaquant peut créer
plus de dégâts en forçant le PB X à fonctionner incorrectement plutôt que de lancer une attaque par déni de
service complet. La modification des paramètres est parfois plus efficace que l'arrêt complet du service. Par
exemple, le transfert aléatoire, l'échange de numéros ou la modification des identifiants de l'appelant entre les
utilisateurs peuvent causer des ravages et il faut simultanément plus de temps pour comprendre ce qui ne va
pas.
L'identification de l'appelant à l'appelant est l'une des fonctionnalités les plus pratiques de la téléphonie.
Bien entendu, la possibilité de ne pas présenter l'ID de l'appelant à l'appelé a été associée à un ensemble d'actes
désagréables, tels que des harcèlements, des farces, des appels de spam, des appels de personnes indésirables,
etc. De plus, en ayant accès à un PBX, l'identité de l'expéditeur peut être modifiée afin de faire apparaître un
appel malveillant ou à des fins de spam. Cette usurpation d'appel a lieu lorsqu'un appelant se fait passer pour
un autre. Il est utilisé pour éviter de payer pour le service, pour cacher le fait que l'appel est non sollicité ou
frauduleux, et pour éviter la détection en cas d'attaque d'autres nœuds. L'usurpation d'appels est très importante
dans les cas de Vishing. Il s'agit d'une pratique qui permet aux fraudeurs d'accéder à des informations
personnelles et fi nancières privées en convaincant leurs victimes qu'elles appellent depuis leur banque.
Compte tenu de la confiance que les gens accordent au service téléphonique, les fraudeurs utilisent le bon
identifiant d'appel d'une banque. En effet, les numéros de téléphone ont traditionnellement été connectés à des
emplacements physiques et à des entreprises, de sorte que les utilisateurs ont tendance à faire confiance à un
numéro de téléphone, en le considérant comme une forme d'identité valide.
En poursuivant l'analyse d'intégrité, nous examinerons également deux effets non techniques des attaques
d'intégrité dans les PBX, les psyops et la fraude. Psyops est l'abréviation de «opérations psychologiques», qui
peuvent être définies comme des «opérations planifiées pour transmettre des informations et des indicateurs
sélectionnés à un public étranger afin d'influencer leurs émotions, leurs motivations, leur raisonnement objectif
et, en fin de compte, le comportement des gouvernements, organisations, groupes et individus étrangers. »[ 4 ].
Des exemples de tels incidents consisteraient à diffuser des messages de propagande à tous les utilisateurs
internes (ils les écouteraient dès qu'ils décrochaient le combiné). Il pourrait également connecter les appelants
et les lignes entrantes aux messages enregistrés. Les messages peuvent être lus par des PA (système d'adresse
pu blic – haut-parleurs) connectés au PBX. De plus, le fait de sonner constamment des téléphones ou des
téléphones qui sonnent au milieu de la nuit peut causer un inconfort, une gêne ou même de la peur.
Une partie de Psyops, comme la sécurité de la téléphonie fait généralement défaut par rapport à la sécurité
informatique, les opportunités de criminalité sont nombreuses. L'accès non autorisé au service téléphonique
avec les pertes économiques liées aux factures est une préoccupation majeure. Les pertes dues à des incidents
informatiques ne sont généralement données qu'à titre d'estimation et il s'agit en effet d'une procédure très
complexe donnant de nombreux résultats erronés. Les pertes économiques dues à un incident de téléphonie
sont en revanche immédiatement évidentes. Comme on l'a vu dans l’introduction, les coûts attribués à la
fraude télécom, et en particulier les PBX ne sont pas faciles à apprécier, atteignant 72 à 80 milliards de dollars
[ 5 ]. Imaginez une fraude téléphonique se déroulant inaperçue pendant une longue période. Outre le coût
apparent de la facture, la perte de revenus et les dépenses supplémentaires peuvent faire monter en flèche la
perte totale à des montants astronomiques. Le blanchiment d'argent via les PBX est également efficace, tandis
que les conséquences d'une fraude de plusieurs millions d'appels à partir du PBX d'une entreprise conduiraient
à un désastre financier et commercial. On pense même que les organisations terroristes adoptent la fraude aux
télécommunications pour générer des fonds [ 6 ,  7 ].
