VoIP

Introduction#

Alors que les attaques sur les systèmes de VoIP sont en constantes augmentation, les vulnérabilités observées augmentent elles aussi de manière exponentielle. (ne me faites pas dire ce que je n’ai pas dit, les systèmes traditionnels sont aussi soumis à des vulnérabilités qui sont d’autant plus facilement exploitées que tout le monde se croit à l’abri et qu’aucune procédure de sécurité n’est appliquée, même les plus essentielles et faciles à mettre en oeuvre - “comment ça, changer le mot de passe, 0000 comme mot de passe, c’est très bien mon bon mossieur !!!”). On peut décomposer les attaques en 2 parties : les attaques au niveau du protocole et les attaques au niveau applicatif.

Grâce à la téléphonie sur IP, il n’est plus nécessaire de disposer de ports dédiés sur une carte de votre autocommutateur afin de raccorder vos postes téléphoniques.

Les offres de raccordements de trunk SIP des opérateurs permettent de se passer aussi de carte numéris.

Alors à quoi bon investir dans du matériel, et ne pas investir sur du logiciel et de l’expertise ?

L’avènement de solutions open source performantes et leurs déclinaisons commerciales proposent une offre concurrentielle apportant des fonctionnalités de communications évoluées. Des constructeurs de renoms ont emboité le pas : Alcatel avec l’offre BICS, Siemens, Aastra …

De nombreuses marques ont disparu : Telic, Matra, Eritelcom, Barphone, E-Generis, JS Telecom (puis Bosh), Ténovis, Ascotel pour ne citer que les plus connus et récemment le rachat d’Ericsson par Aastra. Certaines ont disparus, d’autres ont été rachetées puis les produits arrétés et rarement les produits continuent de vivre (survivre) comme Ascotel et Matra au sein de Aastra.

Et peut-être la cession de la division entreprise de Nortel à Avaya. Le marché du PABX est réparti et 3 catégories prinicipales : les moins de 10 postes (TPE), les moins de 100 postes (PME) et les plus de 100 postes. Il faut noter que c’est dans cette dernière catégorie, que les sociétés ayant plusieurs sites en réseau et les entreprises multisites trouveront la solution technique adaptée à leurs besoins. En effet, les PABX pour les 2 autres catégories ne proposent que des fonctionnalités trop basiques afin de répondre à leur besoins.

Historique#

Commençons par un retour vers le passé, un peu d’histoire qui va nous permettre de comprendre l’étendue des risques encourus par les entreprises. Avant l’arrivée de la voix sur IP (VoIP) et du dialogue entre le téléphone et l’informatique communément appelé CTI, les flux voix étaient transportés par des protocoles propriétaires. Le niveau de compétences nécessaires afin de réaliser une intrusion était élevé. Peu d’attaques étaient possibles :