|
La téléphonie est souvent restée un sujet à part dans l’entreprise, loin des priorités des responsables d'exploitation et rarement prise en compte dans la politique de sécurité. Désormais, les risques associés au téléphone peuvent avoir des conséquences sur le Système d’Information de l’entreprise. Par ailleurs, la liste des failles historiques de la téléphonie s’allonge au fur et à mesure qu’elle intègre les standards IP.
De nombreuses entreprises ayant implémenté la VoIP connaissent des problèmes de sécurité auxquels elles ne sont pas préparées. La sécurité doit être au cœur des considérations des entreprises quand elles planifient une migration vers la VoIP.
Les 5 grandes menaces qui pèsent sur votre réseau :
La convergence voix-données hérite des vulnérabilités de la téléphonie traditionnelle ainsi que des vulnérabilitées du monde IP.
Revue de détail des risques et des méthodes de protection:
Il s'agit de prendre le contrôle du PABX ou de l'IPBX et de le reconfigurer afin de pouvoir passer des appels aux frais de l'entreprise. Il est également possible d'utiliser les défauts de configuration pour en tirer parti et induire un impact financier conséquent pour l'entreprise (jusqu'à plusieurs centaines de milliers d'euros en quelques jours). En savoir plus.
2. Le déni de service téléphonique
C'est l'une des attaques les plus redoutées. Elle a pour but de rendre inopérant le système téléphonique. Cette attaque consiste à saturer les lignes téléphoniques. Il est également possible de s'attaquer directement aux téléphones IP. Cette méthode est totalement nouvelle puisque dans une architecture traditionnelle les téléphones ne pouvaient pas servir de cibles. Cette attaque est assez facile à réaliser et peut interrompre l'activité de l'entreprise.
3. L'écoute téléphonique
Comme la fraude, l'écoute est très simple à réaliser, que ce soit dans le but de surveiller les échanges d'un poste vers l'extérieur, ou des conversations entre des postes internes ou bien encore d'explorer les messageries vocales… Cette manipulation est rendue possible par la mauvaise configuration, intentionnelle ou non, des fonctionnalités offertes par le PABX/IPBX et permet l'espionnage, le vol d'information, etc...
4. Les intrusions sur le système informatique
Le PABX/IPBX est maintenant un serveur connecté à la fois avec des médias externes (ISDN, Trunks SIP, MPLS) et les réseaux informatiques internes (postes téléphoniques, postes informatiques (softphones), messageries unifiées, applications CTI...). Il est nécessaire de contrôler et limiter les différents accès et leur étendue, et de pouvoir segmenter les différents réseaux à l'aide de firewalls, réseaux virtuels, etc...
5. Les arnaques, les usurpations d'identités, les détournements d'appels
Les différentes fonctions offertes par les PABX/IPBX permettent de se présenter sur le réseau téléphonique avec une fausse identité, inventée ou usurpée. Il est également possible de détourner les appels à destination d'un tiers et de se faire passer pour lui. Ces pratiques permettent la mise en oeuvre d'arnaques pouvant porter atteinte à l'image de l'entreprise (vol et divulgation publique d'informations confidentielles ou personnelles... ).
|
Fraude téléphonique
