China Telecom MVNO en Angleterre

Pour la première fois, un opérateur de télécommunications chinois va lancer un service MVNO en Europe. C’est même une première en dehors de la Chine. China Telecom a choisi le territoire de sa Majesté, l’Angleterre.

China Telecom va s’appuyer sur l’infrastructure réseau de Everything Everywhere (Orange et T-Mobile). Le lancement est prévu au premier semestre 2012.
Est-ce le début de l’offensive de China Telecom, et doit-on s’attendre à de prochaines acquisitions ?

ARCEP : nomination de Françoise Benhamou

Françoise Benhamou a été nommée, par le président du Sénat, membre du collège de l’Autorité en remplacement de Nicolas Curien dont le mandat est arrivé à expiration.

Françoise Benhamou, née en 1952, est une économiste, professeur des universités à l’université Paris-XIII et chroniqueuse française, spécialiste de l’économie de la culture et des médias (source : Wikipédia).

Elle est intervenu en se positionnant contre l’entente entre acteurs établis et sur la neutralité des réseaux. L’arrivée de Free dans le marché du mobile commence révéler au grand public que les opérateurs mobiles ont de la marge de manoeuvre (voir la dernière interview du président de Orange, indiquant que si le besoin s’en faisait sentir, ils pourrait éventuellement baisser leur tarif !!!). Au fait, n’ont-ils pas été condamnés dans le passé pour entente par la commission européenne ?

La neutralité des réseaux et notamment du net est un sujet houleux : les FAI veulent bien commercialiser des accès internet mais à conditions que cela ne leur coûtent rien. Certains sont prêts à mettre en place des filtrages afin de garantir un usage de qualité pour tous !!! ou dit autrement, faire plus de marge. Je me permets juste de rappeler que les infrastructures malgré l’augmentation des débits sont amorties/en fin d’amortissement, et que le quadruple play a permis d’augmenter ARPU moyen mais aussi la marge.
Bienvenu à Mme Benhamou, et bon courage pour les missions qui l’attendent.

Comment sécuriser le SIP d’un serveur asterisk ?

Comme convenu lors de mes voeux, voici mon premier article technique de 2012 touchant la sécurité informatique et plus précisément comment sécuriser le SIP d’un serveur asterisk.

Je ne vais pas vous rappeler l’intérêt (quand on touche au portefeuille, on comprend de suite beaucoup plus vite) de bien sécuriser son serveur de téléphonie. Asterisk est de plus en plus déployé en entreprise, apportant une flexibilité et des fonctionnalités pour un coût incomparable. Asterisk sait gérer plusieurs protocoles de communications dont le SIP. Nous allons voir dans cet article comment sécuriser le SIP.

Cet article est « presque » indépendant de la version d’Asterisk (les différences seront indiquées), ceci étant d’autant plus important que pour des questions de stabilité ou de compatibilité de code, beaucoup de solutions n’ont pas migré vers la dernière version stable. On trouve couramment en production des 1.4 .

Du point de vue SIP, Asterisk est un B2BUA. Un B2BUA (back-to-back user agent) est un élément logique du réseau dans les applications SIP. Il intervient entre les deux terminaisons d’un appel et divise la communication en deux appels indépendants. Tous les messages de controls passent par le B2BUA, ce qui lui permet d’intervenir lors de l’appel afin de lancer si nécessaire des applications comme l’interception, l’enregistrement, la diffusion de messages … Par contre asterisk n’est pas un proxy SIP. Il intègre quelques unes des fonctions (routage des appels, serveur registrar), mais gère de manière incomplète l’ensemble des messages SIP. Ce n’est tout simplement pas son job.

Afin de protéger notre serveur asterisk, il est judicieux de mettre en frontal un proxy SIP comme Opensips ou Kamailio. Ainsi, toutes les requêtes SIP seront dirigées vers l’interface publique du Proxy SIP. Cela va nous permettre ainsi d’isoler Asterisk. De plus, nous obtenons une architecture plus évolutive (load balancing ou fail over entre 2 serveurs asterisk synchronisés) et plus résistante aux attaques de déni de services. Un proxy SIP a été construit pour supporter un grand nombre de requêtes SIP, ce qui n’est pas le cas d’un serveur Asterisk.

