Vol de données par VoIP : peu de solutions pour l'heure

Vol de données - VoIP Certains outils permettent de repérer ce type d'attaque par comparaison de paquets, mais la technique de LACK reste pour l'heure difficilement identifiable. Le point sur cette faille de sécurité.

Le vol de données dans les entreprises passe maintenant par le téléphone. Depuis la démocratisation du protocole VoIP, dont les coûts sont moins importants, il est en effet techniquement possible d'encapsuler des données numériques autres que vocales dans le flot d'un appel téléphonique passé en VoIP.

Cette faille de sécurité exploite une caractéristique de la VoIP, qui est l'envoi d'information via des paquets. C'est au niveau du modem interne du téléphone IP que la voix est décomposée en paquets numériques, pour être transportée par le réseau. A l'autre bout de la ligne, le modem récepteur récupère les paquets et reconstruit le signal de manière à ce qu'il soit audible par le correspondant.

Il est donc possible de récupérer des données sensibles sur un ordinateur, et de les faire transiter par le réseau à chaque fois qu'un utilisateur se sert du téléphone, en les intégrant aux paquets. Le pirate utilise l'appel en cours pour envoyer les données, et les rediriger vers leur destination finale sans que l'émetteur de l'appel ne s'aperçoive de rien.

LACK, utilise le fait que les modems ont pour ordre d'ignorer les paquets qui arrivent en retard

Diverses techniques d'encapsulage et de transport des données volées existent. L'une d'elle consiste à changer l'ordre d'envoi des paquets selon un code précis. A la réception, les paquets seront remis dans l'ordre, toujours selon le code, et les données pourront être récupérées par le pirate.

Une autre technique consiste à retarder l'envoi des paquets qui contiennent des informations volées. Nommée LACK, pour Lost Audio Packet Steganography, cette technique utilise le fait que les modems ont pour ordre d'ignorer les paquets qui arrivent en retard. Ils recomposent ainsi la conversation en faisant abstraction des paquets perdus. Cela impacte la qualité de la communication, mais une utilisation parcimonieuse de cette technique n'alerte pas l'utilisateur.

En fait, la seule manière de vérifier qu'une attaque de ce type n'est pas en cours est de comparer le trafic avec un échantillon témoin pour vérifier qu'il ne diffère pas. Mais il n'est pas aisé de réaliser cela en temps réel.

C'est pourquoi des chercheurs de l'Université de Varsovie en Pologne viennent de publier une étude qui récence 100 échantillons de conversations VoIP "normales", extraits de d'appels effectués entre leur université et celle de Cambridge au Royaume-Uni. Il devient donc possible de comparer des appels avec ces échantillons et de détecter des attaques utilisant un code pour mélanger les paquets.

Mais lutter contre les attaques de type LACK s'avère plus compliqué, car par nature, certains paquets arrivent toujours en retard dans les conversations en VoIP. Dès lors, il devient délicat de cibler ceux qui ont été intentionnellement retardés.

VoIP