Voeux 2012

Je vous souhaite à tous une excellente année 2012. J’en profite pour vous remercier d’être toujours aussi fidèle, même si, ces derniers mois, je n’ai pu publier que peu d’articles du fait d’un trop plein d’activités professionnelles.

J’ai pris une bonne résolution : prendre un peu de temps pour écrire plus souvent.

J’ai déjà préparé quelques articles qui restent à finaliser, notamment sur la sécurité. La fin d’année à été riche en incidents en tout genre, hacks de serveurs, déni de services, ou attaques VoIP avec à la clé des dizaines de milliers d’euros envolés. L’année 2012 semble être une année record : crise, groupes organisés, attaques de plus en plus poussées …

Encore merci et bonne année à tous

Vulnérabilité de la VoIP

Introduction

Alors que les attaques sur les systèmes de VoIP sont en constantes augmentation, les vulnérabilités observées augmentent elles aussi de manière exponentielle. (ne me faites pas dire ce que je n’ai pas dit, les systèmes traditionnels sont aussi soumis à des vulnérabilités qui sont d’autant plus facilement exploitées que tout le monde se croit à l’abri et qu’aucune procédure de sécurité n’est appliquée, même les plus essentielles et faciles à mettre en oeuvre – « comment ça, changer le mot de passe, 0000 comme mot de passe, c’est très bien mon bon mossieur !!! »).

On peut décomposer les attaques en 2 parties : les attaques au niveau du protocole et les attaques au niveau applicatif.

Les attaques protocolaires 

– l’écoute non souhaitée :

il est aisée de part la nature des flux (le média est transporté en RTP et la plus part du temps en non crypté) d’écouter les conversations. Cela pose un vrai problème de confidentialité.

La plus part des configuration par défaut n’utilise ni cryptage ni authentification.

– usurpation d’identité :

il est très aisé de présenter n’importe quel numéro, et donc se faire passer pour un autre

– détournement de compte SIP :

on retrouve en général 2 types d’authentification, soit par l’adresse IP, soit par un couple user / mot de passe. Grâce à la technique d’IP Spoofing, on peut détourner la première solution, et en sniffant le réseau on peut aisément récupérer les user/mdp. Il est essentiel de ne pas échanger les mots de passe en clair (utiliser md5) et d’utiliser SIPS (attention, tous les systèmes ne le prennent pas en compte).

– Replay :

en sniffant une conversation, on récupère les échanges de signalisation SIP. Il suffit de rejouer cet échange !

– Déni de service :

en générant de forte demande d’appels, d’authentification …

Les attaques applicatives

– les téléphones voip disposent d’une interface web de base souvent non protégée, permettant sa programmation à distance. L’assaillant après un scan et identification des terminaux, va pouvoir récupérer des informations essentielles (mots de passe, adresses …) et détourner à son profit les comptes.

– les téléphones et ipbx proposent des services qui parfois contiennent des failles de sécurité. Une fois exploitée, l’assaillant pourra prendre le contrôle de tout ou partie du système. Il faut bien s’assurer de bien patcher vos équipements.

– la configuration ne prenant pas suffisamment en compte la sécurité : mot de passe évident, compte basique, dialplan non sécurisé …

Conclusion

Ce n’est pas un exposé exhaustif des attaques touchant la VOIP, mais des principales attaques. Maintenant il ne vous reste plus qu’à vérifier votre protection. Bon courage.

Sécuriser votre système de téléphonie (PABX – IPBX)

Je viens de terminer plusieurs missions touchant la sécurité des systèmes de téléphonie. Malheureusement, j’arrive souvent un peu tard, et le mal est déjà en partie fait. En effet, l’utilisateur ne s’aperçoit de l’intrusion que lors de la réception de sa facture de consommations soit entre 1 et 2 mois après !

Heureusement, certains opérateurs avertissent leurs clients en cas d’utilisation anormale, cela limitant l’impact financier. Il faut bien être conscient que les attaques contre les systèmes de téléphonie sont en forte augmentation, car il y a de l’argent facile à gagner.