Nous allons ainsi pouvoir paramétrer de manière précise comment notre proxy va répondre aux demandes selon leurs profils, bannir des adresses IP qui auraient un comportement anormal, et détecter des attaques selon des dictionnaires. On peut aussi bannir par défaut des IP selon leur origine géographique, ce qui est très utile si vos clients ne sont qu’en France ou en Europe par exemple.

De plus, Asterisk ne supporte les communications sécurisées (TLS) que depuis la version 1.8 (une version beta patchée 1.6 existe, mais il n’est pas conseillé de l’utiliser en production). Cela ajoute en plus une charge complémentaire sur le serveur. Dans notre schéma, les flux TLS seront gérés par le proxy SIP qui renverra un flux non crytpé à notre asterisk.

Voilà notre schéma :

SIP Channels (réseau public et privé) < —–> PROXY SIP < ——-> ASTERISK < ——> DAHDI, IAX …. channels (réseau privé)

Asterisk fonctionne en Realtime intégrant ainsi dans sa base de données les comptes utilisateurs SIP. Le proxy va vérifier les comptes et l’état des postes SIP dans cette base. L’authentification est gérée par le proxy SIP. Quand un appel arrive et qu’il est authentifié, le proxy le renvoie vers le serveur asterisk. Si l’utilisateur est est disponible (utilisateur interne ou externe via un trunk SIP opérateur), asterisk renvoie l’appel au proxy SIP qui renvoie l’appel au destinataire final.

Ainsi, lors d’une tentative d’attaque, le serveur asterisk est complètement isolé, et c’est le proxy SIP qui les gèrera.

Consultant ou commercial ?

Je commence l’année par un coup de gueule. Cela tombe bien, vu le temps hivernal, cela réchauffe. En fait l’article était en préparation/finalisation depuis quelques mois, et par manque de temps, il était resté en attente. Mais le destin l’a ramené sur le devant de la scène.

Tout le monde souhaite faire des économies sur ces factures de télécommunications. Nous sommes dans une des crises les plus importante de l’histoire de l’humanité. Mais aussi, certains opérateurs vendent très chers des services qui ne valent pas (plus) le prix auxquels ils sont facturés.

Pour atteindre son objectif, la personne souhaitant réaliser de substantielles économies soit s’appuie sur sa propre connaissance du marché en réalisant un appel d’offres ou délègue cette prestation à un consultant qui se rémunèrera soit sur les économies générées soit selon une prestation forfaitaire soit un mix des deux. Dans le premier cas, il fera appel à des commerciaux qui lui remettrons des propositions commerciales adaptées aux objectifs commerciaux de leur direction, et à sa charge de négocier une offre correspondant à ses propres besoins. Dans le second cas, ce sera le rôle du consultant, de rédiger un cahier des charges issu des besoins du client (je simplifie), de réaliser la consultation, et d’accompagner le client dans la négociation. Au final, c’est le client qui décide avec quel opérateur et selon quelles conditions il souhaite travailler. C’est comme cela que je vois cette facette de mon métier.
Mais, il existe visiblement une autre méthode. Les apporteurs d’affaires/agents commerciaux qui représentent deux à trois opérateurs prétendent apporter aussi ce rôle de conseil. Mais quand est-il de l’indépendance du consultant ? dans ce cas là, il est rémunéré par le prestataire choisi. Et, il est d’autant plus rémunéré, qu’il vend cher. Et, il est d’autant plus rémunéré, si il atteint un volume de chiffre d’affaires avec cet opérateur. Et, il est d’autant plus rémunéré, s’il vend deux produits à ce pauvre client. Ah, tiens donc, on ne parle plus de conseils, mais de vente ! La plus part se contente de proposer des économies de l’ordre de 15 à 20%, alors que le montant de certains contrats peuvent être divisé par 2, et cela même sans changer d’opérateur !
Le client doit se poser la question : j’ai une prestation de conseil, mais cette prestation est réelle, elle a une valeur donc un coût, et ce coût là, qui le paye ?
Mais, cette pratique est courante et existe depuis de nombreuses années. Mon coup de gueule est dédié à ces nouveaux « commerciaux » qui se font passer pour des consultants, facturent leur prestation au client (jusque là rien d’anormal), mais qui sont en fait des apporteurs d’affaires pour 2 ou 3 opérateurs qui les rémunèrent. Le conseil n’est donc plus dénué d’intérêt et perd toute son indépendance. Je considère cette démarche comme frauduleuse car le client est trompé sur la valeur réelle de la prestation !
Et la cerise sur le cadeau, cette personne bien attentionnée pour son propre portefeuille, a fait signer un contrat au client qui au final lui coûte plus cher, l’enferme pendant de nombreuses années et malheureusement qui ne répond pas à certains de ses besoins.
Un conseil, faîtes ajouter dans le contrat avec votre consultant, une clause qui stipule son indépendance et le fait qu’il n’est pas et ne sera pas rémunéré par un des opérateurs pouvant répondre à la consultation.

