Attention aux techniques de hack de la téléphonie sur IP !

Le monde de la téléphonie est plus que jamais en évolution ces dernières années. Après le passage de la téléphonie traditionnelle vers la VoIP/ToIP, un grand nombre de problématiques de sécurité émergent.

La ToIP/VoIP souffre encore d'une mauvaise image d'un point de vue sécurité...En effet, les réseaux voix historiquement isolés, fusionnent de plus en plus avec les réseaux de données, ils sont donc plus sensibles aux attaques d'un piratage. Les impacts peuvent être variables, confidentialité, dysfonctionnements, usurpations, écoute, changements des annonces de l'IPbx, accès aux messageries vocales, contournement de la politique de sécurité DATA (backdoors), perte financière, etc... alors qu'il existe un ensemble de solutions qui permettent de maitriser la sécurité de son système de téléphonie sur IP.

Dans certaines actualités, beaucoup ont entendu parler des enregistrements de l'affaire « Bettencourt »... ou encore, ont lu avec stupéfaction que certains opérateurs étrangers n'hésitaient pas à pirater des entreprises d'autres pays afin de mettre en place des « peering » de masse leur permettant de revendre des milliers de minutes par mois pour l'usage de leurs clients...

D'autre part, moins présente en France, l'arnaque aux numéros surtaxés et à l'usurpation d'identité, le procédé est simple, il consiste à appeler une personne en modifiant le numéro d'appelant par celui de quelqu'un d'autre ; peu d'opérateurs contrôlent ce type d'exercice ? et ce contrôle est rendu quasi impossible dans le cas d'une communication VoIP internet...

Une autre arnaque porte sur la modification de la synthèse vocale afin de se faire passer pour quelqu'un d'autre par le biais d'un simple outil de modulation de fréquence vocale, outil de plus en plus évolué et qui permet, par exemple, de transformer la voix d'une femme en celle d'un homme ! Les IPBX entreprise actuellement sur le marché ne sont pas équipés aujourd'hui de mécanisme de « contrôle de conformité » de la voix mais il est possible, dans le cadre d'affaires judiciaires, de vérifier si une voix a été ou non modifié dans un enregistrement.

A ce sujet d'ailleurs, seuls les opérateurs sont contraints, par commissions rogatoires délivrées par les services judiciaires, à mettre en place des écoutes téléphoniques. Certaines techniques « d'interception légale de trafic » se standardisent même au niveau international comme le « Lawful interception » de la Communications Assistance for Law Enforcement Act (CALEA ou ETSI)

Cependant, ne soyons pas alarmiste, ce type d'attaque nécessite une expertise et chacun, à son niveau, dispose de moyens plus ou moins évolués de se protéger avec des niveaux de sécurité très satisfaisants ou, au moins, équivalents à celui des anciens systèmes de téléphonie traditionnels !

Nous allons en détailler certains d'entre eux, en commençant par la sécurité de l'OS qui supporte votre IPBX, généralement sous noyau Linux, il existe deux écoles. Il y a ceux qui optimisent intégralement l'OS utilisé, technique très efficace et bénéficie d'avantages indéniables comme les performances, la sécurité optimale, la stabilité accrue... et répondent à des besoins spécifiques, voire industriels.

Cette technique nécessite des compétences avancées. En effet, partir d'un LFS « Linux from scratch » et compiler uniquement les modules, drivers et paquets nécessaires afin d'optimiser intégralement le noyau n'est pas donné à tous, cela reste manuel, long et complexe et, de plus, aucun suivi de version n'est applicable automatiquement. Il faut mettre en place sa propre gestion des dépendances...

De l'autre côté, il y a ceux qui souhaitent mettre en place simplement et rapidement un système de base (Debian, CentOs, Red Hate...) ou, mieux, utilisent des variantes comme le mode « Hardened » (HLFS) afin de renforcer nettement le niveau de sécurité. Ce mode intègre nativement des mécanismes de sécurité sur la pile IP de l'OS, limite l'exécution des binaires, des scripts et autres attaques et n'utilise que les drivers nécessaires... couplés uniquement aux services activés par l'administrateur et utiles à la ToIP. En résumé, la plupart des personnes concernées utilisent simplement un système de base et se dirigent vers un « Hardened » lorsqu'elles sont sensibles à la sécurité. Le LSF est généralement réservé au « Geek », aux constructeurs et/ou éditeurs.