Les fraudeurs abusent des services de télécommunications (en utilisant des codes volés et en accédant et en
facturant à des utilisateurs tiers), permettant l'utilisation de l'infrastructure par des personnes non autorisées,
passant des appels gratuits ou vendant ces appels via une opération de call-selling, faisant un profit. Les
opérations de vente par appel vers des destinations internationales à coût élevé peuvent s'avérer très rentables
lorsqu'elles sont promues à certains groupes de personnes qui ont des besoins de communication accrus, tels
que les étudiants, les refuges, les étrangers, les militaires et les détenus. Si l'entreprise possède un numéro 800
d'appel gratuit, cela est d'autant plus séduisant pour l'attaquant puisque même l'appel initial (généralement
depuis un téléphone public) est gratuit. De plus, une simple transmission d'un poste rarement utilisé vers un
numéro d'outre-mer peut être facilement commandée, comme le montre la figure  2.6 .
Les fraudeurs peuvent en fait voler des cartes coûteuses du PBX (par exemple, la carte CPU) et des parties
de l'infrastructure qui peuvent être vendues plus tard sur le marché noir. Heureusement, dans certaines
marques, les cartes coûteuses telles que la carte CPU sont protégées au moyen de hachages cryptographiques.
Un effet secondaire de ceci serait le déni de service qui en résulterait, comme nous le verrons plus loin. Sur un
ton plus clair, un attaquant peut contrôler tout un PBX afin de gagner dans un concours où les joueurs
appellent dans une station de radio ou de télévision. Ceci a été réalisé par Kevin Poulsen; piratant le PBX de la
station KIIS-FM 102, il a réussi à être le 102ème appelant comme l'exige la concurrence, remportant ainsi une
Porsche 944 [ 8 ].
Les PBX compromis appelant des services payants (qui peuvent être définis explicitement uniquement pour
recevoir des appels de ces PBX infiltrés) ou des destinations à coût élevé comme des réseaux d'outre - mer ou
par satellite peuvent entraîner des factures importantes. Pensez à 100 PBX compromis dans un pays, chacun
appelant ces services ou destinations 1 000 fois par jour. En supposant qu'un coût de 10 USD par appel
rapporte un total de 1 million USD par jour en factures! L'attaquant pourrait même viser des appels qui se
terminent dans un autre pays. De cette manière, les opérateurs locaux devraient une somme substantielle aux
opérateurs étrangers en raison des tarifs de terminaison d'appel entraînant des pertes économiques importantes
pour le pays. Un effet secondaire serait le blocage des circuits internationaux comme décrit dans la section
déni de service.
Bien qu'oxymore, il semble que les PBX bas de gamme et moins chers soient moins vulnérables que les
PBX plus grands avec des fonctionnalités plus riches. La configuration d'un petit PBX est pratiquement
impossible à attaquer (pour intercepter ou modifier l'intégrité des données) de l'extérieur car ces PBX n'offrent
aucun accès à distance à l'administration! En fait, leur programmation se fait généralement en composant des
codes spéciaux émettant les commandes respectives, en utilisant un téléphone déjà connecté au PBX.
Cependant, même en l'absence d'administration à distance, ils font toujours l'objet d'attaques par déni de
service, de fraudes internes et / ou de modifications matérielles.
C perdant la section d'intégrité, il faut à nouveau noter que le PBX peut être le maillon faible pour cibler la
plate-forme informatique qui lui est interconnectée (soit pour des raisons administratives uniquement, soit
pour des raisons de service complet comme le cas de la VoIP). Lorsqu'un PBX est lié au réseau informatique
 d'une organisation, les pirates malveillants peuvent trouver un point d'entrée plus facile (au cas où le port de
maintenance du PBX n'est pas correctement sécurisé) dans les actifs critiques, les bases de données clients et
les applications commerciales de la cible.
Il y a aussi un grand risque en ce qui concerne l'interconnexion PBX et IT: certains utilisateurs connectent
des modems non autorisés sur leurs lignes téléphoniques afin de contourner les politiques d'accès Internet
appliquées. Pour ce faire, ils connectent leurs PC au réseau téléphonique via le PBX (au lieu d'utiliser des
VPN et des solutions sécurisées et testées en entreprise). Comme le montre la figure   2.7 , la partie supérieure
de la connexion contourne le pare-feu, donnant accès au réseau d'entreprise via un modem. Les employés
utilisent même des programmes d'accès à distance pour travailler à domicile. Un attaquant pourrait trouver ces
modems en utilisant la numérotation de guerre (comme cela sera expliqué dans le chapitre suivant), entrer
dans leur PC et accéder au réseau informatique, contournant la sécurité du pare-feu et pénétrant davantage le
réseau en tant qu'utilisateur interne. Il existe de nombreux cas où un réseau informatique parfaitement conçu
est mis hors service en raison d'erreurs et d'omissions dans le réseau téléphonique. Il est plutôt oxymoron
d'investir dans la sécurité informatique mais d'oublier d'investir dans la sécurité téléphonique. C'est pourquoi
la sécurité totale ne peut être atteinte que grâce à des efforts et des approvisionnements combinés entre
l'informatique et le monde des télécommunications.