Voeux 2012

Je vous souhaite à tous une excellente année 2012. J’en profite pour vous remercier d’être toujours aussi fidèle, même si, ces derniers mois, je n’ai pu publier que peu d’articles du fait d’un trop plein d’activités professionnelles.

J’ai pris une bonne résolution : prendre un peu de temps pour écrire plus souvent.

J’ai déjà préparé quelques articles qui restent à finaliser, notamment sur la sécurité. La fin d’année à été riche en incidents en tout genre, hacks de serveurs, déni de services, ou attaques VoIP avec à la clé des dizaines de milliers d’euros envolés. L’année 2012 semble être une année record : crise, groupes organisés, attaques de plus en plus poussées …

Encore merci et bonne année à tous

Vulnérabilité de la VoIP

Introduction

Alors que les attaques sur les systèmes de VoIP sont en constantes augmentation, les vulnérabilités observées augmentent elles aussi de manière exponentielle. (ne me faites pas dire ce que je n’ai pas dit, les systèmes traditionnels sont aussi soumis à des vulnérabilités qui sont d’autant plus facilement exploitées que tout le monde se croit à l’abri et qu’aucune procédure de sécurité n’est appliquée, même les plus essentielles et faciles à mettre en oeuvre – « comment ça, changer le mot de passe, 0000 comme mot de passe, c’est très bien mon bon mossieur !!! »).

On peut décomposer les attaques en 2 parties : les attaques au niveau du protocole et les attaques au niveau applicatif.

Les attaques protocolaires 

– l’écoute non souhaitée :

il est aisée de part la nature des flux (le média est transporté en RTP et la plus part du temps en non crypté) d’écouter les conversations. Cela pose un vrai problème de confidentialité.

La plus part des configuration par défaut n’utilise ni cryptage ni authentification.

– usurpation d’identité :

il est très aisé de présenter n’importe quel numéro, et donc se faire passer pour un autre

– détournement de compte SIP :

on retrouve en général 2 types d’authentification, soit par l’adresse IP, soit par un couple user / mot de passe. Grâce à la technique d’IP Spoofing, on peut détourner la première solution, et en sniffant le réseau on peut aisément récupérer les user/mdp. Il est essentiel de ne pas échanger les mots de passe en clair (utiliser md5) et d’utiliser SIPS (attention, tous les systèmes ne le prennent pas en compte).

– Replay :

en sniffant une conversation, on récupère les échanges de signalisation SIP. Il suffit de rejouer cet échange !

– Déni de service :

en générant de forte demande d’appels, d’authentification …

Les attaques applicatives

– les téléphones voip disposent d’une interface web de base souvent non protégée, permettant sa programmation à distance. L’assaillant après un scan et identification des terminaux, va pouvoir récupérer des informations essentielles (mots de passe, adresses …) et détourner à son profit les comptes.

