«On aurait pu penser qu’une technologie aussi moderne et récente montrerait plus de maturité en termes de sécurité. Malheureusement, il n’en est rien. En tout cas, en ce qui concerne l’auditeur, la hantise de la feuille blanche n’existe… pas encore!»

Constat plutôt corrosif de Paulo Ribeiro, Security Consultant chez Dartalis Consulting. Mais nécessaire. La VoIP n’est pas sans dangers. Toutefois, on ne peut l’accuser de tous les maux… La VoIP est constituée tout à la fois de composants spécialisés et de briques plus classiques comme les systèmes d’exploitation et les systèmes base de données traditionnels. A ce titre, estime le spécialiste de Dartalis, elle est soumise aux menaces qui s’appliquent à ces systèmes.

«On remarque donc que la palette de risques le plus souvent rencontrés est précisément liée à l’infrastructure système et aux composants classiques supportant la voix sur IP. Pour nous, les failles présentées par ces composants n’ont rien de vraiment nouveau puisqu’elles représentent généralement de simples vulnérabilités systèmes non patchées, des configurations défectueuses ou des mots de passes faibles…»

Ceci peut être d’autant plus accablant que si les règles de filtrage entre le monde voix et données présentent elles aussi des oublis, l’infrastructure VoIP peut servir de tremplin afin d’attaquer les serveurs situés dans le monde des données -ces serveurs tant convoités. Et comme la technologie est encore jeune, elle est souvent perçue comme le maillon le plus faible de la chaîne de sécurité, représentant ainsi une cible privilégiée.

A ces dangers connus viennent s’ajouter les nouveaux risques intrinsèques à la technologie. Ils sont nombreux et, pour l’heure, habituellement non adressés, regrette Paulo Ribeiro. «Le risque le plus commun concerne le déni de service- le fameux DoS. Même si l’infrastructure est redondante, la possibilité de créer un déni de service au niveau applicatif -par exempole sur le gestionnaire des appels- ou sur les postes est conséquent et facilement exploitable. Il peut rendre tout ou partie de l’infrastructure inopérante.»

Ensuite, viennent les failles de confidentialité qui s’appuient sur des lacunes en termes de chiffrement des communications. Même si un standard comme SIP préconise l’utilisation de TLS (Transport Layer Security), on constate que les responsables sont souvent partagés entre sécurité, fardeau administratif et perte de performance… «A deux voix contre une, la sécurité perd! assure Paulo Ribeiro. L’authentification des postes clients fait également défaut, le déploiement de certificats étant souvent perçu comme introduisant une lourdeur administrative. Or, sans chiffrement et sans authentification, il est très facile d’usurper l’identité d’un téléphone, injecter un message dans une communication, faire sonner tous les postes téléphoniques en même temps ou, tout simplement, écouter en totalité les conversations de votre supérieur hiérarchique!»

D’un point de vue organisationnel, alors qu’une équipe avait la responsabilité pour la téléphonie il y a quelques années encore, on voit que cette responsabilité est tout simplement transférée à l’équipe réseau, observe-ton chez Dartalis. «Or, la technologie et ses besoins sont différents et mal compris de l’équipe réseau, regrette encore Paulo Ribeiro.. La conséquence, prévisible, est que les configurations des différentes composantes présentent souvent des défauts en termes d’optimisation et de sécurité. De plus, puisque les entreprises ne prennent toujours pas en compte la sécurité en amont d’un projet, l’équipe sécurité n’a souvent pas l’opportunité d’étudier les menaces qu’introduit la VoIP; on lui demande juste de mettre en place illico presto les règles de pare-feux!»

Les solutions existent pourtant. Les risques technologiques peuvent être considérablement réduits par la configuration du chiffrement ainsi que l’introduction d’une infrastructure de contrôle d’admission, soutient Dartalis.

«Mais les mesures uniquement techniques ne peuvent suffire, conclut Paulo Ribeiro. Complétez votre démarche par une approche organisationnelle de la sécurité. A ce titre, une formation des équipes réseau et sécurité aux technologies et besoins de la voix sur IP apporte une réelle plus-value.»