              2.4 Disponibilité             

L'intégrité implique qu'il y a de la disponibilité en premier lieu. Il ne sert à rien de discuter d'intégrité lorsqu'un
système ne fonctionne pas du tout! Compte tenu de l’omniprésence de la téléphonie, sa disponibilité a été
considérée comme un fait. La vérité est, cependant, qu'il est relativement facile de bloquer les communications
PBX. Un manque de communication téléphonique efficace peut être gênant pour ses utilisateurs [ 9 ]. Plus
important encore, le service des hôpitaux peut être endommagé par des téléphones qui ne fonctionnent pas [ 10
]. Il est effrayant d'imaginer ne pas pouvoir appeler un hôpital en cas d'urgence. En outre, l'économie nationale
pourrait subir de lourdes pertes si une attaque ciblée rendait inutiles les lignes de télécommunication de
l'industrie. Dans tous les cas, il est évident que dans l'environnement commercial exigeant moderne, une
entreprise ou une organisation ne peut pas survivre sans service téléphonique.
Le fait que les pannes du réseau de téléphonie peuvent avoir de graves conséquences a été mis en évidence
par les attentats terroristes du 11 septembre contre le World Trade Center. Le réseau de téléphonie pour les
premiers intervenants a été perdu rapidement, et en raison de l'échec des sauvegardes, les problèmes avec le
réseau ont continué. Cela a rendu plus difficile l'organisation du sauvetage et de la récupération [ 11 ]. Dans le
même temps, l'incapacité d'atteindre les êtres chers peut causer du stress pour de nombreuses personnes, ce qui
ouvre la possibilité de faire délibérément tomber des réseaux pour exécuter des psyops de même nature dans
des situations de guerre ou de harcèlement.
Une nouvelle forme de déni de service est liée à la fraude par carte de crédit. Les fraudeurs bloquent les
lignes téléphoniques des victimes afin d'empêcher la banque de les informer d'un comportement anormal
concernant leur carte de crédit. C'est sans doute plus un problème pour les lignes domestiques que pour les
PBX. Les deux, cependant, pourraient utiliser des téléphones sans fil (pratiquement des postes DECT, car les
téléphones sans fil analogiques ont depuis longtemps cessé d'exister). Comme pour toute autre technologie
sans fil, les combinés DECT peuvent être victimes d'attaques de brouillage qui masquent et surmontent en
puissance les signaux légitimes rendant les téléphones inutilisables.
Au fur et à mesure, un attaquant peut affecter la disponibilité du système à la fois pour la gestion et la
communication elle-même, affectant les administrateurs et les utilisateurs internes et externes. Il pouvait
couper l'accès de l'administrateur en changeant les mots de passe, en désactivant l'accès à distance et en
fermant la connectivité aux communications IP et port série. Les lignes entrantes et sortantes pourraient être
mises hors service administrativement, isolant efficacement le PBX du monde extérieur. De manière plus
agressive, la suppression de la base de données contenant la configuration du PBX ou des fichiers du système
d'exploitation pourrait arrêter complètement le commutateur. Il est intéressant de noter qu'au moins un
fabricant a des comptes de connexion spécifiques dans le seul but d' arrêter le PBX ou de supprimer et
réinstaller la base de données de paramètres, effaçant efficacement la configuration existante. Avec la même
logique, il est possible d'écraser le firmware des cartes du PBX à l'aide de ses outils de mise à jour firmware.
Enfin, une simple commande d'arrêt pourrait être commandée. Placé dans un fichier cron de type UNIX, cela
empêche le PBX de s'arrêter à des intervalles de temps prédéterminés.
 Une autre technique efficace de déni de service peut cibler la protection logicielle et matérielle des PBX.