D'autre part, le mode d'authentification des téléphones IP reste somme toute assez basique, puisque certains flux sont en clairs et puisque le challenge est réalisé avec un hash simple en "MD5" et pas de chiffrement... Ce qui renforce l'importance de la politique de mot de passe.

Pour finir, les nouvelles releases en test bénéficient déjà de certaines réponses (V1.6.2) et d'avancées en matière de sécurité comme le support TLS pour le SRTP, le renforcement de certains mécanismes de sécurité ou encore le support du T140 pour les messages texte, le support du SS7 dans DAHDI, l'amélioration des CDR, de la gestion du Dial Plan, du « MeetMe », des files d'attente, des nouvelles fonctions SIP et bien d'autres...

Les problèmes protocolaires

La ToIP est maintenant une partie intégrante des réseaux LAN (voir la rubrique sites web), elle est donc soumise à un ensemble de problématiques purement réseau dont voici quelques exemples quelques soit les constructeurs...


- Le Déni de service (DoS) sur VoIP qui consiste à lancer une multitude de requêtes, « flooding SIP », « TCP syn » ou « UDP », (par exemple, demandes d'enregistrement et d'appels...) jusqu'à saturation des services VoIP. Ces types d'attaques ciblent souvent les serveurs, les passerelles, les proxy ou encore les téléphones IP qui voient leurs ressources sont rapidement épuisées par ces requêtes dont l'objectif est de perturber voire mettre hors service le système ciblé. Une autre attaque également répandue consiste à envoyer des commandes « BYE » au téléphone afin de mettre fin à la conversation en cours...

- La manipulation du contenu multimédia et des signaux est une attaque qui permet d'injecter un fichier son dans un flux RTP par le biais d'une attaque « RTP Insertsound ».

- Attaque par « relecture » ou « Détournement d'enregistrement » de sessions autorisées obtenues grâce à une analyse de trame par un « sniffer » sur le réseau ou par interception de trafic. Cette attaque se déroule au niveau du protocole SIP, elle utilise la commande « Register » qui sert à localiser un utilisateur par rapport à son adresse IP. Le pirate peut alors rejouer ces sessions de « register » valide en modifiant uniquement l'adresse IP de destination en sa faveur...Cette attaque est due au fait que le protocole SIP transite une partie des informations en clair, il est donc possible de mettre en place du SIPS qui intègre des mécanismes d'authentification et assure l'intégrité des données.

- Le « Man in the Middle » (figure 3 : exemple d'échange protocolaire) (MITM) est une des attaques les plus connues ; elle permet à l'assaillant de se positionner entre le client et le serveur afin d'intercepter les flux ciblés qui sont échangés. Le pirate usurpe alors l'adresse MAC (spoof MAC) de ces 2 parties par l'empoisonnement du cache ARP des switches (ex: Ettercap + plugin « chk_poisoning ») afin d'être transparent dans ces échanges. Les données transitent alors au travers du système pirate. Dans le cas de la ToIP cette technique est utilisée pour « l'Eavesdropping » (« Oreille indiscrète ») lui permettant ainsi d'écouter et d'enregistrer les conversations entre les interlocuteurs mais aussi de récupérer un ensemble d'informations confidentielles. cette technique est aussi utilisée pour d'autres protocoles (SSL, DNS, SSH...)

- Le « switch jamming » (figure 4 : ARP spoofing attaques) est une attaque qui consiste à saturer le plus rapidement possible les tables de commutation d'un commutateur avec des milliers de paquets contenant de fausses adresses MAC (flooding MAC) dans le but de le transformer en « mode répéteur » (HUB) afin que toutes les trames soient en diffusion (broadcast) continue sur tous les ports. Nb : cette attaque ne fonctionne pas avec tous les commutateurs et elle est généralement peu discrète...

