VoIP… ne négligez pas la sécurité!

Connaissez-vous UCSniff ? Cet «outil» permet de capturer des conversations VoIP en haute définition -ou pas- sur les réseaux IP classiques ainsi que sur les réseaux virtuels pour la voix grâce notamment aux techniques de VLAN Hopping déjà existantes. 
Disponible sur Sourceforge.net, UCSniff a été développé comme un démonstrateur permettant d'illustrer de manière très concrète l'exposition des infrastructures VoIP à des attaques malveillantes.

Quand le PABX «tombait», on s’en rendait compte immédiatement. Quand un utilisateur pénètre un réseau et usurpe l’identité d’un poste, écoute une conversation téléphonique ou décide de transférer une communication, l’entreprise ne s’en rend généralement pas compte. La nature est risques est donc fort différente: ici une indisponibilité; là, une attaque sournoise pas forcément visible. D’où la nécessité de sécuriser son système téléphonique.

Menaces sur la confidentialité, menaces sur l’intégrité des informations échangées, mais aussi risques d’usurpation d’identité, déni de service, surfacturation… La VoIP n’est pas sans danger. Dans sa dernière série de tests, le laboratoire de sécurité VoIPschield a découvert 45 failles de sécurité -dont 5 critiques- dans les systèmes de voix sur IP de Cisco, d'Avaya et de Nortel…

Pourtant, la sécurité de la VoIP est encore sous-estimée par les responsables de la sécurité: selon Devoteam, elle arrive en queue de peleton (13%) avec la sécurité des messageries instantanées (10%) des priorités -preuve que ces technologies ne sont pas encore tout à fait entrées dans les mœurs des entreprises interrogées. En même temps, les menaces que le VoIP suscitent sont un frein à son essor, constate le cabinet Scholé Marketing à l’issue d’une étude menée en France: 25% des entreprises prétextent le manque de sécurité de la VoIP pour ne pas la mettre en œuvre…

Des inquiétudes, mais peu de mesures concrètes, regrette l’éditeur NetIQ qui a, lui aussi, interrogé le marché. Si la majorité des entreprises interrogées disposent d’un firewall afin de sécuriser leur infrastructure, moins de la moitié d’entre elles ont installé des systèmes de gestion de sécurité spécialement conçus pour protéger et sécuriser leur système VoIP.

Son constat est sans appel: les organisations sont par trop centrées sur les questions de qualité et de performances de liaison, rarement sur la vigilance au regard de la sécurité -en prenant des mesures simples comme le cryptage des services voix et la mise en place régulière d’audits de sécurité…

Les flux VoIP ont la particularité d'être en temps réel. Si, pour les flux traditionnels, le manque de ressources réseau résulte en une détérioration du ressenti qui peut être temporairement supportable, la situation est radicalement différente dans le cas de la VoIP: on obtient une indisponibilité pure et simple du service, rappelle fort justement Ipanema Technologies. Une visibilité parfaite de la performance du WAN s’impose.

Gartner confirme. Selon ses estimations, 85% des réseaux existants ne sont pas prêts à recevoir la VoIP. Le cabinet recommande de prendre en compte cinq points majeurs:
- latence et pertes de paquets doivent être d'un niveau faible sur le Wan pour supporter les technologies de codage de la VoIP
- des solutions de priorisation doivent être déployées pour protéger les flux VoIP
- les comportements d'appels VoIP doivent être identifiés précisément
- l'utilisation du Wan existant doit être maîtrisée et les pics de trafic ne doivent pas excéder 75% de la capacité des liens
- les comportements du trafic existants doivent être exactement identifiés
- les points de congestion du Wan doivent être connus à l'avance

Stefan Avgoustakis, Channel Systems Engineer Security, Cisco

Longtemps, la téléphonie est restée un sujet à part dans l’entreprise, loin des préoccupations des responsables systèmes et réseaux… et rarement considérée à sa juste valeur par les responsables de la sécurité. L’essor de la VoIP n’impose-t-il pas un changement d’attitude?

«La perception de la sécurité varie selon la taille des organisations. Plus elles sont grandes, plus la notion de risque est rapidement prise en compte et maîtrisée. En revanche, les plus petites organisations affichent encore une certaine résistance vis-à-vis de la VoIP, surestimant la complexité de la protection.»

Les menaces sont néanmoins bien réelles…

«C’est évident! Qui plus est, les risques associés à la téléphonie peuvent avoir des conséquences sur tout le système d’information de l’entreprise du fait même que les réseaux voix et données se confondent avec l’utilisation du protocole IP… Mais ne sous-estimez pas davantage les risques liés à TDM: les centraux commutés de téléphonie peuvent être piratés très simplement!»

Faut-il comprendre par là que la notion de risques est apparue avec IP?

«Disons plutôt qu’on ne s’est jamais vraiment soucié de la sécurité du PABX! Isolé du réseau data, il rassurait. C’est le principe de la boîte noire: le PABX est dans les murs de l’organisation, on pense donc totalement le maîtriser… Changement de contexte avec la VoIP. Devenue une application, la voix profite du niveau d’expertise du service ICT. Et comme on connaît sa criticité, on ne fait pas mine d’éluder la question!»

Reste cette réaction qui consiste à préférer l’isolement du PABX…

«C’est un choix. Mais, à mon sens, il ne peut être motivé par la question de la sécurité. Aujourd’hui, pour la VoIP, Cisco garantit un niveau de sécurité au moins égal à celui d’un PABX!

«Comme toutes les applications critiques aujourd’hui sur le réseau, la voix peut profiter de l’énorme potentiel de services de sécurité qui entoure désormais IP; des services qui peuvent être activés librement par le client en fonction de ses exigences ou de ses contraintes. Ce qui veut dire que la sécurité n’est en rien figée: les organisations doivent être en mesure de la faire évoluer en fonction de critères tels que leur visibilité, en fonction aussi de leur besoin de flexibilité.

«Les technologies de sécurité existent, les responsables réseaux les connaissent bien. En revanche, il est important, capital même, de veiller à leur configuration. Ne perdez pas de vue que 98% des problèmes rencontrés sont liés… à la configuration!»