Sécurité des iPBX : responsabilité des intégrateurs

Je viens d’avoir un appel téléphonique d’un responsable d’une société qui vient de subir une fraude sur son installation téléphonique. Alerté par son opérateur, Orange pour ne pas le citer, il vient de subir des appels frauduleux pour un montant dépassant les 10k euros. Juste de quoi vous gâcher la journée.

L’opérateur ayant fait le nécessaire (suppression des appels à l’étranger), il cherche maintenant à savoir qui va payer cette facture bien salée. Et pour cela, il faut chercher le responsable, qui a fait la boulette. Un détournement des accès téléphoniques, un employé malintentionné ou une faille du système téléphonique.

Après un audit des accès téléphoniques de l’iPBX, cette hypothèse est rapidement écartée comme la seconde (les montants en jeu sont trop importants). Il reste donc l’hypothèse malheureusement la plus courante, une faille sur le système téléphonique.

Seul un audit permettra de déterminer quelle faille a été exploitée, et si cette faille est la conséquence d’une négligence dans la programmation et la maintenance du standard téléphonique. Malheureusement un certain nombre d’installateurs téléphoniques ou intégrateurs prennent la sécurité des équipements et des systèmes à la légère. Pour preuve, la non application des matchs de sécurité sur certains parcs de PABX pourtant reconnus vulnérables, ou la mise en oeuvre d’architecture dont la conception même fragilise toute l’infrastructure informatique de la société cliente.

Il est grand temps que le petit monde de la téléphonie (installateurs, éditeurs, constructeurs …) adopte des pratiques strictes en terme de sécurité. Et pour commencer, la mise à disposition des patchs de sécurité devrait être gratuit (ce n’est pas encore le cas de tous les constructeurs) et le déploiement des mises à jour de sécurité inclu au contrat de maintenance en incluant des SLA (délai de déploiement de la mise à jour maximum garanti …). Une veille technique devrait aussi faire partie de ces contrats avec une information claire diffusée au client.

Les intégrateurs ou installateurs privés en tant que professionnels reconnus sont responsables devant la loi du respect des bonnes pratiques. Laisser un mot de passe par défaut ou faible est un exemple simple, mais qui engage la responsabilité du prestataire. Comme le fait de ne pas avoir répondu aux solicitations de son client lui demandant de mettre à jour le système, ou le fait d’avoir programmé le système en ignorant les règles de sécurité connues.

Les attaques se faisant de plus en plus nombreuses, j’espère qu’à la fois les clients (ceux qui refusent de mettre à jour leur système et qui refusent tout contrat d’infogérance) et les professionnels prennent plus sérieusement en compte ces risques.

Auteur : Mathias

Qui suis-je ? Je travaille dans les télécoms et réseaux depuis 1996 (oui, le siècle dernier). Je suis ingénieur en génie électrique et informatique industrielle réseaux et télécoms. Je suis passionné de technologies et je participe à plusieurs projets touchant les télécoms (asterisk et freeswitch notament) et la sécurité informatique (PfSense). J’interviens en tant que freelance afin d'accompagner les entreprises et opérateurs en leur apportant mon expérience et mon expertise.

3 réflexions sur « Sécurité des iPBX : responsabilité des intégrateurs »

  1. Un autre aspect de la sécurité souvent négligé par les installateurs, la securité des personnes. Sur bon nombre d'IPBX l'acheminement correct des numéros d’urgence est très mal ou pas configuré du tout.

    Quelle sera la responsabilité de l'installateur/intégrateur/opérateur lorsque qu'une vie sera perdue pour n'avoir pas pu joindre les secours a temps.

    Installateur en téléphonie est un vrai métier avec des devoirs qui bien souvent sont négligé par manque de professionnalisme.

    Pour revenir a la fraude, il existe des opérateurs qui mettent a disposition des outils permettant par exemple de bloquer les comptes au delà d'un certains montant de communication consommé par jour ou bien de ne pouvoir autoriser que les appels vers certaines destinations.

    Bien sur cela ne remplace pas une bonne protection/mise a jour de son IPBX, mais cela permet de limiter la casse.

  2. @alain-bieuzent En effet, c'est un élément oublié, mais pour être complet aussi oublié par certains petits opérateurs (je me suis entendu dire, qu'ils avaient des GSM en cas d'urgence sur le site 🙁 )

    Il y a eu une affaire avec B3G et une maison de retraite avec une condamnation à la clé.

    En effet, il y a des scripts de détection de fraude, soit basique avec un montant max de consommation journalière/mensuelle, soit évolué permettant de détecter un profil de consommation inhabituel. Je bosse sur ce 2ème en ce moment.

    Le gros soucis qu'on rencontre aujourd'hui est lié à un manque de formation, au fait que les sociétés souhaitent avant tout vendre et que le service devient secondaire, mais aussi que le conseil n'est pas toujours reconnu à sa juste valeur notamment par les TPE/PME qui considèrent que le commercial doit leur fournir du conseil.

  3. Bonjour,

    L’installateur se doit de mettre en place toute la sécurité possible sur le PABX, mise à jour logiciel, mot de passe, etc…
    Cependant certains opérateurs peu scrupuleux laissent les factures gonflées sans avertir le client et bloquer les communications vers l’international. Pourtant ils ont des outils pour surveiller les surconsommations. Mais à qui profitent ces fraudes en dehors des pirates ? Aux opérateurs évidement puisque ce sont eux qui vont facturer.

    Il faut que tout le monde fasse son travail correctement, les fabricants en proposant des outils de sécurité solides, les installateurs en sécurisant au maximum les pabx/ipbx avec ces outils et les opérateurs en prévenant tout de suite les clients dès lors qu’ils détectent une consommation anormale.

    Bonne journée.
    Cordialement.

Laisser un commentaire