Sécurité des systèmes téléphoniques 1

Sécurité des systèmes téléphoniques

Souvent, en entreprise, la problématique de "sécurité du système téléphonique" n’est pas une préoccupation majeure
et la téléphonie n’est pas toujours intégrée dans la politique de sécurité du système d'information. Les équipes
responsables de la téléphonie ne sont pas toujours suffisamment sensibilisées à la sécurité (parfois gérée par les
services généraux). De plus en plus, les équipes de la téléphonie et de l'informatique fusionnent grâce à l'arrivée de la
téléphonie IP (ToIP), mais les informaticiens, sensibles à la sécurité, ne connaissent pas toujours les problématiques
spécifiques à la téléphonie.
Autrefois, les PABX étaient des équipements fermés et difficilement appréhendables, avec des vulnérabilités
spécifiques, connues des experts et des pirates. Aujourd’hui, avec la VoIP, les PABX (ou IPBX) sont aussi de vrais
serveurs informatiques sur lesquels on trouve une application de téléphonie[1]. Ils fonctionnent sur des systèmes
d’exploitation connus, raccordés aux réseaux informatiques et ont la même problématique de sécurité que tout autre
serveur. À ceci près qu’on y ajoute les vulnérabilités spécifiques à la téléphonie, qui n’ont pas disparu.
La convergence voix-données hérite des vulnérabilités de la téléphonie traditionnelle ainsi que des vulnérabilités du
monde IP[2].

Les cinq grandes menaces qui pèsent sur le réseau téléphonique[3],,

L'écoute illégale
Cette pratique consiste à détourner le systèmes téléphonique dans le but d'écouter illégalement des conversations
téléphoniques.
Exemples de pratiques :
• Utilisations abusives des fonctions d’écoute.
• Accès frauduleux aux systèmes de Messagerie Vocale.
• Usurpations d'identités.
• Enregistrements illicites de conversations.
Impacts:
• Espionnage :
• Identification des contacts (clients, partenaires, fournisseurs, …).
• Vols de brevets, technologies.
• Stratégies d’entreprise divulguées.
• Opérations sensibles connues (projets de fusion/acquisition).
• Divulgation publique d’informations confidentielles.
• Atteinte au respect de la vie privée.

La fraude téléphonique
Cette pratique consiste à téléphoner gratuitement et à tirer profit du système téléphonique d'une entreprise.
Exemples de pratiques :
• Utilisation abusive du service de téléphonie (fonction DISA, …).
• Piratage des messageries vocales accessibles depuis l'extérieur dans le but d'activer des fonctions de renvoi
d'appels vers l'extérieur.
• Renvois vers des numéros surtaxés, à l’étranger le plus souvent.
• Revente des communications à des tiers.
Impacts :
Sécurité des systèmes téléphoniques 2

• Surfacturation téléphonique importante.

• Temps perdu à rechercher la source du problème.

Le déni de service
Cette pratique vise à rendre le système téléphonique indisponible.
Exemples de pratiques :
• Sabotage de l’autocommutateur.
• Saturation des liens opérateurs (flood).
• Attaques protocolaires sur le PABX et les téléphones.
• Augmentation du temps de réponse des équipements de téléphonie (atteinte à la QoS).
• Re-routage de trafic ou transfert illicite d’appels, rebonds automatiques.
• Interception abusive d’appels, ou de fax.
Impacts :
• Indisponibilité du service de téléphonie.
• Plainte de clients ou de tiers.
• Atteinte à la notoriété.
• Perte de chiffre d’affaires.
• Contrats commerciaux perdus.

Les intrusions sur le système informatique

Ces sont des manœuvres visant à pénétrer sur le système informatique à partir du système téléphonique, par rebond.
Exemples de pratiques :
• Depuis l’extérieur: piratage des modems de télémaintenance, ou des modems internes (Wardialing, puis
pénétration du réseau).
• Depuis l’intérieur: utilisation des lignes analogiques (des fax, par exemple) pour établir des connexions pirates
vers Internet dans le but d’outrepasser la politique de sécurité Internet (filtrage Web).
• Modems « fantômes » ou modems « oubliés », programmes « Dialers ».
Impacts :
• Création de porte dérobée (Backdoor), Interconnexion clandestine d’Internet avec le réseau d’entreprise : porte
d’entrée pour les pirates, virus, malwares, chevaux de Troie, etc…
• Fuites, détournement d’informations…