- La déviation par un paquet ICMP consiste à utiliser un générateur de paquet du type « frameip.exe » (disponible sur internet) et à forger ses propres paquets ICMP de déviation (type 5) à destination du client afin de lui indiquer que la route utilisée n'est pas optimale et lui communiquer par la même occasion la nouvelle route qui permettra de rediriger les flux vers un hôte pirate qui ferait office de passerelle. L'objectif de cette attaque est multiple : écoute, enregistrement (comme pour MITM), DoS... Il est important de noter que cette attaque ne permet pas de rediriger le trafic d'une connexion entre deux machines du même réseau local (même plan adresse IP) puisque le trafic échangé ne passe pas par une passerelle.

- « VLAN Hopping » consiste à découvrir le N° de VLAN attribué à la ToIP (en récupérant la VLAN Database, utilisation d'un snifer...) dans un environnement LAN et de marquer des trames Ethernet directement dans ce VLAN en forgeant ses propres trames. Cette technique permet de s'affranchir d'une partie de la sécurité associée aux VLANs...(label spoofing)

- Dans certains cas, un simple « brute force » sur le serveur TFTP « officiel » permet de télécharger la configuration complète d'un équipement et d'apprendre un certain nombre d'éléments...

- En SIP, les équipements bénéficient d'une réelle intelligence embarquée contrairement aux MGCP par exemple... il est donc possible de demander à un téléphone « d'afficher » lors d'un appel à son destinataire un numéro de téléphone différent du sien. En interne, cela n'a que peu d'effet. Pourtant, une personne pourrait prétendre appeler depuis le centre de sécurité ou le bureau du directeur... et demander l'exécution d'actions particulières par exemple. De l'extérieur, être discret, se faire passer pour quelqu'un autre, ou encore afficher systématiquement pour tous les appels sortants, un numéro tiers pirate (modification sur passerelle ou IPbx). Lorsque les destinataires tenteront de recontacter leurs collègues et/ou partenaires en faisant « BIS » ou rappeler dans l'historique des appels, ils tomberont systématiquement sur le numéro (payant) qui était affiché (ex : 1,4€ par appel).

Ports généralement utilisés en ToIP

TFTP - UDP 69
MGCP - UDP 2427
LDAP - TCP 389
Backhaul (MGCP) - UDP 2428
Tapi/Jtapi - TCP 2748
http - TCP 8080/80
SSL - TCP 443
SCCP - TCP 3224
Skinny - TCP 2000-2002
SNMP - UDP 161
SNMP - Trap UDP 162
DNS - UDP 53
SIP - TCP 5060
SIP/TLS - TCP 5061
H.323 RAS - TCP 1719
H.323 H.225 - TCP 1720
H.323 H.245 - TCP 11000-11999
H.323 Gatekeeper Discovery - UDP 1718
RTP - 16384-32767
NTP - UDP 123

Ensuite, au niveau des applications

- Après avoir amélioré la sécurité sur vos réseaux et vos protocoles, il reste néanmoins d'autres points noirs comme les interfaces graphiques des IPbx, l'usage du mode HTTPS n'est pas forcé, voire non activé !

- De plus, au niveau des stations de travail, l'authentification aux pages d'administrations de l'IPbx et/ou des interfaces utilisateurs peut être couplée à des cookies ou du NTLM qui ne sont pas forcement un gage de sécurité... et encore moins quand l'utilisateur demande à son navigateur de garder les mots de passe en mémoire...

- D'autre part, il existe un nombre de failles et/ou de vulnérabilités non négligeable directement sur les interfaces des IPbx, exécution forcée de script comme le « cross site scripting » ou autres, la falsification des requêtes inter-sites, injections de données...