Il devient maintenant indispensable de s’assurer de la sécurisation de son autocommutateur. Avant tout, s’assurer que tous les mots de passe ont été changés, sont différents et suffisamment compliqués pour résister à une attaque par brute force. Bien entendu, garder ces mots de passe confidentiel ! Ensuite, il faut s’assurer que votre PABX soit bien à la dernière version logicielle. Et c’est là, que le choix du constructeur peut avoir un effet boomerang inattendu : certains facturent très cher les mises à jour alors que d’autres les mettent à disposition gratuitement ! Si pour des questions financières (certaines mises à jour coûtent plus de 1500 €), vérifier les failles de sécurité de votre version logicielle, et désactiver les services concernés si possible.

Puis sécuriser l’accès distant à votre système : privilégier un accès via un VPN à un accès par transfert de port ou par modem.

Placer aussi votre système derrière un firewall afin de ne laisser l’accès au monde extérieur qu’aux ports utiles.

Enfin, n’activer que les services utilisés, changer tous les codes d’accès d’origine (une boîte vocale avec comme code 0000 ou 1234 est à proscrire), et sécuriser les accès utilisateur.

Voilà rapidement, un résumé d’une sécurisation minimum à mettre en place afin de ne pas recevoir un jour une facture de téléphone exorbitante.

Je vous prépare un article plus précis pour les utilisateur d’asterisk.

Consolidation chez les opérateurs : Completel racheté par Bouygues ?

La consolidation des opérateurs télécoms continue. Après le rachat d’Altitude Télécom par Completel en janvier, une autre rumeur persistante circule. Le rachat de Completel par Bouygues Télécom serait finalisé cet été.

Le paysage français grand public rassemblerait ainsi 3 opérateurs majeurs disposant de réseau fixe et mobile : Orange, SFR et Bouygues. Et prochainement, l’arrivée d’un 4ème avec Iliad dès que son réseau mobile sera en production. Le reste du marché serait représenté par des opérateurs virtuels.
Cette concentration a du sens pour Bouygues : il achète des ressources fixes à Altitude (donc maintenant Completel) et Completel. Le rachat leur permettrait d’améliorer sensiblement les process de production et de support.
Quelles peuvent-être les autres conséquences ? j’en vois une pour les opérateurs clients de Completel. La politique de Bouygues a toujours été claire : vente directe et indirecte via les apporteurs d’affaires.

SFR dans la tourmente

SFR voit des nuages s’accumuler à l’horizon. Pour être précis j’en vois 3 principaux : économique, réglementaire et commercial.

Les derniers résultats économiques sont inférieurs aux attentes avec une baisse significative de la marge (-4 points soit 30%). On attendra d’avoir les chiffres détaillés pour comprendre les raisons de cette érosions. Une première interrogation peut nous venir à l’esprit : stagnation du chiffre d’affaires et baisse des marges, alors que les marges des offres triple play sont stables (voir meilleures) comme celle des mobiles, est-ce SFR ne paie pas le recrutement à grand renfort de communication de professionnels dont la marge est plus faible et l’exigence plus importante ? Enfin, le joli coup réalisé par Xavier Niel qui va pousser le régulateur a exiger une baisse conséquente du coût des terminaisons mobiles, qui sont une manne pour nos 3 opérateurs mobiles. La décision est attendue cet été.
Le deuxième nuage concerne la venue d’un 4ème opérateur mobile. Même si le déploiement n’avance pas aussi vite qu’espéré par certains, et notamment les clients Free eux-même, SFR va voir sa perte de marché baisser et ses marges rognées si Free tient ses promesses (aie, on rejoins le premier nuage).
Enfin, le troisième nuage est commercial. En effet, deux arrêts ont été rendus hier par la cour de cassation reconnaissant le statut de salarié à 2 anciens revendeurs SFR. Le réseau commercial est en dehors des grands comptes, constitué par la vente indirecte au travers de franchisés, d’espace SFR et de revendeurs. Le problème va se poser sur les partenaires actuels, mais aussi les anciens évincés durement. SFR doit se préparer à faire face à un risque financier important. Encore une fois, on rejoint le premier nuage.
L’avenir de SFR est-il autant sombre : pas forcément, tant que le marché du mobile français reste aussi rentable et le triple play sans réelle concurrence, les marges sont protégées. Le risque peut venir des actionnaires et notamment de Vodafone. Quelles vont être leurs positions à long terme ?

