CLUSIF 2010 Communication Voix Enjeux de Securite

7/26/2019 CLUSIF 2010 Communication Voix Enjeux de Securite

1/42

1

LES DOSSIERS TECHNIQUES

Moyens de Communication Voix :

Prsentation et Enjeux de Scurit

Mars 2010

Espace Menaces

CLUB DE LA SECURITE DE LINFORMATION FRANAIS

30, rue Pierre Smard, 75009 PARISTl. : +33 1 53 25 08 80 Fax : +33 1 53 25 08 88 e-mail : [email protected]

Web :http://www.clusif.asso.fr


2/42

2

La loi du 11 mars 1957 n'autorisant, aux termes des alinas 2 et 3 de l'article 41, d'une part, que les copies ou reproductions

strictement rserves l'usage priv du copiste et non destines une utilisation collective et, d'autre part, que les analyses

et les courtes citations dans un but d'exemple et d'illustration, toute reprsentation ou reproduction intgrale, ou partielle,

faite sans le consentement de l'auteur ou de ayants droit ou ayants cause est illicite (alina 1er de l'article 40)

Cette reprsentation ou reproduction, par quelque procd que ce soit, constituerait donc une contrefaon sanctionne par les

articles 425 et suivants du Code Pnal


3/42

Moyens de Communication Voix : 3/42 CLUSIF 2010


Table des Matires1 REMERCIEMENTS............................................................................................... 4

2 GENERALITES................................................................................................... 5

2.1 INTRODUCTION ...............................................................................................5 2.2 LA GESTION DES RISQUES .....................................................................................5

2.3 LES CRITERES DE SECURITE....................................................................................6

2.3.1 Disponibilit ...........................................................................................6

2.3.2 Intgrit ................................................................................................7

2.3.3 Confidentialit ........................................................................................8

2.3.4 Imputabilit............................................................................................8

2.3.5 Conformit aux lois et rglements ................................................................9

2.4 LESPACE DES MENACES PROPRE A LA TELEPHONIE ............................................................9

3 PRESENTATION DES 3 SYSTEMES VOIX...................................................................12

3.1 LAUTOCOMMUTATEUR TDM ............................................................................... 12

3.1.1 Une base installe encore importante.......................................................... 12

3.1.2 Architecture ......................................................................................... 12

3.1.3 Quels enjeux de scurit pour lAutocommutateur ? ........................................ 13

3.2 LA VOIX SUR IP(VOIP)ET LA TELEPHONIE SUR IP(TOIP).................................................. 14

3.2.1 Quest ce que la VoIP ?............................................................................. 14

3.2.2 Diffrence entreVoIP et ToIP ..................................................................... 15

3.2.3 Un march qui prend de limportance .......................................................... 153.2.4 Do vient la VoIP ? ................................................................................. 15

3.2.5 Comment cela fonctionne-t-il? ................................................................... 16

3.2.6 Quels sont les critres de qualit pour la voix ? .............................................. 18

3.2.7 Principe darchitecture ............................................................................ 18

3.2.8 Quels enjeux scurit pour la VoIP/ToIP ? ..................................................... 20

3.3 LA TELEPHONIE CELLULAIRE ................................................................................ 23

3.3.1 Larchitecture ....................................................................................... 23

3.3.2 Le portable et sa carte SIM ....................................................................... 23

3.3.3 Laccs au service radio ........................................................................... 25

3.3.4 Lutilisation du service ............................................................................ 25

3.3.5 Quel contexte de la scurit pour la tlphonie mobile ? .................................. 26

4 LES POINTS COMMUNS ET GENERIQUES A SURVEILLER...............................................31

4.1.1 Les services auxiliaires la fonction tlphonie ............................................. 31

4.1.2 Larchitecture rseau .............................................................................. 36

4.1.3 Les fonctions support .............................................................................. 38

5 CONCLUSION...................................................................................................40


4/42



1REMERCIEMENTS

Le CLUSIF tient mettre ici l'honneur les personnes qui ont rendu possible la r-

alisation de ce document, tout particulirement :

Benoit LE MINTIER ERCOM

Jean-Franois POMMIER ERCOM

Michel BERTIN Indpendant

Jean-Charles SIMONMichelin

Jean-Marc GREMY Cabestan Consultants


5/42



2GENERALITES

2.1IntroductionLes enjeux de la scurit des moyens de communication voix ne sont gnralementpas spcifiquement identifis au sein des entreprises et des administrations. Parconsquent, trs peu de politiques de scurit des systmes dinformation (SI)prennent leur compte ces moyens de communication et leurs volutions.

Les normes et standards existants qui tendent jouer et tenir une place impor-tante dans le paysage de la scurit des systmes dinformation (i.e. la srie ISO27000), nintgrent pas, directement, la tlphonie ou les moyens de communica-tion voix aussi bien dans lapprciation des risques que dans les propositions demesure, techniques et organisationnelles.

Ce document est donc destin apporter de linformation et une sensibilisationauprs des responsables de diverses entits : Tlcommunication, Informatique,Services Gnraux Services Financiers, Risks Management et Contrles et Inspec-tion. Il permettra aussi dinterpeller chaque dirigeant sur la place importantequ'occupe la phonie dans le systme d'information et de communication delentreprise.

Vue travers le prisme de la scurit, l'acquisition d'une vision globale des risqueset la connaissance des contre-mesures est une premire tape vers le choix demoyens et de procdures de scurit. Ce document, par la prsentation des tech-nologies et des risques inhrents, guidera le lecteur pour quil puisse avoir une vi-

sion globale des enjeux de scurit de la voix.

