Sécurité VOIP : l'enjeu pressant

La sécurité du VOIP devient un enjeu pressant. Seul un prestataire "as a service" permettra de lever le frein sur l'obsolescence à la fois software et matériel pour éviter de gros ennuis.

Les entreprises sont confrontées à de plus en plus de cyber-attaques et investissent massivement dans la sécurité. 

Mais les piratages ne se limitent plus aux cibles « traditionnelles » et s’étendent maintenant aux réseaux VOIP. En effet, grand nombre d’entreprises migrent leur téléphonie vers l’IPBX. Cette révolution ouvre la porte à certains risques. Si l’évolution vers l’IP a permis de profiter d’avantages considérables, les faits récents exposent les failles de sécurité de ces réseaux. 

Beaucoup d’organisations ont découvert ceci à leur dépens. Les chercheurs en cybersécurité Check Point ont ainsi exposé les faiblesses graves des systèmes VOIP Sangoma et Asterisk. Des appels sortants ont pu être passés à partir des serveurs sans la moindre authentification. Ainsi, plus de 1200 entreprises ont vu leurs réseaux compromis, avec pour objet de tirer profit de la vente de comptes attaqués. 

Appels frauduleux 

Aux problèmes de serveurs s’ajoute celui du matériel. Le cabinet de conseil Chain Security a souligné dans son rapport de nombreuses failles de sécurité provenant des appareils Yealink. Ceux-ci semblent recueillir intentionnellement les données de clients. Ici, le téléphone IP lui-même est la source des vulnérabilités. 

Résultat : certains groupes malintentionnés ont pu passer des appels sortants à partir du système VOIP, vers des numéros surtaxés mis en place par leurs soins dans le but de dégager des bénéfices aux dépens de la société attaquée. Autre conséquence : cela leur permet également de « partager » l’accès aux systèmes aux plus offrants, qui cherchent à leur tour à poursuivre cette spirale criminelle. 

Ces nouvelles formes d’attaques rendent les entreprises encore plus vulnérables vu que l’accès au VOIP sert de passerelle vers le reste du réseau, permettant ainsi le vol d’identifiants ou bien le déploiement de logiciels malveillants. 

Des solutions existent 

Il faut absolument opter pour des solutions sécurisées de bout en bout. Les solutions sécurisées par conception sont à privilégier. En effet, elles permettent de continuellement protéger la voix et les données, car elles sont basées sur un système de cryptage natif. 

Le Secure-by-Design s’oppose aux VPN qui ne viennent que rajouter des couches supplémentaires et ouvrir des brèches potentielles. Le passage au Cloud professionnel est un autre point clé de la sécurité car il est la meilleure défense contre les attaques DDOS, et facilite la mise à jour du système. 

A qui faire confiance ? 

Si l’on passe par différents constructeurs pour un panel de solutions complet, chaque prestataire a son propre système de sécurité. L’approche est donc fragmentée, et sujette à des problèmes de mise à jour non-synchronisée. 

Des constructeurs couvrant l’intégralité du hardware et software sont dès lors plus résistants et réactifs. Ils possèdent un contrôle total sur l’interopérabilité des solutions offertes et les réponses à apporter de bout en bout. 

Ne pas garder un software mais aussi un firmware à jour, c’est inviter tout hacker à s’introduire chez soi. Il est primordial de s’appuyer sur des solutions « up-to-date ». Le modèle « as a service » est dès lors une solution efficace puisqu’il lève le frein sur l’obsolescence à la fois matériel et software. Tout matériel est ainsi remplacé dès qu’il ne supporte plus le dernier firmware, et ceci sans frais supplémentaire. 

Il est important de bien choisir son prestataire VOIP. Les agences d’évaluations tels que Gartner et son Magic Quadrant permettent d’apporter des gages de fiabilité sur les principaux constructeurs. 

La sécurité reste au final une préoccupation constante. Mais c’est en appliquant quelques bonnes pratiques que l’on peut éviter de gros ennuis.