– les téléphones et ipbx proposent des services qui parfois contiennent des failles de sécurité. Une fois exploitée, l’assaillant pourra prendre le contrôle de tout ou partie du système. Il faut bien s’assurer de bien patcher vos équipements.

– la configuration ne prenant pas suffisamment en compte la sécurité : mot de passe évident, compte basique, dialplan non sécurisé …

Conclusion

Ce n’est pas un exposé exhaustif des attaques touchant la VOIP, mais des principales attaques. Maintenant il ne vous reste plus qu’à vérifier votre protection. Bon courage.

Sécuriser votre système de téléphonie (PABX – IPBX)

Je viens de terminer plusieurs missions touchant la sécurité des systèmes de téléphonie. Malheureusement, j’arrive souvent un peu tard, et le mal est déjà en partie fait. En effet, l’utilisateur ne s’aperçoit de l’intrusion que lors de la réception de sa facture de consommations soit entre 1 et 2 mois après !

Heureusement, certains opérateurs avertissent leurs clients en cas d’utilisation anormale, cela limitant l’impact financier. Il faut bien être conscient que les attaques contre les systèmes de téléphonie sont en forte augmentation, car il y a de l’argent facile à gagner.

Il devient maintenant indispensable de s’assurer de la sécurisation de son autocommutateur. Avant tout, s’assurer que tous les mots de passe ont été changés, sont différents et suffisamment compliqués pour résister à une attaque par brute force. Bien entendu, garder ces mots de passe confidentiel ! Ensuite, il faut s’assurer que votre PABX soit bien à la dernière version logicielle. Et c’est là, que le choix du constructeur peut avoir un effet boomerang inattendu : certains facturent très cher les mises à jour alors que d’autres les mettent à disposition gratuitement ! Si pour des questions financières (certaines mises à jour coûtent plus de 1500 €), vérifier les failles de sécurité de votre version logicielle, et désactiver les services concernés si possible.

Puis sécuriser l’accès distant à votre système : privilégier un accès via un VPN à un accès par transfert de port ou par modem.

Placer aussi votre système derrière un firewall afin de ne laisser l’accès au monde extérieur qu’aux ports utiles.

Enfin, n’activer que les services utilisés, changer tous les codes d’accès d’origine (une boîte vocale avec comme code 0000 ou 1234 est à proscrire), et sécuriser les accès utilisateur.

Voilà rapidement, un résumé d’une sécurisation minimum à mettre en place afin de ne pas recevoir un jour une facture de téléphone exorbitante.

Je vous prépare un article plus précis pour les utilisateur d’asterisk.

Consolidation chez les opérateurs : Completel racheté par Bouygues ?

La consolidation des opérateurs télécoms continue. Après le rachat d’Altitude Télécom par Completel en janvier, une autre rumeur persistante circule. Le rachat de Completel par Bouygues Télécom serait finalisé cet été.

Le paysage français grand public rassemblerait ainsi 3 opérateurs majeurs disposant de réseau fixe et mobile : Orange, SFR et Bouygues. Et prochainement, l’arrivée d’un 4ème avec Iliad dès que son réseau mobile sera en production. Le reste du marché serait représenté par des opérateurs virtuels.
Cette concentration a du sens pour Bouygues : il achète des ressources fixes à Altitude (donc maintenant Completel) et Completel. Le rachat leur permettrait d’améliorer sensiblement les process de production et de support.
Quelles peuvent-être les autres conséquences ? j’en vois une pour les opérateurs clients de Completel. La politique de Bouygues a toujours été claire : vente directe et indirecte via les apporteurs d’affaires.

SFR dans la tourmente

SFR voit des nuages s’accumuler à l’horizon. Pour être précis j’en vois 3 principaux : économique, réglementaire et commercial.