2.2La gestion des risquesAvant de proposer un remde, lidentification des maux est ltape la plus commu-nment admise. Il convient alors de parler dapprciation des risques. Cette notionsapplique aussi aux environnements des Systmes dInformation, donc aux syst-mes de communication voix.

Pour fixer les esprits et dans une logique de smantique commune, la notion degestion des risques pour passer du concept au rel se dfinira comme suit :

Plus gnralement applique aux entreprises, la gestion des risques s'attache identifier les risques qui psent sur les actifs (financiers ou non), les valeurs ainsique sur le personnel de l'entreprise.

La gestion des risques dans l'entreprise passe par lidentification du risque rsi-duel, son valuation, le choix d'une stratgie de matrise et un contrle.

- le CIGREF

Le risquede scurit des systmes d'information (SSI) est une combinaison d'unemenace et des pertes qu'elle peut engendrer.

La menace SSI peut tre considre comme un scnario envisageable, avec unecertaine opportunit (reprsentant l'incertitude).


6/42



Ce scnario met en jeu :

- une mthode d'attaque (action ou vnement, accidentel ou dlibr),

- les lments menaants (naturels ou humains, qui agissent de manire ac-cidentelle ou dlibre) susceptibles demployer le scnario,

- les vulnrabilits des entits (matriels, logiciels, rseaux, organisations,personnels, locaux), qui vont pouvoir tre exploites par les lments me-naants dans le cadre de la mthode d'attaque.

- le SGDN/ANSSI

Ces deux approches ou dfinitions fixent les esprits et chacun trouvera dans cesdfinitions lapplicabilit lunivers de la Voix ; quelle soit traditionnelle (diteaussi TDM1) ou VoIP/ToIP (dfinie au paragraphe 3.2) ou cellulaire.

Les administrations et les entreprises doivent donc commencer par identifier com-

ment la Voix contribue la ralisation des objectifs mtiers ; puis, qualifier lesimpacts de tous les dysfonctionnements techniques et organisationnels lis unvnement accidentel ou volontaire.

L'expression finale tant toujours un dommage dont il faut estimer le cot etlimpact sur les objectifs de lorganisation suite latteinte dun ou plusieurs be-soins de scurit en termes de :

disponibilit, intgrit, confidentialit, imputabilit, conformit aux lois et rglements.

2.3Les critres de scurit

2.3.1 Disponibilit

La tlphonie exige des caractristiques fortes du point de vue de la disponibilitet de la qualit de la voix. Cest lun des facteurs qui contribue la scurit desbiens et des personnes. Lorsquun utilisateur dcroche le tlphone, il est impra-

tif : davoir la tonalit, que lappel aboutisse et le minimum de tempsdinterruption en cas de panne dun lment rseau.

1Time Division Multiplexing ou multiplexage temporel. Cest une technique de transmission (voix,donnes ou images) permettant un metteur de transmettre plusieurs communications simulta-

nment sur un mme support de communication en allouant un temps de transmission identique chaque canal.


7/42



Les architectures mises en uvre et les quipements associs doivent rpondre auxbesoins, notamment :

Des fonctionnalits de redondance et de recouvrement automatique pourune disponibilit 24h/24 et 7j/7 ;

une gestion des appels et de la bande passante pour optimiser les flux engnral et imprativement les flux prioritaires (ex. appels durgence) ; une administration et une supervision de linfrastructure globale ; le contrle et une maintenance de lensemble.

Nous pouvons galement rflchir aux enjeux de la disponibilit de la tlphoniecellulaire : interruption due la mto, situation de crise avec saturation (notionde rseau partag, etc.), indisponibilit de la voix pour les VIP et pour les opra-tionnels, enjeux de la batterie pour les portables, enjeux des accords de roaming,etc.

Quels sont les impacts financiers, de notorit ou dimage dune indisponibilit desmoyens de communication tlphonique pour lentreprise ?

Destruction du systme d'exploitation grant le PABX (autocommutateur)ou le serveur de communication ;

gnration de charge sur le rseau (fonctionnement dgrad) ; panne lectrique ; indisponibilit des ressources.

Quel est limpact sur limage de lentreprise en cas de perte dexploitation du sys-tme tlcom et tlphonique le jour du lancement dune campagne de tlmar-

keting ? Blocage de lignes et qualit de l'accueil ; recomposition des messages d'assistance vocale.

2.3.2 Intgrit

Le paramtrage des fonctionnalits de la tlphonie est accessible par des admi-nistrateurs. Dans le cas de la tlphonie cellulaire les paramtres sont potentiel-lement accessibles au travers des outils dadministration intgrs.

Quels seraient les impacts dun changement de programmation du systme tl-

phonique ou du tlphone mobile ?

altration des tables de numros du PABX ; altration des paquets de signalisation dans le cas de la VoIP/ToIP ; altration des guides vocaux ; modification de la programmation du systme tlphonique ; augmentation des cots tlphoniques ; tablissement de communication vers internet par modem au travers du

PABX ;

usurpation dun numro de tlphonie mobile ; envoi de faux SMS ;


8/42



Accs au code PUK et authentification de lutilisateur, etc.

2.3.3 Confidentialit

Une des usages important et frquent du tlphone dans les organisations est lacommunication dinformation stratgique entre dirigeants ou dcideurs.