Disparition programmée du PABX ou autocommutateur

Quel est l’avenir du PABX tel que nous le connaissons aujourd’hui au sein des entreprises ? Quel est l’intérêt d’investir dans du matériel dédié face à l’obsolescence des technologies et des hommes ?

En effet, une guerre commence à faire rage entre les solutions PABX matériels et les solutions de communications purement logicielles ?

Grâce à la téléphonie sur IP, il n’est plus nécessaire de disposer de ports dédiés sur une carte de votre autocommutateur afin de raccorder vos postes téléphoniques. Les offres de raccordements de trunk SIP des opérateurs permettent de se passer aussi de carte numéris. Alors à quoi bon investir dans du matériel, et ne pas investir sur du logiciel et de l’expertise ?

L’avènement de solutions open source performantes et leurs déclinaisons commerciales proposent une offre concurrentielle apportant des fonctionnalités de communications évoluées. Des constructeurs de renoms ont emboité le pas : Alcatel avec l’offre BICS, Siemens, Aastra …
Une nouvelle aire s’ouvre avec l’abandon programmé des protocoles de communications propriétaires et une interopérabilité des postes avec l’ensemble des systèmes de communications via un protocole commun, normalisé et ouvert. La fin où le matériel décidait de la marque de PABX à acheter. Les constructeurs ont compris, que s’ils n’ouvraient pas leurs systèmes, ils allaient perdre des parts de marchés importantes. Les PABX des constructeurs historiques acceptent de plus en plus, au fur et à mesure des release, bon gré mal gré, les postes SIP et délivrent maintenant des postes téléphoniques propriétaires compatibles avec le protocole SIP.
La situation actuelle permet donc de déployer un standard téléphonique logicielle tournant sur une serveur informatique et de raccorder via le réseau informatique de l’entreprise des postes SIP multi-constructeurs. L’investissement n’est plus au niveau matériel, mais au niveau des fonctionnalités et de l’administration.
Au vu de ces éléments, combien de temps encore, les PABX matériels vont-ils continuer ? une chance pour eux, en dehors de toute logique, la France est réfractaire à tout changement … même s’il y a des gains à réaliser ?

Vers une hausse du prix des box ADSL ?

Les opérateurs grands publics vont voir leur régime de TVA modifié. En effet, ils appliquaient alors sur le prix de vente, la moitié du montant à une TVA de 5,5% et l’autre à 19,6%.

Faisons un peu d’histoire : il y a quelques années de cela, la TVA sur ces même produits était à 19,6% pour un prix de vente TTC égal à celui d’ajourd’hui. Les experts financiers des opérateurs ont déniché une loi européenne leur permettant d’appliquer une TVA à 5,5%. Ils ont décidé, que cette TVA s’appliquerait sur 50% du montant HT sans baisser le TTC. Autant de bénéfices en plus.
Alors que aujourd’hui, ils parlent d’augmenter le prix TTC à cause de la modification du régime de TVA !!!
Si on y regarde de plus près, l’ARPU (le revenu moyen par utilisateur) ne cesse d’augmenter, les investissements sont stables et une partie des infrastructures amorties.
Le marché lui est homogène avec un prix de vente à 30 euros. Ne sommes nous pas proche du marché du mobile qui a dû faire face au foudre de la commission pour la concurrence ?

Heureusement, quelques petits opérateurs proposent des solutions innovantes soit en tarif soit en offres techniques. Bon vent à eux.

