LES RISQUES LIES AU DEPLOIEMENT DE LA VoIP

La course à la réduction des coûts d'une entreprise implique bien souvent la migration du service de téléphonie vers la Voix sur IP. Ce choix séduit par le retour sur investissements des communications. Cependant de nombreux paramètres sont bien souvent oubliés ou ignorés.

Avant de franchir le pas, il est nécessaire d'étudier les nouvelles contraintes engendrées.

Mis à part la surcharge du réseau de l'entreprise et la migration de nombreux équipements, la confidentialité des communications et l'efficacité des plans de secours sont remis en cause. La convergence numérique va introduire de nouveaux services et par conséquent, de nouvelles vulnérabilités et de nouveaux vecteurs d'attaques.

Les problématiques de l'implémentation VoIP

De nouvelles vulnérabilités

La Voix sur IP est une des technologies phares du moment. Téléphoner depuis un accès Internet vers n'importe quel point du globe à des coûts dérisoires envahit les rêves de tous les gestionnaires d'entreprises. Ce type d'architecture est donc implémenté afin d'aider l'entreprise à maîtriser ses coûts de production et non pour l'évolution technique. Une fois de plus, l'investissement en matière de sécurité découle d'un compromis entre les besoins réels et les risques acceptables. La migration vers un réseau "Full IP" va donc altérer la sécurité que les administrateurs ont mis tant d'ardeur à mettre en place. Entre l'ajout de téléphones IP, de "softphone" et d'applications liées à cette nouvelle infrastructure, la charge du réseau devient beaucoup plus importante et sa disponibilité est remise en question. La convergence numérique permet d'offrir de nouveaux services comme la messagerie unifiée. Le paradigme de l'informatique revient au devant de la scène : plus un système offre de services et plus celui-ci est vulnérable.

Les conséquences

Aujourd'hui le réseau téléphonique historique est fiable, disponible et performant. Même en cas de coupure de courant, le téléphone est opérationnel car l'alimentation électrique est acheminée par l'opérateur. L'atteinte à la confidentialité et à l'intégrité des communications demande des moyens ou des connaissances de haut niveau.

La migration vers un service de VoIP implique de nouveaux risques. Il faut noter que toutes les protections fournies par la téléphonie classique ne sont pas intégrées dans les fondements de cette nouvelle technologie. Ainsi, les attaques sont beaucoup plus faciles à exploiter et ne demandent pas toujours d'équipement spécifique. Les contraintes de confidentialité de certaines communications ne sont plus assurées par défaut et la disponibilité du réseau de l'entreprise devient également un élément critique afin d'assurer un service minimum en cas de crise.

Avant de commencer la migration il est indispensable de revoir tous les plans de secours et de reprise d'activité. En effet, il faut assurer le cheminement des communications mais surtout la disponibilité des équipements téléphoniques en cas de congestion du réseau ou de panne électrique ; sans oublier de prioriser les appels d'urgence par rapport aux autres paquets IP.

Les contre-mesures

Le risque électrique peut être diminué par l'implémentation de la norme 802.3af [1] qui permet d'alimenter des équipements via le câble Ethernet. Cette mesure nécessite cependant un surcoût pour une entreprise qui ne possédent pas d'équipements réseaux compatibles. Il est ainsi indispensable d'assurer l'alimentation des éléments du coeur de réseau (ajout d'onduleurs, de groupes électrogènes…). La confidentialité des échanges et l'authentification des destinataires est assurée par l'utilisation de la cryptographie.

Le besoin de disponibilité peut être garanti par des protocoles de gestion de la Qualité de Service au sein des différentes couches OSI. Le but de cette opération est de priser le trafic de la Voix dont le temps de latence est critique face au trafic des données.

Les attaques liées à la VoIP

Les attaques physiques

L'implémentation de la norme 802.3af ne présente pas uniquement des avantages. En effet, l'élément fournissant l'alimentation électrique devient un équipement critique de l'architecture et un maillon faible de la sécurité.