Quel serait limpact dun accs malveillant des informations traites par le sys-tme tlphonique ?

Ecoute des flux de signalisation ; prise de connaissance des annuaires ; accs aux boites de messagerie vocale (MEVO) ; fuite dinformation, comme le fichier de taxation ; interception et coute des conversations.

Dans le cas de la tlphonie cellulaire, nous pouvons rflchir limpact :

du suivi de la prsence du tlphone sur un territoire donn ; dune attaque sur la passerelle GSM accessible depuis lextrieur pour

connatre la liste des appels passs ;

dune coute des flux ; du nom des personnes utilisatrices sur les factures.

2.3.4 Imputabilit

Pour assurer les fonctions de facturation interne comme le suivi des communica-tions et des cots globaux, les systmes tlphoniques embarquent des fonctionsde comptabilisation des communications : qui appelle qui, combien de temps du-rent les communications, pour lessentiel.

Quel serait limpact dune connexion malveillante en tlmaintenance sur le PABXnon trace, ou le rebond depuis le PABX vers un numro surtax ?

Accs illicite par le systme de tlmaintenance ; non traabilit des communications par le systme de facturation ; surfacturation abusive pour lentreprise ; imputation de taxations (kiosques professionnels, appels vers l'tranger,

etc.) ; modification abusive de la configuration (DISA, renvoi)

De la mme faon, les utilisateurs de tlphone portable reoivent rgulirementdes messages SMS ou des impulsions dappels depuis des services surtaxs (0899)qui demandent tre rappel.


9/42



2.3.5 Conformit aux lois et rglements

Systme dinformation par excellence, la fonction tlphonie rpond depuis long-temps un ensemble dexigences lgales : lois (exemple : la CNIL) et rglementsdes tlcommunications et, de la correspondance pour lessentiel.

Quelles sont les consquences dun manque de respect de ces lments ?

Indisponibilit des systmes tlphoniques lors dappel sortant ou entrant ; interception des appels pour surveillance des utilisateurs, consommateurs ou

citoyens ; respect de la vie prive ; scurit des biens et des personnes.

2.4Lespace des menaces propre la tlphonie

Le schma ci-dessous prsente en synthse un systme dinformation porteur defonctions de tlphonie : TDM et ToIP. A sa lecture la prise en compte de la tl-phonie dans une politique gnrale de scurit devient une vidence tantlimbrication des deux environnements est devenue importante.

Serveur

Firewall

Posteutilisateur

IPBX

Poste

Utilisateur

T2

Accs tlmaintenance

Administration PBX/ LDAP

/ consoles POPC/ MEVO Numrique

coutes surEthernet

coutes surEthernet

Dni deserviceDni deservice

INTERNET

RTC P

ViolationdaccsViolationdaccs

PABXPABXPABXPABXEntre en tiersdiscrte / illiciteEntre en tiersdiscrte / illicite

Dtournement deslignes fax, modemDtournement des

lignes fax, modem

Administrationvia IP :

pntration LAN

Administrationvia IP :

pntration LAN

AccsPhysiques

AccsPhysiques

Programmation dficiente :de la sur

effacement de traces, fonctionnalitscaches

interception numrotation,Programmation dficiente :

de la sureffacement de traces, fonctionnalits

caches

Programmation dficiente :de la sur

effacement de traces, fonctionnalitscaches

interception numrotation,interception numrotation,

fax

modemmodem

Passerelle GSM

Oprateur mobile

StabilitInformatique

lectrique

IP Spoofing Identificationdes appelscoute

Piratage des fax

La description des menaces reprsentes ci-dessus est la suivante :

Dtournement de trafic tlphonique

Dtournement de lignes tlphoniques pour des communications onreuses ou illi-

cites, linsu du client possesseur de lautocommutateur.


10/42



Les modems illicites

Piratage ou spoliation de donnes, accs illicite Internet, par utilisation de mo-dems installs par les utilisateurs parfois linsu du service informatique, au tra-vers de lignes analogiques connectes au PABX.

Lcoute discrteEcoute des personnes ou de conversations importantes par la mise en place de bre-telles physique dcoute, dune configuration dentre en tiers ou lutilisationdanalyseur rseau.

Linterception didentits et de donnes sensibles

Possibilit de rcuprer les squences tapes sur un clavier tlphonique commepar exemple lors de la consultation de comptes bancaires, les identifiants, les co-des daccs, les numros de compte ainsi que les numros de cartes bancaires

Qui appelle qui ?

A partir du fichier de taxation, il devient possible dtablir la cartographie tl-phonique de lentreprise partir de la connaissance des numros mis et reus.En effet, lanalyse des donnes de taxation ou des factures dtailles permet desavoir quelles sont les relations entre lentreprise et lextrieur : depuis/vers sesdirigeants, ses clients, ses prospects, ses fournisseurs, ses potentiels partenaireslors de ngociations (fusion/acquisition), etc.

Dni de service

Arrt distance ou lavance dun autocommutateur, effacement de lensemblede sa configuration, ce qui peut gnrer des pertes dexploitation et de produc-tion.

Services surtaxs, en cots partags

Dclenchement dappels Minitel pour auto-rmunrer un serveur surtax, vers desnumros en cots partags type 0899, 0892.

Substitution

Utilisation dune autre ligne (imputation) pour passer des appels en messagerierose ou autres appels coteux ou illicites.

Non-justification

Possibilit deffacer la trace dappels.