Les PBX modernes utilisent une protection contre la copie non autorisée et la vente sur le marché noir en
utilisant une forme de clé matérielle, généralement avec un circuit intégré FPGA (Field Programma ble Gate
Array). Le FPGA contient un hachage spécifique qui est couplé au matériel présent dans le PBX. Si quelqu'un
altère ce mécanisme de protection, le PBX entrera dans un mode de fonctionnalité limitée et finira par
s'arrêter, protégeant les bénéfices du fournisseur et le PBX des interventions illégales et des opérations du
marché noir. Spécifiquement pour les PBX exportés vers des pays tiers, la clé matérielle ne peut être expédiée
que depuis le pays de fabrication car les revendeurs locaux n'y ont pas accès, prolongeant ainsi le temps
nécessaire pour restaurer sa fonctionnalité.
Il n'est pas toujours nécessaire d'avoir un accès physique dans un PBX pour nuire à sa disponibilité. Un
déni de service à distance dans les capacités de communication peut être réalisé par un autre P BX (ou un
tableau de PBX) attaquant la cible avec des centaines d'appels par minute. Cette attaque pourrait être utilisée
contre le PBX mieux protégé où l'attaquant ne pourrait pas obtenir l'accès. Il bloque efficacement les lignes
entrantes et sortantes et les utilisateurs légitimes ne peuvent plus les utiliser car ils sont constamment occupés.
A titre d'exemple, une ligne RNIS européenne E1 PRI typique offre 30 canaux vocaux (23 avec des lignes T1
utilisées aux USA). En supposant des appels courts de 10 s, y compris le temps de configuration, un taux de
180 appels par minute peut être atteint par rapport à la cible. Un PBX de taille moyenne avec trois lignes E1
peut lancer 540 appels par minute contre une cible donnée. Cela submergerait facilement la plupart des petits
PBX. Dans un environnement RNIS complet avec des temps d'établissement des appels inférieurs à 1 s, la
durée totale de l'appel peut être aussi peu que 2 s, ce qui donne un taux de 2700 appels par minute à partir des
trois mêmes réglages E1. Mais, même si la cible a une capacité suffisante en lignes, il est possible que le taux
de cisaillement des appels provoque un goulot d'étranglement dans une autre partie du système, par exemple le
standard automatique (appuyez sur 1 pour les ventes, sur 2 pour la comptabilité, etc. .) ou la plate-forme de
réponse Interactive Voice (par exemple, les ventes pour atteindre les ventes, la comptabilité des comptes, etc.).
Ce scénario de blocage des lignes ressemble beaucoup au deni de service et aux attaques par déni de service
distribuées des réseaux informatiques, où au lieu de paquets, les appels l'inondent désormais. Dans tous les
cas, un déni de service informatique classique pourrait viser la plateforme informatique administrative. Dans le
même ordre d'idées, une façon peut-être plus ennuyeuse d'attaquer la disponibilité d'un téléphone donné est de
lui passer des appels consécutifs, en le faisant sonner sans interruption. L'utilisateur est alors obligé de le
débrancher.
À ce stade, un autre effet intéressant de l'attaque des appels répétés pourrait être la surcharge des circuits
internationaux. En effet, la capacité des circuits internationaux est généralement limitée. Avec un ensemble de
PBX appelant des destinations aléatoires à l'étranger, les liaisons pourraient être saturées et le pays coupé du
réseau international. Pour que l'attaque réussisse pleinement, elle doit être lancée contre les PBX qui sont
servis par tous les fournisseurs de connectivité internationaux possibles. Étant donné que les circuits de
communication sont bidirectionnels, l'attaque aurait le même effet en utilisant des PBX compromis dans le
pays cible uniquement, en effectuant des appels sortants ou en effectuant des PBX compromis dans d'autres
pays effectuant des appels entrants vers le pays cible.
Revenant au matériel, une attaque non confirmée et pour autant que l'auteur ne le sache pas encore
recherchée, mais plausible, une attaque contre les PBX est la suivante. En intervenant dans le firmware du
PBX, il pourrait être possible de forcer le PBX à exécuter des fonctions qui pourraient entraîner une
défaillance physique de ses composants électroniques. Surtout pour les lignes analogiques qui utilisent des
relais, une attaque pourrait forcer les relais dans une boucle marche-arrêt rapide constante qui finirait par les
brûler ou elle pourrait forcer le signal de sonnerie à être appliqué de manière permanente dans un téléphone,
brûlant éventuellement son circuit principal. Les redémarrages en boucle ou l'accès au fi chier peuvent
également porter le disque dur du PBX. Les conséquences de telles attaques sont beaucoup moins graves que
les dommages causés à un système industriel par des moyens similaires (tels que Stuxnet). Néanmoins, ces
attaques peuvent toujours être implémentées pour faire tomber un PBX.
