Vulnérabilité de la VoIP

Introduction

Alors que les attaques sur les systèmes de VoIP sont en constantes augmentation, les vulnérabilités observées augmentent elles aussi de manière exponentielle. (ne me faites pas dire ce que je n’ai pas dit, les systèmes traditionnels sont aussi soumis à des vulnérabilités qui sont d’autant plus facilement exploitées que tout le monde se croit à l’abri et qu’aucune procédure de sécurité n’est appliquée, même les plus essentielles et faciles à mettre en oeuvre – « comment ça, changer le mot de passe, 0000 comme mot de passe, c’est très bien mon bon mossieur !!! »).

On peut décomposer les attaques en 2 parties : les attaques au niveau du protocole et les attaques au niveau applicatif.

Les attaques protocolaires 

– l’écoute non souhaitée :

il est aisée de part la nature des flux (le média est transporté en RTP et la plus part du temps en non crypté) d’écouter les conversations. Cela pose un vrai problème de confidentialité.

La plus part des configuration par défaut n’utilise ni cryptage ni authentification.

– usurpation d’identité :

il est très aisé de présenter n’importe quel numéro, et donc se faire passer pour un autre

– détournement de compte SIP :

on retrouve en général 2 types d’authentification, soit par l’adresse IP, soit par un couple user / mot de passe. Grâce à la technique d’IP Spoofing, on peut détourner la première solution, et en sniffant le réseau on peut aisément récupérer les user/mdp. Il est essentiel de ne pas échanger les mots de passe en clair (utiliser md5) et d’utiliser SIPS (attention, tous les systèmes ne le prennent pas en compte).

– Replay :

en sniffant une conversation, on récupère les échanges de signalisation SIP. Il suffit de rejouer cet échange !

– Déni de service :

en générant de forte demande d’appels, d’authentification …

Les attaques applicatives

– les téléphones voip disposent d’une interface web de base souvent non protégée, permettant sa programmation à distance. L’assaillant après un scan et identification des terminaux, va pouvoir récupérer des informations essentielles (mots de passe, adresses …) et détourner à son profit les comptes.

– les téléphones et ipbx proposent des services qui parfois contiennent des failles de sécurité. Une fois exploitée, l’assaillant pourra prendre le contrôle de tout ou partie du système. Il faut bien s’assurer de bien patcher vos équipements.

– la configuration ne prenant pas suffisamment en compte la sécurité : mot de passe évident, compte basique, dialplan non sécurisé …

Conclusion

Ce n’est pas un exposé exhaustif des attaques touchant la VOIP, mais des principales attaques. Maintenant il ne vous reste plus qu’à vérifier votre protection. Bon courage.

Sécuriser votre système de téléphonie (PABX – IPBX)

Je viens de terminer plusieurs missions touchant la sécurité des systèmes de téléphonie. Malheureusement, j’arrive souvent un peu tard, et le mal est déjà en partie fait. En effet, l’utilisateur ne s’aperçoit de l’intrusion que lors de la réception de sa facture de consommations soit entre 1 et 2 mois après !

Heureusement, certains opérateurs avertissent leurs clients en cas d’utilisation anormale, cela limitant l’impact financier. Il faut bien être conscient que les attaques contre les systèmes de téléphonie sont en forte augmentation, car il y a de l’argent facile à gagner.

Il devient maintenant indispensable de s’assurer de la sécurisation de son autocommutateur. Avant tout, s’assurer que tous les mots de passe ont été changés, sont différents et suffisamment compliqués pour résister à une attaque par brute force. Bien entendu, garder ces mots de passe confidentiel ! Ensuite, il faut s’assurer que votre PABX soit bien à la dernière version logicielle. Et c’est là, que le choix du constructeur peut avoir un effet boomerang inattendu : certains facturent très cher les mises à jour alors que d’autres les mettent à disposition gratuitement ! Si pour des questions financières (certaines mises à jour coûtent plus de 1500 €), vérifier les failles de sécurité de votre version logicielle, et désactiver les services concernés si possible.

Puis sécuriser l’accès distant à votre système : privilégier un accès via un VPN à un accès par transfert de port ou par modem.

Placer aussi votre système derrière un firewall afin de ne laisser l’accès au monde extérieur qu’aux ports utiles.

Enfin, n’activer que les services utilisés, changer tous les codes d’accès d’origine (une boîte vocale avec comme code 0000 ou 1234 est à proscrire), et sécuriser les accès utilisateur.

Voilà rapidement, un résumé d’une sécurisation minimum à mettre en place afin de ne pas recevoir un jour une facture de téléphone exorbitante.

Je vous prépare un article plus précis pour les utilisateur d’asterisk.