Occupation de messagerie vocale

Appropriation dune messagerie vocale inutilise (terrorisme, banditisme, etc.).


11/42



Fraude financire

Accs au PABX depuis lextrieur via la fonction DISA2, revente de cartes prpayespour des communications vers des pays exotiques, imputation des cots des com-munications lentreprise pirate.

Nota : La tlphonie cellulaire a galement son lot dattaque avec par exemple le sniffage du carnet dadresse, du calendrier et des contacts via linterface Blue-tooth dans les lieux publics.

2DISA, Direct Inward System Access. Permet un utilisateur dutiliser le PABX depuis le rseau pu-

blic commut (par exemple passer un appel depuis lextrieur avec comme numro appelant son nu-mro interne)


12/42



3PRESENTATION DES 3SYSTEMES VOIX

Ce chapitre prsente les 3 grands systmes Voix disponibles aujourdhui. Essentiel-

lement orient autour des environnements techniquement matriss parlentreprise comme le traditionnel autocommutateur TDM ou la VoIP/ToIP, ce cha-pitre porte galement un regard sur la tlphonie cellulaire. En effet, lentreprisese lest largement approprie ces 10 dernires annes.

Lvolution actuelle du march vers le tout IP dans le monde de la tlphonie offreune place de choix dans ce chapitre la VoIP/ToIP. Ce chapitre abordera aussi leslments de la convergence entre les technologies de communication voix et lesrseaux de donnes, comme par exemple le Wi-Fi.

3.1 LAutocommutateur TDM

Commutateur tlphonique qui, l'intrieur d'une entreprise, gre de manire au-tomatique les communications entre plusieurs postes et permet dtablir cellesavec l'extrieur.

Un autocommutateur, aussi appel PABX (Private Automatic Branch eXchange), estsimplement un ordinateur coupl une matrice de commutation.

3.1.1 Une base installe encore importante

Bien que la technologie de tlphonie sur IP gagne des parts de march, les derni-res tudes ralises en France laisse une part importante aux installations de tl-

phonie TDM (>75 %).Le march franais sarticule autour dun acteur historique ALCATEL et de son dau-phin AASTRA qui consolide les plateformes dacteurs intgrs (EADS/MATRA, ERCI-SON, NORTEL, etc.). A eux deux, ils reprsentent 80 % du march. SIEMENS arriveen 3me position avec moins de 10 % du march.

3.1.2Architecture

Il comporte synthtiquement :

Une unit centrale (carte UC) qui effectue les traitements.

Une mmoire de masse (disque dur ou mmoire flash) qui contient le pro-gramme de gestion des appels tlphoniques (en particulier le routage en-tre le rseau interne de lentreprise et le rseau public externe deloprateur), ainsi que les paramtres de configuration (numros de postes,numros de SDA, etc.).

Des entres/sorties grer comprenant, dune part des lignes rseaux (i.e. vers le rseau tlphonique public externe), dautre part des lignesde postes (i.e. vers le rseau tlphonique priv interne lentreprise).

Une possibilit daction sur ces entres/sorties par l'intermdiaire de lamatrice de commutation, qui met en connexion les lignes de postes et les

lignes rseau.


13/42



Un programme et/ou un systme dexploitation. Suivant le modle dePABX, ce programme peut tre un tout, ou tre dcompos en un systmedexploitation dune part, et un programme qui s'excute sous ce systmedexploitation dautre part. Ce dernier est gnralement issu dun systmeexistant : CP/M, Unix, etc.

Une console permettant la gestion et/ou la programmation. La plupart desinstallateurs qui assurent la maintenance de leurs clients remplacent cetteconsole de gestion par un modem rponse automatique.

Eventuellement, une console danalyses de la taxation (facturation) et destatistiques info trafic enregistrant les flux de communication entre lePABX et les postes : le PABX met un ticket de taxation au fil de leau pour chaque communication qui sachve.

Facilits

Donnesusager

UCUnit deConsole

MmoireVive

ModuledAdmin

Sign alisation voie par voie ou par canal smaphore

Rseau de Com mutation

INTERFACE

RESEAu

T0

T2

MIC

RTC Analogique

BUS

INTERFACE

USAGER

S2

S0

Lignesd abonns

Console

dadministration

Schma darchitecture interne

3.1.3 Quels enjeux de scurit pour lAutocommutateur ?

Il est important de noter que certaines fonctions de liaison entre postes, ncessai-res dans certains cas au fonctionnement oprationnel des services utilisateurs,peuvent prsenter un risque potentiel de malveillance.

3.1.3.1Le transfert d'appel ou le renvoi

Le transfert d'appel : le poste qui reoit un appel transfre lappel vers unautre destinataire (mtropole, GSM ou internationale). Une fonctionnalitcomplmentaire, disponible par dfaut, permet de faire un aboutement en-tre deux communications externes lentreprise.

Par malveillance, le PABX peut servir dintermdiaire invisible et

lentreprise payer des communications illicites vers lextrieur.


14/42



3.1.3.2La confrence

La confrence : il s'agit d'une mise en communication simultane de troisintervenants (ou plus). Si le poste local raccroche, le PABX essaye de main-tenir la communication entre les autres interlocuteurs, mme si ces der-

niers sont externes lentreprise. Proche du cas prcdent o il peut arriver que les deux communicationsextrieures soient maintenues l'insu de l'entreprise. Cette malveillance,permet dappeler le GSM dun ami, dappeler son GSM, dabouter les deuxcommunications et de quitter lentreprise. Les deux communications GSMsont la charge de lentreprise.