Un autre facteur qui retient souvent notre attention est la probabilité de vol de (des parties du) PBX. Les
centraux téléphoniques modernes utilisent des équipements coûteux et faciles à retirer et à transporter (par
exemple, des cartes d'échange - tableaux, fig.  2.8 ), de sorte que quelques minutes suffiraient pour qu'un
incident se produise entraînant, outre les dommages économiques, une panne. En même temps, cette carte peut
héberger une puce mémoire ou un disque dur stockant des informations précieuses (le plus souvent d' une
manière non cryptée ). En effet, le vol ne peut être que temporaire et durer quelques minutes. C'est seulement
le temps qu'il faut à une personne malveillante pour installer un logiciel ou altérer les circuits électroniques.
Enfin, n'oublions pas que les interruptions du service ne sont pas toujours causées par des attaquants. Plus
que souvent, des problèmes techniques, des bogues ou des catastrophes environnementales provoquent des
 incidents d'interruption de service de grande ampleur et de durée. C'est pourquoi la protection contre les
éléments environnementaux et les désastres est essentielle.

              2.5 Autres menaces             

Outre les problèmes de confidentialité, d'intégrité et de disponibilité, les PBX sont également confrontés à
d'autres menaces qui combinent toutes les précédentes. Une utilisation courante d'un réseau téléphonique
compromis est de l'utiliser comme écran pour dissimuler les activités illégales des criminels telles que les
opérations de sonnerie, la vente de drogue, le blanchiment d'argent, etc. Un appel secret provient généralement
de téléphones publics car ils peuvent offrir l'anonymat et ils sont faciles à trouver et accessibles de presque
partout ici. Un anonymat supplémentaire est accordé lorsque l'appel est acheminé via de nombreux PBX, ce
qui le rend extrêmement difficile à retracer. Ce «bouclage» est un moyen très efficace pour induire les
autorités en erreur de les retrouver. La technique était en déclin avec l'avènement des téléphones portables
prépayés pratiques, mais devrait rattraper son retard, car la nouvelle législation exige que les téléphones
portables prépayés soient enregistrés avec des identifiants valides avant d'être utilisés. Cet anonymat peut être
exploité pour attaquer d'autres cibles, faisant du PBX compromis un point intermédiaire et son propriétaire
peut-être tenu responsable de l'attaque.
En même temps, les PBX compromis (et en particulier les systèmes de messagerie vocale) peuvent être un
référentiel d'informations illégales à échanger par les fraudeurs. Les messages cryptés peuvent être stockés par
des criminels et récupérés par leurs pairs (par exemple, pour le trafic de drogue) tandis que des appels
multipartites peuvent avoir lieu, organisant des actions.
Un effet secondaire (ou délibéré) est la publicité défavorable et l'atteinte à la réputation d'une entreprise qui
a été touchée par un tel incident. En effet, les clients peuvent se voir refuser le service téléphonique, ou un
ancien employé mécontent peut transmettre les lignes entrantes de l'entreprise aux lignes sexuelles. Pire
encore, les clients pourraient être connectés à la ligne d'un adversaire. Un bon exemple vient des débuts de la
téléphonie. Almon Strowger a inventé un central téléphonique automatique parce qu'il était convaincu que la
femme d'un concurrent, opératrice d'un central téléphonique manuel, envoyait des appels à son mari au lieu de
lui chaque fois que quelqu'un demandait le service qu'ils offraient tous les deux.
En parlant de publicité défavorable, un pourcentage toujours croissant d'e-mails sur Internet sont des spams.
La même chose peut éventuellement se produire avec les appels vocaux. Le spam peut être défini comme étant
des messages commerciaux non sollicités provenant d'expéditeurs inconnus. Il est bien possible qu'un PBX
compromis puisse avoir lieu dans un tel acte, en relayant des messages audio vers des numéros de téléphone
choisis au hasard. L'utilisateur reçoit un appel et à l'autre bout de la ligne, le message préenregistré commence
à jouer de la propagande politique ou à essayer de le convaincre de visiter un site Web pour, espérons-le,
effectuer une transaction en achetant un bien ou un service.