- Plus simplement, par défaut, les équipements ToIP bénéficient de services standard activés (ex : telnet ouvert, port SNMP et read/write avec community name par défaut, interface Web de configuration de l'équipement permettant la modification de la configuration en http, récupération d'informations directes, statistiques, reboot à distance, port de troubleshooting, authentification basique, Services echo et time ouverts...) Toutes ces inattentions sur les équipements facilitent souvent les actions d'une personne mal intentionnée...

Quelques techniques utilisées par les pirates

Généralement, un simple « Snifer » sur votre LAN permettra à un pirate de récupérer une multitude d'informations telles que les protocoles utilisés sur votre réseau, (CDP, STP, DNS, DHCP, LDAP, MAPI...) et d'obtenir des renseignements sur votre plan adressage IP, vos VLANs, codecs utilisés, utilisateurs, login, mot de passe, découverte de vos infrastructures, de la topologie, la marque des équipements, les IOS, vos serveurs, leurs OS et versions, version des applications...

- Le "fuzzing" est une méthode permettant de tester les logiciels et de mettre en évidence des dysfonctionnements potentiels, afin de constater la réaction du système lorsqu'il reçoit de fausses informations. Cette méthode utilise un certain nombre d'outils de sécurité utilisés notamment lors d'audits, mais certaines personnes mal intentionnées s'en servent dans le but de trouver et exploiter des failles (compte administrateur, augmentation des délais, DOS, écoute...).

- Spam VoIP ou SPIT (Spam Over Internet Telephony) - le SPIT est, comme son nom l'indique, un SPAM dont l'objectif est la diffusion d'un message publicitaire en initiant et/ou relayant un maximum d'appels à l'aide de « Bots » à destination de millions d'utilisateurs VoIP depuis le système compromis. Cette technique a de multiples conséquences, comme la saturation du système, des MEVO, des communications simultanées... Une utilisation détournée du SPIT consiste aussi à initier un maximum d'appels à destination de N° surtaxés dans le but d'enrichir des organisations malveillantes...

- Vishing (Voice Phishing) - Cette technique est comparable au « phishing » traditionnel, dans le but d'inciter des utilisateurs à divulguer des données confidentielles, voire sensibles (par exemple : noms d'utilisateur, mots de passe et ou numéros de compte, N° de sécurité sociale, code bancaire, adresses, coordonnées...). Dans notre cas, c'est un SPIT qui diffuse un message demandant aux utilisateurs d'appeler un numéro spécifique pour vérifier les informations en questions et il ne reste plus qu'à attendre que le téléphone sonne ?. Après avoir récupéré ces données, le pirate les utilise ou les vend à des tiers !

- Vol d'adresses électroniques - L'usage du « Voicemail » se multipliant, chaque utilisateur ou presque bénéficie d'une adresse de messagerie électronique associée, cette attaque consiste à bombarder le serveur de « voicemail » du domaine ToIP avec des milliers d'adresses mail de test (ex : nom.prenom@client.fr / nomprenom@client.fr / nom@client.com...). Chaque adresse non valide est retournée, pour le reste, l'attaquant peut ainsi en déduire un certain nombre d'adresses mail valides qu'il pourra alors utiliser à sa guise pour d'autres attaques (SPIT, Vishing, SPAM mail...).

- Détournement de trafic ou « Phreaking », est une méthode historique dès les débuts de la téléphonie, elle consiste à ne pas payer les communications et à rester anonyme. En ToIP, ce détournement s' effectue après récupération d'un couple login/pass valide ou après accès physique d'un utilisateur non autorisé à un téléphone. Les pionniers du « Phreaking » (Cf photo historique - figure 5). Imaginons maintenant que le pirate ait réussi (par différents moyens) à obtenir un login aux droits suffisants pour modifier la configuration de votre Ipbx. Il peut alors paramétrer un « Trunck » à destination d'un autre IPbx et organiser la revente de minutes par dizaines de milliers dans un autre pays... en utilisant le même concept.

Exemple de quelques outils

SIPtap, Wireshark, VOMIT (Voice Over Misconfigured Internet Telephones), VoIPong, NESUS, nmap, troyens divers, UCSniff (ARP Saver, VLAN Hopping), Digitask pour skype, SIVUS, Teardown, Cain, Backtrack, Dsniff, YLTI, scapy, SIPcrack...