3.1.3.3La substitution

La substitution : la fonction a pour objet d'obtenir partir d'un autre posteles fonctionnalits de son propre poste ou celle d'un autre poste partir deson propre poste.

La malversation classique est lusurpation d'identit ralise par une per-sonne depuis son poste, mais attribue la personne dont le poste a tsubstitu.

3.1.3.4Lcoute de conversation

Lcoute de conversation : limplmentation de la fonction permet lentre en tiers sans bip d'annonce sur le poste que lon souhaite cou-ter quand celui-ci est en communication.

La malversation vidente est lutilisation malveillante de certaines fonc-tionnalits des fins despionnage.

3.2La Voix sur IP (VoIP) et la tlphonie sur IP (ToIP)

3.2.1 Quest ce que la VoIP ?

Les deux appellations VoIP et ToIP sont communment utilises lune pour lautre.Rappelons quelques dfinitions de base :

La VoIP (Voice over Internet Protocol ou Voix sur IP) dsigne l'ensemble desnormes et protocoles propritaires qui permettent de transmettre la voixdans des paquets IP.

La ToIP (Telephony over Internet Protocol ou Tlphonie sur IP) dsignel'ensemble des services et applications qui reposent sur le transfert de lavoix tels que :

confrence,double appel, filtrages,messagerie,centre d'appels,etc.

Grce la technologie de Voix sur IP, la voix et les donnes convergent sur un

mme support de transport. Il est ainsi possible de tlphoner au travers d'Inter-net.


15/42



3.2.2 Diffrence entre VoIP et ToIP

Au-del des dfinitions, importantes pour les puristes du sujet, le domaine du SIretiendra les grands principes de diffrence suivants :

La VoIP intervient principalement dans les environnements rseaux longuesdistances (WAN, Wide Area Network). Dans une logique dinterconnexion decentraux tlphoniques privs (PBX) entre eux, ou de connexion du PBX avecdes oprateurs de tlphonie sur IP.

La ToIP dsigne les installations privatives de desserte locale de la fonctiontlphonie dans un btiment, un campus. Ce sont principalement les tl-phones IP eux-mmes, les services connexes ainsi que les serveurs faisantfonction de PABX, appels aussi I-PBX.

3.2.3 Un march qui prend de limportance

En France, avec les nouveaux projets de construction immobilire, de renouvelle-

ment de parc et loffre native des quipementiers tlcoms historiques, laVoIP/ToIP atteint en 2008 prs de 15% de part de march en trs nette progression.Dans le mme temps, la base installe dautocommutateur TDM rduit dautant.

Les principaux fabricants l'chelle mondiale sont, par ordre de parts de march :

Avaya, Siemens AG, Nortel, Cisco Systems,

Alcatel-Lucent, NEC, Aastra.

Comme dautres secteurs de lIP le logiciel libre y a trouv sa place. Ainsi certainslogiciels permettent de transformer un simple ordinateur PC en PABX, avec toutesses fonctions. Citons entre autres :

Asterisk, CallWeaver (anciennement OpenPBX), 3CX.

3.2.4 Do vient la VoIP ?

A partir de 1995, Internet a t utilis afin de diminuer les cots des communica-tions tlphoniques longues distances nationales et internationales. Les communi-cations ainsi tablies cotent seulement le prix de deux communications locales(une communication locale chaque extrmit).


16/42



INTERNET

Toutefois, les enjeux de la voix sur IP sont aussi techniques et dpassent la simpleide de la communication tlphonique moindre cot. Du fait de la convergencevoix, donnes et images, il devient plus facile de grer un support de transmissionunique pour l'ensemble des services (tout sur IP).

De plus, la voix sur IP permet au travail collaboratif de prendre son essor. Laconvergence dveloppe de nouvelles sources de productivit et defficacit pourles utilisateurs.

3.2.5 Comment cela fonctionne-t-il ?

Pour mmoire, dialoguer travers le rseau tlphonique commut public signifie :

numriser la voix, la transmettre dans un circuit de bout en bout (allou pour la dure de la

communication),

la convertir en signal analogique en sortie.

Commutateurlocal de

rattachement

Centrede

commutation

Commutateurlocal de

rattachement

RTCP : Rseau Tlphonique Commut Public - Commutation de circuit

Les oprations pour mettre la voix sur un rseau IP sont plus complexes. La voixse retrouve :

chantillonne, numrise, compresse, segmente pour tre encapsule dans des paquets IP.


17/42



Ces derniers sont dirigs par des routeurs, travers le rseau IP. Ils arrivent audestinataire dans un ordre pouvant tre diffrent de celui de l'mission.

Nous pouvons comparer le principe de fonctionnement celui du courrier. Le mes-sage adress est dcoup en 10 lettres (les donnes) expdies au fur et mesure

au moyen de 10 enveloppes (les paquets) avec ladresse de destination.

AdresseAdresseAdresseAdresse

AdresseAdresseAdresseAdresse

Lettre 5Lettre 5

Lettre4

Lettre4

Lettre 1Lettre 1

Lettre 3Lettre 3

Lettr

e2

Lettr

e2

Mode non-connect - les rseaux de paquets : La Poste ?

Les lettres sont transmises les unes aprs les autres. Chacune trouve son chemin travers le rseau, elle comporte :

Ladresse du destinataire,un numro dordre.