Ainsi, une personne malveillante disposant d'un accès à l'équipement ou à son interface d'administration, pourrait provoquer d'importants dommages. Les conséquences vont d'un simple déni de service via une coupure de son alimentation à la dégradation matérielle de tous les équipements connectés par la modification de l'intensité et du voltage du courant émis sans compter les différentes normes entre les pays (US, EU, UK,…).

Les attaques des couches réseaux

La disponibilité du réseau, la confidentialité des échanges et l'intégrité de l'architecture VoIP sont vulnérables à de multiples attaques. Le réseau "VOIX" d'une entreprise est exposé aux mêmes problèmes que le réseau dit "DATA" sauf qu'il faut inclure, en sus, des contraintes temporelles. La téléphonie qui ne nécessite que peu de bande passante, requiert toutefois un débit constant. Cette contrainte rentre en contradiction avec la politique du protocole IP : "Best Effort" [2]. Une architecture VoIP est donc sensible aux attaques de type déni de service ou de congestion du réseau. Un pirate pourrait obtenir des résultats similaires en forgeant des paquets malicieux à l'encontre des protocoles utilisés. Ce type de malversations est très facile à implémenter et à automatiser.

L'écoute passive du réseau est critique du point de vue de la confidentialité des communications. Cette technique permet à un pirate d'intercepter l'intégralité des conversations mais aussi des informations sensibles comme des numéros de cartes de crédits ou des codes secrets composés sur le pavé numérique du téléphone.

Par ailleurs, il existe aussi des attaques portant atteinte à l'intégrité de l'architecture VoIP. Celles-ci consistent à usurper l'identité d'un utilisateur ou à agir au sein du processus de facturation afin d'effectuer des appels gratuits. Un attaquant peut également insérer des paquets arbitraires, au sein de communications, dans le but d'altérer le contenu des messages. Une fois de plus, les composants vulnérables sont les couches basses du modèle OSI.

Les attaques applicatives

La mise en place de services connexes à la VoIP induit de nouveaux vecteurs d'attaques. Ces nouvelles applications n'en sont qu'à leurs prémices et sont donc sujettes à la publication de failles futures. Plutôt que d'imaginer une attaque complexe, basée sur les protocoles réseaux, un pirate pourrait obtenir aisément les mêmes résultats en s'attaquant directement aux applications telles que les "softphones" ou les messageries unifiées. Celles-ci étant hébergées sur des machines, la sécurité des systèmes d'exploitation devient un point d'entrée supplémentaire. Les interfaces de configuration distante des équipements du réseau doivent être prises en compte dans la gestion des risques. Basées sur des applications web, ces interfaces d'administration font régulièrement l'objet de correctifs lors de la découverte de vulnérabilités. La gestion des correctifs de toutes les applications et de tous les équipements de l'architecture VoIP implique donc de nouveaux coûts indirects et ajoutent un maillon faible dans la chaîne de la sécurité.

Il ne faut pas oublier les autres composants de l'architecture. En effet, de nombreux serveurs sont nécessaires au bon fonctionnement des équipements (DHCP, TFTP, DNS, Passerelles, …). L'utilisation de ces serveurs n'est pas sécurisée et un pirate pourrait aisément usurper l'identité d'une de ces machines. Par exemple, en usurpant le serveur TFTP, utilisé par les téléphones IP, afin de télécharger leur logiciel interne, un pirate pourrait modifier la configuration des téléphones IP ou altérer leur fonctionnement.

Réflexion

Il est vrai qu'une migration vers une architecture de VoIP semble alléchante. Cependant, il est indispensable d'analyser rigoureusement tous les risques encourus en fonction des contraintes métiers et des coûts d'administration ou de maintenance.

Bibliographie

[1] 802.3af http://grouper.ieee.org/groups/802/3/af/
[2] Présentation du protocole IP http://www.ietf.org/rfc/rfc791.txt