Jusqu'à présent, nous avons examiné les menaces techniques. Cependant, il n'est pas toujours nécessaire
d'être techniquement averti pour abuser d'un réseau téléphonique. Une technique très courante pour y accéder
est l'utilisation de l'ingénierie sociale; les personnes qui se font passer pour quelqu'un d'autre utilisent leur
persuasion pour extraire des informations précieuses pour le réseau lui-même ou des informations qui peuvent
être utiles pour l'infiltrer. Il y a deux bons exemples ici, l'un est l'utilisation de l'ingénierie sociale par une
personne qui se fait passer pour une personne de confiance (par exemple, un employé) via le p hone et extrait
des informations d'une secrétaire, un nom d'utilisateur et un mot de passe pour se connecter au réseau, et
l'autre est une personne qui donne de fausses informations et se fait passer pour un technicien réseau afin
d'extraire des informations sur la localisation du PBX. En obtenant ainsi l'approbation du gardien pour accéder
au PBX, il a un accès complet au réseau. D'autres exemples d'ingénierie sociale peuvent être trouvés dans [ 12
].

              2.6 Spécifi quement pour VoIP             

Comme déjà indiqué, la plupart des menaces déjà évoquées affectent la VoIP de la même manière qu'elles
affectent les PBX TDM classiques. La Voice over IP Security Alliance (VoIPSA) [ 13 ] a néanmoins fourni
une taxonomie spécifique des menaces de sécurité. Cela comprend les menaces sociales, les menaces d'écoute
clandestine, d'interception et de modification, les abus de service, l'interruption intentionnelle de service (y
compris le déni de service) et d'autres interruptions de service.
 Les menaces sociales exploitent les vulnérabilités de la VoIP en ce qui concerne l'identification de
l'appelant et l'absence de lien «physique» entre un numéro donné et une adresse réelle. Ecouter des co unts sur
un trafic non chiffré qui peut être «reniflé» tout le long du réseau, beaucoup plus facile que de clipser des
câbles dans un câble souterrain. En effet, il existe des dizaines d'outils pour décoder les flux vidéo et audio.
L'interception et le réacheminement des appels sont possibles en ciblant des vulnérabilités spécifi ques dans
les protocoles et la signalisation lors de l'établissement de l'appel. Le déni de service peut être atteint non
seulement par des attaques directes contre les protocoles et implémentations VoIP, mais également par
l'attaque de l' infrastructure de réseau informatique (inondation de trafic, attaques dans les serveurs DNS, etc.).
Dans tous les cas, la VoIP est implémentée en utilisant une gamme de composants et de protocoles qui ont
tous des vulnérabilités potentielles, des bogues et des exploits comme présenté dans [ 14 ].
• Éléments VoIP     
- Eléments de contrôle Cal l (agents d'appel)    
Contrôle des appels basé sur l'appliance ou le serveur: échange de succursales privées de protocole Internet
(IPPBX)
Interrupteurs logiciels
Proxies des contrôleurs de frontière de session (SBC)
- Passerelles et gardiens    
Appeler les pairs
- Unités multi-conférence (MCU) et ponts de conférence spécialisés    
- Points de terminaison matériels    
Téléphone (s
Codecs vidéo
Autres appareils et points de terminaison spécialisés
- Clients logiciels et terminaux logiciels    
Téléphones IP
Clients de chat et de voix intégrés à la messagerie unifiée (UM)
Clients vidéo de bureau
Clients smartphone basés sur IP
- Composants du centre de contact    
Systèmes de distribution automatisée des appels (ACD) et de réponse vocale interactive (IVR)
Intégrations de centre d'appels et numéroteurs sortants
Systèmes d'enregistrement d'appels
Solutions de flux de travail pour centres d'appels
- Systèmes de messagerie vocale    
• Protocoles     
- H.248 (Megaco)    
- Protocole de contrôle de passerelle multimédia (MGCP)    
- Protocole d'initiation de session (SIP)    
- H.323    
- Protocole de contrôle d'appels skinny (SCCP) et autres protocoles propriétaires     
- Protocole de description de session (SDP), protocole en temps réel (RTP), protocole de contrôle en temps
réel (RTCP) et protocole de diffusion en temps réel (RTSP)    
- Protocole de transport sécurisé en temps réel (SRTP)    
- Protocoles Inter-Asterisk eXchange (IAX et IAX2)    
- T.38 et T.125    
- Réseau numérique de services intégrés (RNIS)    
- Système de signalisation numéro sept (SS7) et SIGTRAN - Service de messages courts (SMS)    
Le point à souligner est que malgré les tendances et les changements technologiques du PBX TDM au PBX
VoIP, les menaces sont toujours les mêmes, les méthodes sont plus ou moins les mêmes et seuls les détails
 techniques des attaques spécifi ques changent. Nous éclairerons davantage les détails techniques dans le
prochain chapitre.

