L’appel téléphonique, frontière oubliée des stratégies de sécurité

La sécurité des communications unifiées (UC) IP et par téléphone est très souvent négligé par les entreprises alors qu'il est central pour leur sécurité.

Si vous lisez cet article, peut-être prévoyez-vous d’assister à une ou deux conférences sur la sécurité dans les mois qui viennent. Une chose est sûre : aucune ne comportera de session "Communications unifiées : la porte d’entrée sur le réseau !". Et pourtant, ce devrait être le cas. La sécurité des communications unifiées (UC) IP et par téléphone est généralement l’un des aspects les plus négligés et mal compris des approches stratégique de la sécurité.

Votre réseau de communication est probablement mal sécurisé
Fin des années 90-début 2000, de nombreuses entreprises, ont pris part à la révolution Voice over IP (VoIP) massive qui a conduit au basculement silencieux de la plupart des communications avec et sans fil vers des réseaux basés sur IP, via un protocole appelé SIP (Session Initiation Protocol). La plupart des utilisateurs n’ont pas pris la mesure du changement. Les prix sont devenus plus abordables et la qualité des communications téléphoniques est aujourd’hui quasi-impossible de distinguer un appel classique. Un problème se pose maintenant : la transition a été si subtile que beaucoup considèrent toujours leur téléphone comme un appareil connecté à un réseau privé, alors qu’il est en réalité connecté à l’Internet public. Pour ceux d’entre vous qui utilisent un téléphone fixe, sachez que c’est probablement un appareil IP. De même, les logiciels de téléphonie (softphone) sont des dispositifs IP, au même titre que votre smartphone, votre PC fixe ou votre portable. Les transmissions de voix et de messages entre ces dispositifs se font sur IP, via le protocole SIP le plus souvent. De nombreuses entreprises ont dû désactiver leurs pare-feu pour les communications SIP car le système ne fonctionne pas si le pare-feu bloque les ports SIP. Les clients mobiles et les réseaux de communication sont alors exposés aux attaques véhiculées par Internet, dont les attaques DDoS, tentatives de fraude, malwares, etc. Des audits indépendants des risques, des tests de pénétration et des audits de conformité montrent tous que c’est là l’une des vulnérabilités les plus communes en termes de sécurité des réseaux. 
Quels risques les communications basées sur IP peuvent-elles provoquer ?
Tout dispositif basé sur IP et connecté à la fois à Internet et à votre réseau interne constitue une brèche potentielle d’accès à votre réseau. Il peut s’agir d’un smartphone ayant accès à des applis internes, d’un PC portable sur lequel figurent des données financières sensibles ou d’un téléphone de bureau donnant accès au répertoire interne de l’entreprise. Pour la plupart d’entre nous, protéger nos smartphones et nos PC portables est devenu une habitude. Mais combien pensent à protéger le réseau de communications unifiées et les applications mobiles de communication relatives ?Voici quelques raisons concrètes de protéger votre réseau de communications unifiées:
Fraude aux appels interurbains
Chaque année, des entreprises perdent des sommes importantes en frais téléphoniques pour des appels longue distance passés illégalement. Comment les hackers s’y prennent-ils pour accéder au système téléphonique interne ? Via l’autocommutateur privé utilisé pour les communications unifiées (UC) ou en piratant directement le client mobile d’un salarié. Chaque année, toujours plus d’entreprises, y compris des petites structures, découvrent que quelqu’un a compromis leur système téléphonique pour passer des appels longue distance avec à la clé plusieurs parfois des dizaines de milliers d’euros facturés. Malheureusement, les victimes n’ont d’autre choix que de régler la note même si elles parviennent à prouver que ce ne sont pas les salariés qui ont passé ces appels.
Attaques par déni de service distribué (DDoS)
Les attaques DDoS ont fait la une des médias après que des sites d’entreprises prestigieuses, comme Twitter, Airbnb, le New York Times et de nombreux autres ont été rendu temporairement indisponibles. Mais les sites web ne sont pas la seule cible des attaques DDoS ; les centres d’appel sont vulnérables également. En ciblant un numéro de téléphone ou une URL SIP au lieu de l’URL d’un site web (rappelez-vous, dans le monde d’Internet, les deux ne sont que des adresses IP), les attaques DDoS peuvent paralyser le service client et empêcher les ventes par téléphone pendant des heures, générant ainsi un préjudice fort pour l’entreprise. 
Usurpation de l’ID de l’appelant
Pour le meilleur ou pour le pire, nous avons plus volontiers confiance en l’identité de l’appelant qu’en la légitimité d’une adresse e-mail. La pratique de "spoofing", qui consiste à usurper l’identité d’un appelant pour tromper le destinataire, est donc plus dangereuse. Un groupe de criminels est notamment parvenu à dérober des millions de dollars à des citoyens américains peu méfiants en se faisant passer pour le Trésor public (Internal Revenue Service). Ces appels qui informaient les victimes qu’elles étaient redevables de plusieurs taxes affichaient les identifiants fiscaux de la victime comme identifiant d’appelant. Et pour ne jamais rater une occasion, les criminels utilisent désormais l’usurpation d’identifiant d’appelant pour collecter des informations personnelles, une tactique que l’on appelle "vishing" (pour "voice phishing", hameçonnage par téléphone).