Quelques exemples de bonnes pratiques et de solutions

Rassurez-vous, il existe un ensemble de techniques pour contrer ces attaques. Cependant, il est conseillé de faire appel à des experts qui vous accompagneront dans cette démarche et seront pédagogues. Le risque ZERO n'existe pas, généralement, en matière de sécurité, il est assez simple de mettre en place un niveau de sécurité de l'ordre de « 70% à 80% » de protection contre les attaques, qui représente le premier palier de sécurité bien suffisant pour une entreprise lambda. Toujours simple, mais cette fois-ci, cela nécessite un investissement afin d'atteindre les « 85% à 90%» de sécurité pour une entreprise. Ensuite, dépasser les 90% à 95% devient plus compliqué et nécessite une expertise et des investissements lourds. Pourtant, ce niveau de sécurité est primordial pour une banque, une assurance, ou encore, les grandes industries dont le chiffre d'affaires dépend en majorité de la stabilité de leurs systèmes d'informations, de téléphonies (centre d'appel...)

Il existe enfin un niveau ultime de sécurité, aux niveaux gouvernemental, aérospatial, renseignements, services spéciaux, armées...qui doit atteindre au minimum les 99%. Non seulement ce niveau requiert des infrastructures conséquentes mais également une réelle expertise 24/7.

Pour en revenir à notre focus sur la sécurité de la téléphonie sur IP, il est important de mener la réflexion sécurité en amont en phase de design de l'architecture de ToIP. L'amélioration des niveaux de sécurité passe, entre autres, par le respect de bonnes pratiques et l'application de solutions efficaces dont en voici quelques exemples :

- Mettre en place une réelle politique de Mot de passe déjà difficilement gérée pour les comptes des stations de travail et encore moins pour les comptes de téléphonie sur IP (complexité, durée de validité, longueur mini...)

- Mettre en place des VLAN et/ou VRF dédiée ainsi qu'une solution de supervision/monitoring de vos infrastructures LAN/WAN et Voix afin de cloisonner vos réseaux et de bénéficier d'indicateurs spécifiques à Intégrer aux tableaux de bord sécurité des systèmes d'informations (TBSSI)

- Des solutions existent en matière de détection d'attaque (IDS/IPS) et/ou de modification suspicieuse sur le protocole ARP avec « Arpwatch » ou « snort », ou mécanisme basique dans le monde du switching comme le « port security » qui limite le nombre d'adresses MAC utilisables par port, ou encore du « 802.1x »...

- Implémenter des pare-feux Statefull « nouvelle génération » avec une reconnaissance protocolaire plus avancée (ADN applicatif...)

- Sécurisation des protocoles SIP et RTP par l'utilisation de PKI (Public Key Infrastructure) et la mise en place du « SIPS », « SRTP », « SRTCP » utilisant le « DTLS » RFC 4347...

- Limiter les accès aux personnes non autorisées (contrôle d'accès), ne pas autoriser les prestataires à se connecter au LAN, ni WIFI (hors guets), toujours être présent en salle serveurs lors d'intervention et tracer les accès aux zones critiques.

- Suppression des anciens comptes et/ou inutiles, suppression des logiciels ou modules inutiles sur l'IPbx et les stations de travail.

- Maîtrise et limitation des « softphones »...

- Mettre en pratique la surveillance et l'exploitation des logs d'infrastructures...

- D'autre part, l'architecture physique ou logique du réseau LAN est très importante. Certains ont pour philosophie de maintenir deux réseaux physiquement séparés, d'autres sont partisans d'une plus grande flexibilité de mise en place de VLAN...

- Côté WAN, ne jamais exposer son IPBX par une IP Public même « natée », ni en DMZ publique et/ou directement à l'extérieur même un module spécifique à cet usage est proposé, privilégier le mode VPN SSL ou IPSEC par le biais du firewall.

- Si nécessaire, envisager l'ajout de boîtier de chiffrement matériel.

- Etc...