              2.7 Conclusion             

Il est plus que clair que les PBX sont confrontés à un nombre accru de menaces qui affectent leur disponibilité,
leur confidentialité et leur intégrité. Outre la communication vocale, des capacités et des services améliorés, y
compris les transactions bancaires par téléphone, soulèvent des problèmes de sécurité encore plus graves.
Bien que la zone de sécurité technologique moderne soit un champ de bataille constant, les niveaux de
sécurité de la téléphonie ne sont pas assez élevés. Cela présente également une vaste opportunité pour les
opérateurs de télécommunications et les fournisseurs de services. Ils peuvent jouer un rôle proactif et
stratégique dans la protection de leurs abonnés, à la fois par l'éducation et par le logiciel de sécurité qu'ils
doivent déployer sur leurs réseaux.
Les fabricants, pour leur part, devraient opter pour des interfaces et des systèmes généralement mieux
conçus, plus riches en fonctionnalités de sécurité. Un logiciel spécial pourrait aider les utilisateurs à atténuer
certains des risques de sécurité en offrant des options de cryptage intégrées ainsi que des fonctions de
sauvegarde automatisée et des options pour détecter la fraude.
Pour lutter contre les menaces, avant de se précipiter vers des solutions technologiques, la première étape
pourrait être la sensibilisation et une meilleure éducation des utilisateurs. Suite à cette introduction, nous
continuerons avec un chapitre plus technique avant de présenter les solutions de sécurité.

Références
1. Akhvlediani M (2009) La faille fatale: les médias et l'invasion russe de Georgi a. Small Wars Insurgencies 20 (2): 363–390  
2. déDECTé. https://dedected.org/trac 
3. Prevelakis V (2007) L'affaire d'Athènes. IEE E Spectrum, juillet 2007  
4. L e Dictionnaire gratuit (2012) Opérations psychologiques. http://www.thefreedictionary.com/ opérations + psychologiques
5. CFCA, Communications Fraud Control Association (2009) Worldwide Telecom Fraud Survey     
6. CFCA, Communications Fraud Control Association (2003) Worldwide Telecom Fraud Survey     
7. Ars Tsechnica (2011) Comment les phreakers philippins ont transformé les systèmes PBX en distributeurs automatiques de
billets pour les terroristes. http://arstechnica.com/tech-policy/news/2011/11/how-fi lipino-phreakers-turn-pbx- systems-into-
cash-machines-for-terrorists.ars     
8. Brisbane (2006) http://www.bris2600.com/hall_of_fame/poulsen.php     
9. BBC News (2011) Les téléphones de l'hôpital d'Exeter «ne comprennent pas l'accent du Devon». http://www.bbc.
co.uk/news/uk-england-devon-14649238    
10. S t. Cloud Times Minnesota (2011) BREF: l'incendie cause des problèmes pour les téléphones des hôpitaux. St. Cloud,
Minnesota. http://www.newsorganizer.com/article/brief-fi re-causes-problem-for- ac0a083204b6cc060f0c2d0edede85fa /  
11. Luiijf E, Klaver M (2011) Connaissance situationnelle insuffisante des infrastructures critiques par la gestion des urgences.
TNO Défense, Sécurité et Sûreté  
12. Mitnick KD, Simon WL (2002) L'art de la tromperie: contrôler l'élément humain de la sécurité. Wiley , Indianapolis   
13. VOIPSA (2005) VoIP security and privacy menace taxonomy public release 1.0, 24 octobre 2005.
http://www.voipsa.org/Activities/VOIPSA_Threat_Taxonomy_0.1.pdf   
14. Rhodes-Ousley M (2013) Sécurité de l'information: la référence complète, 2e éd. McGraw-Hill Education, New York