Toutes ces oprations cumules ne permettent pas pour autant un transfert de lavoix avec une bonne qualit de service. Bien que le protocole IP soit le standard de

l'Internet, il n'a pas les caractristiques intrinsques pour assurer une conversationvocale comprhensible. Par exemple, les paquets ne sont pas assurs de tous arri-ver bon port. C'est le principe du best effort. Diffrents protocoles stan-dards ont t dvelopps pour assurer de bonnes conditions de transmission deflux audio et vido..Dans les grands principes gnraux de la tlphonie sur IP,nous avons dun ct la signalisation (SIP, H323, etc.) et de lautre ct le codagede la voix.

Voix codSignalisation : SIP, H323

ip

Internet

Les flux de signalisation sont pilots en gnral par un serveur de tlphonie quifait fonction dautocommutateur. Ce serveur de tlphonie supporte lensembledes fonctionnalits. Les flux de signalisation se reposent en gnral sur TCP.

Les flux voix sont achemins directement en Point Point (Peer to Peer) via UDPvia RTP (Real-time Transport Protocol).


18/42



ip ipVoix cod

Signalisation : SIP, H323

Serveur de tlphonie

3.2.6 Quels sont les critres de qualit pour la voix ?

Loreille humaine couvre un spectre de frquence de 20 Hz 20 000 Hz. Cepen-dant, un message sonore reste intelligible entre 300 Hz et 3 400 Hz qui est le cr-neau retenu par la tlphonie classique.

Les critres de qualit de la voix ne cessent dtre en croissance. Nous sommespasss progressivement de la radio grandes ondes, la FM stro, la hi-fi, la hi-fi haute dfinition jusquau CD qui offre une audition de qualit presque parfaite.

Limage ne souffre pas des mmes exigences. Les Franais habitus regarder desmissions 25 images par seconde ne voient pas la diffrence lorsquils regardentune mission amricaine 30 images par seconde. Mis part les professionnels,personne ne fait de distinction entre une photo numrique et une photo argenti-que.

Dune faon gnrale, ltre humain dun point de vue sensoriel est plus exigeantau niveau de loue.

Le deuxime aspect de la communication voix quil faut relever est linteractivit.Dans une conversation, nous pouvons intervenir, prendre la parole et mme couperla parole de notre interlocuteur. Dun point de vue technique cela se traduit par dufull duplex. Cela implique galement des notions de dlais. Une communicationavec des dlais de transit infrieur 150 ms est considre de trs bonne qualit(le seuil ne pas dpasser est 250 ms).

3.2.7 Principe darchitecture

Grce aux solutions de convergence proposes par les constructeurs, la voix s'int-

gre sur le rseau de donnes. Le personnel de lentreprise dispose de postes tl-phoniques IP. Hors de lentreprise, les communications sont achemines classique-ment par le Rseau Tlphonique Commut Public. Dans cette situation,lentreprise communique en interne en ToIP.

Lautocommutateur ou le PABX traditionnel TDM est remplac par un serveur detlphonie (appel galement gatekeeper ou serveur de communication) et unepasserelle (gateway) qui sert dinterface entre le monde extrieur et le LAN delentreprise.

Le serveur de tlphonie pilote les postes IP via SIP, H323 ou dautres protocolespropritaires.


19/42



Serveur detlphonie

GatekeeperServeurs Informatiques

PasserellesGateway

Rseau local de lentreprise

ip

EmailFichiers

ipip

ip

RTCP

Internet

IPBX ?

Il est noter que les communications voix sont achemines directement en point point. Aucune communication ne transite au travers du serveur de tlphonie (saufsi celui-ci cumule les fonctions de serveur de tlphonie et de passerelle).

Dun point de vue pratique les postes sont directement interconnects un switchrseau.

Switch Switch

Par ailleurs, pour des raisons dconomie de cblage, les postes IP sont en gnraldes mini-hubs . Ils permettent ainsi dinterconnecter facilement en srie sur unseul port du switch le tlphone IP et le PC.

Serveurs Informatiques

EmailFichiersTlphonie

Gateway

Routeur

RTCP

Internet

Switch

Switch

Switch

Switch

Les postes IP peuvent tre aliments lectriquement de deux manires :


20/42



Via une prise secteur raccorde lalimentation lectrique (220 V) ; soit au travers du switch rseau autoalimentant appel switch PoE (Power

over Ethernet) selon la norme 802.3af de lIEEE.

Nota: dans certaine architecture, le serveur de tlphonie peut

cumuler dautres fonctions comme par exemple :Serveur DHCP pour lattribution des adresses IP des postes;Serveur TFTP pour tlcharger la configuration des postes du-

rant les phases dinitialisation.

3.2.8 Quels enjeux scurit pour la VoIP/ToIP ?

La transmission de la voix sur IP et larchitecture dun rseau de VoIP sont radica-lement diffrentes des rseaux tlcoms traditionnels. Cette diffrence amne, entermes de scurit, une rvision des schmas de scurit.

La VoIP ne doit donc pas tre mise en uvre sans une analyse srieuse questionsde scurit pour la voix notamment en intgrant au plus tt les nouveaux servicesassocis (Couplage Tlphonie-Informatique, messagerie unifie, systme de mes-sagerie instantane, vido confrence au poste.) ainsi que le nomadisme.