Le cas des Softphones

Un softphone est un type de logiciel utilisé pour faire de la téléphonie par Internet. Il nécessite que le poste de travail
ait accès au réseau voix (généralement dissocié du réseau de données pour des raisons de sécurité).
Problématique :
• Difficulté à cloisonner les réseaux « voix » et « données » sur les postes équipés de softphones.
Impacts :
• Perméabilité entre les deux réseaux.
• Possibilité de lancer des attaques sur le réseau Voix depuis un poste de travail doté d’un softphone.
• Propagation de virus, et autres programmes malveillants entre les réseaux.
Sécurité des systèmes téléphoniques 3

Des conséquences graves pour l‘Entreprise[4].

• Conséquences financières.
• Conséquences sur la notoriété.
• Conséquences pénales pour les dirigeants : articles 121-2 et 226-17 du code pénal.

Les solutions,
Il faut avant tout prendre conscience du problème, puis sécuriser son système téléphonique.

Intégrer la téléphonie dans le référentiel de sécurité de l'entreprise

• Disposer d'une politique de sécurité "voix" et l'appliquer.
• Intégrer la téléphonie dans les Rapports et Tableaux de Bords de Sécurité du Système d'Information (TBSSI).

Protéger ses équipements (PABX, IPBX, ...)

• Réaliser des audits réguliers et des analyses de configurations (manuellement ou à l'aide d'outils automatiques
spécialisés).
• Vérifier régulièrement l'activation des fonctions "sensibles".
• Suivre les modifications de configuration (utilisation d'outils de détection des modifications).
• Sécuriser les accès aux équipements télécoms, aux consoles de gestion et aux modems de télémaintenance
(détecter et journaliser les accès).

Protéger le réseau téléphonique

• Mettre en place des moyens d’analyse de trafic (VoIP : interne/externe, et ISDN : T0/T2/E1).
• Utiliser des IDS/IPS spécialisés Voix permettant la détection d’anomalies et la protection contre les attaques.
• Découvrir les modems « fantômes » ou « pirates » de l’entreprise, les éradiquer.
• Cloisonner les postes disposant de softphones en filtrant les flux au plus tôt (marquage VLAN des flux voix).
• Surveiller le réseau Voix, en temps réel, et émettre des alertes de sécurité lors de détection d’anomalies.

Garantir la traçabilité des événements

• Permettre, si nécessaire, l’accès aux informations relatives aux communications passées (numéro appelant/appelé,
date & durée, type d’appel: voix, fax, modem, …).
• Archiver régulièrement les configurations des PABX.
• Journaliser les actions menées par les utilisateurs des outils de sécurisation (nom, adresse IP, date de l’action,
nature de l’action).

Notes et références
[1] Conseils pour protéger votre standard téléphonique de toute intrusion (http:/ / telephonie-entreprise. comprendrechoisir. com/ article/ voir/
71311/ conseils-pour-proteger-votre-standard-telephonique-de-toute-intrusion)
[2] La sécurité de la voip, les principales failles (http:/ / www. nolot. eu/ Download/ Cours/ reseaux/ m2pro/ SESY0708/ securite_voip. pdf)
[3] Pourquoi sécuriser la téléphonie? (http:/ / www. checkphone. net/ index. php/ fr/ pourquoi-securiser-la-telephonie. html)
[4] Conférence du Clusif "Malveillances téléphoniques : Risques et parades", 2003 (http:/ / www. clusif. asso. fr/ fr/ production/ ouvrages/ pdf/
MalvTel_Infosecurity031128. pdf)
Sources et contributeurs de l’article 4

Sources et contributeurs de l’article

Sécurité des systèmes téléphoniques Source: http://fr.wikipedia.org/w/index.php?oldid=99612657 Contributeurs: ABACA, Bertol, DecereBrain, Dhatier, Félix Potuit, Herr Satz, Karl1263,
Leag, Lgd, Linan, Orthomaniaque, Padawane, Pautard, Srjbox, Zil, 3 modifications anonymes

Licence
Creative Commons Attribution-Share Alike 3.0
//creativecommons.org/licenses/by-sa/3.0/