Les derniers résultats économiques sont inférieurs aux attentes avec une baisse significative de la marge (-4 points soit 30%). On attendra d’avoir les chiffres détaillés pour comprendre les raisons de cette érosions. Une première interrogation peut nous venir à l’esprit : stagnation du chiffre d’affaires et baisse des marges, alors que les marges des offres triple play sont stables (voir meilleures) comme celle des mobiles, est-ce SFR ne paie pas le recrutement à grand renfort de communication de professionnels dont la marge est plus faible et l’exigence plus importante ? Enfin, le joli coup réalisé par Xavier Niel qui va pousser le régulateur a exiger une baisse conséquente du coût des terminaisons mobiles, qui sont une manne pour nos 3 opérateurs mobiles. La décision est attendue cet été.
Le deuxième nuage concerne la venue d’un 4ème opérateur mobile. Même si le déploiement n’avance pas aussi vite qu’espéré par certains, et notamment les clients Free eux-même, SFR va voir sa perte de marché baisser et ses marges rognées si Free tient ses promesses (aie, on rejoins le premier nuage).
Enfin, le troisième nuage est commercial. En effet, deux arrêts ont été rendus hier par la cour de cassation reconnaissant le statut de salarié à 2 anciens revendeurs SFR. Le réseau commercial est en dehors des grands comptes, constitué par la vente indirecte au travers de franchisés, d’espace SFR et de revendeurs. Le problème va se poser sur les partenaires actuels, mais aussi les anciens évincés durement. SFR doit se préparer à faire face à un risque financier important. Encore une fois, on rejoint le premier nuage.
L’avenir de SFR est-il autant sombre : pas forcément, tant que le marché du mobile français reste aussi rentable et le triple play sans réelle concurrence, les marges sont protégées. Le risque peut venir des actionnaires et notamment de Vodafone. Quelles vont être leurs positions à long terme ?

Disparition programmée du PABX ou autocommutateur

Quel est l’avenir du PABX tel que nous le connaissons aujourd’hui au sein des entreprises ? Quel est l’intérêt d’investir dans du matériel dédié face à l’obsolescence des technologies et des hommes ?

En effet, une guerre commence à faire rage entre les solutions PABX matériels et les solutions de communications purement logicielles ?

Grâce à la téléphonie sur IP, il n’est plus nécessaire de disposer de ports dédiés sur une carte de votre autocommutateur afin de raccorder vos postes téléphoniques. Les offres de raccordements de trunk SIP des opérateurs permettent de se passer aussi de carte numéris. Alors à quoi bon investir dans du matériel, et ne pas investir sur du logiciel et de l’expertise ?

L’avènement de solutions open source performantes et leurs déclinaisons commerciales proposent une offre concurrentielle apportant des fonctionnalités de communications évoluées. Des constructeurs de renoms ont emboité le pas : Alcatel avec l’offre BICS, Siemens, Aastra …
Une nouvelle aire s’ouvre avec l’abandon programmé des protocoles de communications propriétaires et une interopérabilité des postes avec l’ensemble des systèmes de communications via un protocole commun, normalisé et ouvert. La fin où le matériel décidait de la marque de PABX à acheter. Les constructeurs ont compris, que s’ils n’ouvraient pas leurs systèmes, ils allaient perdre des parts de marchés importantes. Les PABX des constructeurs historiques acceptent de plus en plus, au fur et à mesure des release, bon gré mal gré, les postes SIP et délivrent maintenant des postes téléphoniques propriétaires compatibles avec le protocole SIP.
La situation actuelle permet donc de déployer un standard téléphonique logicielle tournant sur une serveur informatique et de raccorder via le réseau informatique de l’entreprise des postes SIP multi-constructeurs. L’investissement n’est plus au niveau matériel, mais au niveau des fonctionnalités et de l’administration.
Au vu de ces éléments, combien de temps encore, les PABX matériels vont-ils continuer ? une chance pour eux, en dehors de toute logique, la France est réfractaire à tout changement … même s’il y a des gains à réaliser ?