La voix demande une disponibilit de service importantenotamment pour garan-tir la scurit des biens et des personnes. Laccs aux numros durgence est imp-ratif. Les performances ordinaires des rseaux informatiques natteignent pas leniveau de disponibilit des rseaux tlcoms.

Dun point de vue technique les exploitants vont passer dun PABX une applica-tion voix rpartie sur plusieurs quipements : serveurs (gatekeeper,gateway, web,tftp, dhcp, etc.), base de donnes, commutateurs rseaux,firewall,proxy Le bonfonctionnement de la tlphonie repose donc dsormais sur une chane o chaquemaillon a son importance.

Les paquets voix ne sont pas des paquets qui peuvent tre traits par le rseau dela mme faon que les paquets de donnes. La VoIP est plus exigeante vis--vis durseau du point de vue de la qualit, de la disponibilit et de la scurit.

La qualit de service (QoS, Quality Of Service) est un lment majeur. Elle doittre prise en compte ds lorigine du projet afin dobtenir la satisfaction des utili-sateurs. Cependant, la mise en uvre de mesures de scurit peut aller

lencontre de la QoS. Des dlais peuvent tre introduits suite au chiffrementdartres, aux fonctions de filtrage des firewalls, etc. La faible tolrance de laVoIP quant aux interruptions et pertes de paquets rend inapplicable la mise enplace de certaines mesures de scurit traditionnelles.

De faon commune, la VoIP fait rfrence principalement aux protocoles SIP, H323,MGCP, etc. Toutefois, la standardisation trop tardive a incit les constructeurs implmenter leurs propres versions de protocole standardis (SIP) et mme desprotocoles propritaires (Skinny pour Cisco, No pour Alcatel, etc.).

Il n'y a gure de compatibilit relle entre les solutions de diffrents constructeurs,

mme si tous ou presque implmentent une interface SIP. Ce manque de compati-


21/42



bilit rejaillit sur les solutions de scurit ; en particulier les systmes de chiffre-ment ne seront compatibles qu'avec le matriel de leur constructeur.

3.2.8.1Avoir une approche globale de bout en bout

Une solution ToIP/VoIP doit avoir des niveaux de disponibilit, dintgrit et de

confidentialit, conformes aux exigences de scurit, y compris ses aspects juridi-ques.

Afin que ces exigences de scurit soient appliques, il faut prendre en comptelensemble des aspects humains, organisationnels et techniques.

Lapplication des enjeux de la tlphonie au SI (Systme dInformation) et rcipro-quement est donc un prrequis.

Quelques points dattention

On retrouve sur un rseau VoIP/ToIP les mmes menaces que sur un sys-

tme/rseau de tlphonique classique. Les consquences d'une atteinte la dis-ponibilit, l'intgrit, la confidentialit ou la traabilit sont identiques, quelque soit le support de la voix.

Cependant, les risques sont plus importants dans le cadre de la VoIP que dans lesarchitectures de voix traditionnelles. En effet, les vulnrabilits sont plus tenduesmme si elles sont en principe connues du systme dinformation existant :

L'utilisation du protocole IP et d'OS courants (MS Windows, Linux, *BSD,etc.) ouvre la porte toutes les attaques connues sur la pile TCP/IP elle-mme ;

les vulnrabilits sont plus nombreuses compte tenu de la complexificationgnrale du rseau : les routeurs, call servers,proxies, media gateways,fi-rewalls, sont autant de points d'attaque potentiels ;

les terminaux IP sont vulnrables tout autant qu'un ordinateur classique re-li un rseau, contrairement un poste TDM qui est pratiquement insen-sible une quelconque attaque par le rseau;

la parcellisation importante de linfrastructure est aussi un avantage pourun pirate qui pourra ainsi dissimuler plus facilement une intrusion.

Pour tre exhaustifs et aller plus loin dans lidentification des menaces, lest pointsdattention retenus doivent tre dcoups de la faon suivante :

Architecture de la solution VoIP/ToIP, La gestion du secours lectrique, La surveillance des faits de malveillance, La mesure et lapprciation continue de la Qualit de service, Des programmes constants de formation sensibilisation de lorganisation, Le respect des obligations lgales, notamment celles de la CNIL.

3.2.8.2Les vulnrabilits intrinsques

1. Larchitecture voix passe dun PABX TDM une architecture clate compre-nant : 1 serveur d'appels, 1 passerelle, des routeurs, des switches, des serveurs


22/42



DHCP, TFTP, DNS, etc. La disponibilit de la fonction voix repose dsormais surune multitude dquipements.

2. La tlphonie couvre les besoins de lentreprise du sous-sol au grenier et parti-cipe la scurit, avant tout essentielle, celle des biens et des personnes. Unposte tlphonique traditionnel peut tre raccord au PABX sur une distance deplusieurs kilomtres. En ToIP, il faut tendre les rseaux locaux avec leurscontraintes et leurs limitations, ou tudier la mobilit avec dautres avantageset contraintes.

3. Avec la VoIP/ToIP les rseaux WAN et LAN deviennent des lments critiquesen termes de performances et de disponibilit. Les concepts dexploitation etdorganisation doivent voluer en consquence.

4. Lusage des softphones3ne permet pas un cloisonnement des rseaux voix etdonnes. Cela introduit une faille de scurit.

5. La ToIP sur un rseau Wi-Fi doit tre mise en place en gardant lesprit que le

manque de matrise de lenvironnement physique du rseau doit tre compenspar dautres mcanismes de scurit complmentaires, quelques fois spcifi-ques pour rpondre aux exigences tant de Disponibilit que de Confidentialitdes changes et du service.