Misez sur un contrôleur SBC plutôt que votre pare-feu

Même si les protocoles VoIP et SIP sont utiles pour consolider les réseaux voix et données des entreprises en un seul réseau basé sur IP, les communications voix et données conservent toujours leurs caractéristiques spécifiques. Spécifiquement, les appels vocaux (et la vidéo live) ont une tolérance plus basse aux temps de latence et à la perte de paquets. Ces sessions de communication temps réel (RTC) doivent être traitées avec plus de sensibilité sur le réseau parce qu’elles ont des exigences différentes de celles des transmissions de données, en termes de transcodage de contenu multimédia, de manipulation des messages SIP et autres spécificités liées à la sécurité (ex. masquage de la topologie réseau, traversée NAT, listes noires).

L’utilisation d’un pare-feu standard pour protéger votre réseau IP et vos clients mobiles aura probablement l’effet inverse, car ces pare-feu ne sont pas adaptés pour les communications temps réel RTC. Les entreprises ont plutôt besoin d’un contrôleur SBC (session border controller) de session en périphérie pour protéger leurs communications RTC, avec en plus des garanties de transcodage et d’interopérabilité. On peut comparer un contrôleur SBC à un "agent de la circulation" en charge de faire appliquer les règles, de donner des indications (dans plusieurs langues) et de s’assurer que le trafic réseau temps réel est fluide et sécurisé.

Comme c’est le cas de bon nombre des technologies réseau aujourd’hui, le contrôleur SBC est un élément de plus en plus "virtualisé" du réseau selon une volonté de réduction des équipements matériels, de simplification du déploiement et d’automatisation du service sur le réseau. Nous constatons une forte augmentation de la demande de contrôleurs SBC virtualisés à déployer en clouds public ou privé et dont la capacité s’adapte avec un maximum de flexibilité aux variations du trafic. C’est particulièrement utile dans le cas des attaques DDoS, dont la volumétrie est par définition variable.

Les communications vocales ne sont pas près de disparaître dans les bureaux. Avec la popularité des communications UC, nous constatons que le rôle des clients mobiles UC s’étend à la vidéo live, aux messages texte et d’autres. Même si elles apprécient depuis longtemps le confort du téléphone au travail, les entreprises ne doivent jamais oublier que chaque client mobile est une porte d’entrée connectée à leur réseau. Les contrôleurs SBC peuvent permettre de bloquer cette porte et offrent de nombreux autres avantages, des capacités vocales haute définition à l’acheminement sans frais des appels. Toutes les entreprises devraient s’intéresser à la question car ce n’est qu’une question de temps avant que des hackers viennent frapper à la porte de leur réseau de communication.

Smartphone / VoIP