Pour gérer vos consentements :
Categories: Sécurité

Jean-Christophe Touvet, Bull Services : « La ToIP cumule tous les risques »

Parallèlement à son activité Evidian d’éditeur de solutions de gestion des accès et des identités, le groupe Bull développe et renforce ses services de conseil et d’audit en sécurité web, réseau et téléphonie sur IP. C’est une activité en plein essor. « Nous étiez étions trois auditeurs techniques, il y a deux ans, indique Jean-Christophe Touvet, consultant senior. Aujourd’hui, nous sommes une dizaine. »

L’unité intervient dans les grands comptes principalement, mais rarement dès la mise en oeuvre d’un réseau de téléphonie sur IP. « Les grandes entreprises n’aiment pas faire auditer tout de suite une installation qui leur a coûté cher, de peur de faire apparaître des failles inattendues », observe le consultant, auparavant cofondateur d’EdelWeb, société spécialisée dans la sécurisation des réseaux et applications TC/IP. Pour autant, elles ne sont pas exemptes de doutes. Elles finissent donc quand même par faire appel à un expert externe. Et bien sûr, les tests d’intrusion révèlent toujours des failles, malgré les précautions prises.

La ToIP, en effet, cumule les risques de la téléphonie traditionnelle, de l’IP et du système d’information. Elle est sujette aux attaques internes, par le Lan, comme aux attaques externes, par l’internet. Les attaques internes permettent l’écoute, la fraude sur les appels internationaux, la redirection ni vu ni connu des trames sur un PC par le biais d’un téléphone ou d’un routeur… Et cela d’autant plus aisément que les protocoles de la téléphonie sur IP (RTP, SIP, H.323, MGCP, Skinny et UADP ou propriétaires) ne sont jamais sécurisés en standard. Les attaques externes, elles, sont d’un autre ordre. Elles exploitent les vulnérabilités non corrigées des serveurs web et de ToIP ainsi que de leurs systèmes d’exploitation pour propager des vers et des virus, bloquer les serveurs…

Les défenses sont classiques : cloisonner les flux voix et données par VLAN, mettre les serveurs ToIP en DMZ, déployer une gestion de la qualité et des classes de services, prévoir des liens TDM de secours, durcir les configurations et la politique de mise à jour des composants, de même que l’administration, la supervision, la mesure de la qualité de service…

Mais Jean-Christophe Touvet met également en garde contre l’inefficacité de l’encapsulation 802.1Q ; les failles dans les équipements SNMP ; les commutateurs d’entrée de gamme, qui n’ont pas les fonctions DAI, DHCP Snooping et Port Security ; les risques d’interception via la gestion des liens de secours ou encore via les IPphones alimentés par une prise Ethernet. Sauf dans les cas des réseaux fermés des centres de contacts, il déconseille l’emploi des softphones, « car ils facilitent les attaques par rebond, puisqu’ils obligent à décloisonner les réseaux voix et données ». Un chiffrement de la signalisation, sans chiffrement de la voix, par contre, peut apporter une protection suffisante : « il ne coûte pas cher et ne ralentit pas les échanges ».

« Toutes les failles, résume Jean-Christophe Touvet, peuvent être corrigées par une bonne architecture, qui garantira également la disponibilité. Mais c’est à chaque d’entreprise de se déterminer en pleine connaissance des risques qu’elle encourt. »

A lire : notre dossier VoIP: 17 pages pour tout comprendre

Recent Posts

IA générative : l’Autorité de la concurrence pointe de sérieux risques

Dans un avis consultatif, l'Autorité de la concurrence a identifié les risques concurrentiels liés à…

3 jours ago

OpenAI signe un accord de contenu avec Time

OpenAI signe un « partenariat de contenu stratégique » avec Time pour accéder au contenu…

3 jours ago

Atos : David Layani (Onepoint) veut sortir du capital

Au lendemain du rejet de sa proposition de restructuration, David Layani annonce sa démission du…

3 jours ago

Évaluer les LLM, un défi : le cas Hugging Face

Après un an, Hugging Face a revu les fondements de son leaderboard LLM. Quels en…

4 jours ago

Mozilla face au dilemme de la GenAI dans Firefox

Mozilla commence à expérimenter divers LLM dans Firefox, en parallèle d'autres initiatives axées sur l'intégration…

4 jours ago

VMware tente d’orienter vers VCF les déploiements pré-Broadcom

VMware met VCF à jour pour y favoriser la migration des déploiements qui, sur le…

5 jours ago