Enquète sur la 4ème génération de mobile

J’ai été contacté par un étudiant de l’institut des technologies de l’information en master II spécialisé en informatique qui réalise un mémoire de fin d’études portant sur la 4G (4ème génération de mobile).

Cet étudiant a créé un questionnaire que je vous remercie de compléter afin de l’aider.

Allez, c’est ICI

Bien entendu, le rapport d’étude sera disponible aux personnes ayant participé à l’étude.

Communications téléphoniques gratuites !!!

Les communications téléphoniques gratuites ou le graal de tout consommateur telecom ou la toute puissance marketing versus l’intelligence humaine.

Pas plus tard qu’hier, un client m’annonce fièrement avoir reçu une proposition extraordinaire avec les communications vers les téléphones fixes en France gratuit. Encore mieux, quelques jours plutôt un autre avait déniché l’offre immanquable : appels illimités vers les fixes et mobiles français.

Voilà les opérateurs qui font de l’humanitaire ! Ces même opérateurs qui n’hesitent pas à facturer 2 euros une restriction d’appel ou facturer l’envoi d’une facture papier.
Je suis heureux de noter cette évolution positive.

Mais pédagogue par nature, je me suis senti obligé de leur expliquer, à ces valeureux clients, les dessous de ces offres extraordinaires. Désolé, et non, la gratuité n’existe pas. Un indice : regardez l’abonnement auquel vous souscrivez ? Quel est son montant ? Que contient-il exactement ?
Ne trouvez-vous pas que votre abonnement précédent n’était pas déjà trop cher ?

Et oui, la réponse est là. Par un jeu de passe passe astucieux, vos communications que vous payez horriblement chères, se sont retrouvées intégrées dans votre abonnement. Ah, donc mon abonnement comprend la ligne qui me raccorde au réseau opérateur et un forfait illimité de communications ? Et si je payais mes communications à l’usage, je ferais plus d’économies encore ?
Je vois que vous comprenez vite. Une dernière réflexion sur l’intérêt des forfaits illimités ou non : en France nous disposons de nombreux congés qui se traduisent par des baisses de traffics : le mois d’août où vos factures ne comprennent plus que de l’abonnement, mais aussi la dernière semaine de décembre, une à deux semaines en février, 2 semaines au mois d’avril, et je ne vous parle pas du mois de mai !!!

En conclusion, juste un conseil en partant du principe que la gratuité n’existe pas : comparez toujours les offres, et ne vous satisfaisez pas d’une comparaison avec votre facture actuelle (si le prix de vos minutes est 3 fois le prix du marché, c’est facile de proposer 20% d’économies !!!). J’ai l’exemple d’une personne fière d’avoir réduit son budget télécom par 2, mais qui après analyse paye réellement encore 10 fois trop !

Revue de l’actualités des télécoms du 22 avril 2010

Je n’ai pas été très bavard ces derniers mois. En effet, je participe à une fabuleuse aventure. Participer au développement d’un opérateur télécom dédié aux entreprises et aux administrations. Le challenge étant de rassembler le meilleur des technologies et des services et d’intégrer l’ensemble afin de proposer des services de hautes qualités couplés avec un vrai service client (pas celui des pubs 😉 ).

Les nouvelles ne manquent pourtant pas. Par exemple la dernière en date : Normaction suspendue de cotation à cause d’un changement de direction au pied levé qui paye ainsi ses très mauvais résultats. Quelle en est la cause ? je vous laisse contacter leurs clients afin de trouver la réponse.
Mais ce n’est pas me seul vivant des moments difficiles. SCT qui vit une crise de gouvernance tout en accumulant des litiges avec leurs clients. Et que dire de SFR dont la digestion de NeufCegetel semble plus difficile que prévue.
J’en oublie, mais le temps me manque.
Mais avez vous vu des news du coté des offres opérateurs pour les entreprises. Alors que les annonces se succèdent pour les offres orientées vers les particuliers, les entreprises doivent encore attendre mais elles ne perdent pas tout : elles bénéficient par contre des mêmes services clients !