Sécuriser votre système de téléphonie (PABX – IPBX)

Je viens de terminer plusieurs missions touchant la sécurité des systèmes de téléphonie. Malheureusement, j’arrive souvent un peu tard, et le mal est déjà en partie fait. En effet, l’utilisateur ne s’aperçoit de l’intrusion que lors de la réception de sa facture de consommations soit entre 1 et 2 mois après !

Heureusement, certains opérateurs avertissent leurs clients en cas d’utilisation anormale, cela limitant l’impact financier. Il faut bien être conscient que les attaques contre les systèmes de téléphonie sont en forte augmentation, car il y a de l’argent facile à gagner.

Il devient maintenant indispensable de s’assurer de la sécurisation de son autocommutateur. Avant tout, s’assurer que tous les mots de passe ont été changés, sont différents et suffisamment compliqués pour résister à une attaque par brute force. Bien entendu, garder ces mots de passe confidentiel ! Ensuite, il faut s’assurer que votre PABX soit bien à la dernière version logicielle. Et c’est là, que le choix du constructeur peut avoir un effet boomerang inattendu : certains facturent très cher les mises à jour alors que d’autres les mettent à disposition gratuitement ! Si pour des questions financières (certaines mises à jour coûtent plus de 1500 €), vérifier les failles de sécurité de votre version logicielle, et désactiver les services concernés si possible.

Puis sécuriser l’accès distant à votre système : privilégier un accès via un VPN à un accès par transfert de port ou par modem.

Placer aussi votre système derrière un firewall afin de ne laisser l’accès au monde extérieur qu’aux ports utiles.

Enfin, n’activer que les services utilisés, changer tous les codes d’accès d’origine (une boîte vocale avec comme code 0000 ou 1234 est à proscrire), et sécuriser les accès utilisateur.

Voilà rapidement, un résumé d’une sécurisation minimum à mettre en place afin de ne pas recevoir un jour une facture de téléphone exorbitante.

Je vous prépare un article plus précis pour les utilisateur d’asterisk.

Laisser un commentaire