3.2.8.3Malveillance

6. La ToIP dveloppe le risque de compromission des donnes et des quipementsbeaucoup plus facilement.

7. L'accs physique est plus critique puisque l'accs au rseau peut suffire cou-ter n'importe quelle communication.

8. La simplicit du codage de la Voix, du sniffingIP et du mirroringpar exemplerend la duplication de communication triviale.

9. L'identification physique du terminal en tlphonie traditionnelle est perdue etest remplace par une identification logique qui est facile usurper (MAC spoo-fing, IP spoofing).

10.Les failles de la tlphonie traditionnelle restent applicables dans le monde IP.

3.2.8.4Qualit de service

11.Il est impratif dans le cadre de la ToIP de dfinir prcisment et contractuel-lement les niveaux de service attendu (dfinir le SLA).

12.Il y a un compromis trouver entre qualit de service et scurit. Les moyenstechniques mis en uvre devront prendre en compte la QoS. Lanalyse des ris-ques ralise en amont pourra dterminer les besoins globaux ou locaux decontrle des flux (au risque de ralentir les changes) ainsi que le chiffrementde bout en bout.

33Implmentation de la fonction tlphone sur un poste de travail. Logiciel propritaire ou logiciellibre qui mule les fonctions tlphonique : appels, messagerie, services dannuaire, renvoi


23/42



3.3La tlphonie cellulaireLe dernier systme prsent est celui de la tlphonie mobile. Moins intgre auSI, bien quavec la mobilit dentreprise le mobile intelligent, comme les smart-phones,fasse maintenant partie intgrante de celui-ci. Elle doit comporter certains

points dattention en termes de scurit et dusage.On notera les principales diffrences de conception et dusage de la tlphoniemobile, en comparaison de la tlphonie TDM ou VoIP/ToIP

La voix et les donnes sont gres partir du mme quipement ; les communications sont ralises exclusivement sur des rseaux publics sur

lesquels lentreprise napporte pas de support ; dans un contexte de nomadisme, lutilisateur peut se retrouv accueilli par

des rseaux tiers (cas du roaming4 ltranger).

3.3.1 Larchitecture

La tlphonie cellulaire comprend deux parties principales :

Le poste de tlphone portable ou rcepteur-metteur ou combin dontl'utilisateur se sert pour communiquer, nous l'appellerons simplement portable par la suite.

le rseau qui achemine entre deux utilisateurs les communications miseset reues depuis leurs portables.

A l'origine, la tlphonie cellulaire a t conue simplement pour permettre deuxutilisateurs mobiles de communiquer oralement, mme quand ils se dplacent.

Elle a rapidement volu et permet aujourd'hui la communication de donnes sousplusieurs formes : texte, image, vido, mail...

3.3.2 Le portable et sa carte SIM

Le portable est devenu un petit ordinateur, capacit de traitement et de stoc-kage dinformation importante. Il contient une carte puce nomme carte SIM (Subscriber Identification Module). Il est d'usage de distinguer la carte SIM et leportable :

Le portable assure l'interconnexion avec le rseau et l'excution des appli-

cations embarques, la carte SIM assure les fonctions de scurit de l'interconnexion avec le r-

seau, dont les mcanismes dauthentification.

3.3.2.1Le portable

Pour la partie matrielle il comprend :

4En tlphonie cellulaire (services voix et donnes) cest la possibilit offerte un usager, en fonc-tion de la souscription un service spcifique, dutiliser son tlphone et les services affrents sur

un rseau hte, en opposition son rseau dit dorigine. Cest le cas des connexions sur des rseauxcellulaires GSM, 2G, 3G ou 4G ltranger.


24/42



Un processeur et de la mmoire, des priphriques usuels dont un clavier, un cran, un micro, un haut-

parleur et une antenne qui permettent la transmission hertzienne avec lastation de base. Il peut aussi contenir un autre priphrique comme une in-terface Bluetooth, une camra,...

Pour la partie logicielle il comprend :

Un systme d'exploitation, des applicatifs embarqus.

Les applicatifs embarqus peuvent tre d'origines diverses.

Nota : l'applicatif qui gre la communication est la proprit de l'oprateur associau portable.

3.3.2.2La carte SIM (Subscriber Information Module)

C'est une carte puce. Elle contient des informations (cls secrtes) qui assurentl'authentification de l'utilisateur et le chiffrement des changes sur le lien radio.Elle reste la proprit de l'oprateur auquel l'utilisateur est li par contrat.

3.3.2.3Le rseau de tlphonie cellulaire

Le portable utilise le rseau d'un oprateur. Un tel rseau ncessite une logisti-que importante. Il couvre tout ou partie de territoires par un dcoupage en cel-lules dans lesquelles les clients se dplacent. Il comprend une partie hertzienne etune partie filaire.

Chaque cellule est contrle par une station de base . Par voie hertzienne lastation de base assure la communication des utilisateurs qui se trouvent dans sacellule avec le rseau filaire. Celui-ci assure la communication vers la station debase de la cellule o se trouvent leurs correspondants ou si ceux-ci utilisent le r-seau d'un autre oprateur, vers le rseau filaire de cet autre oprateur.


25/42



Station de base

Mobile

Dans le cas du GSM les stations de base ou BTS (Base TransceiverStation) sont regroupes par trois sur un pylne

3.3.3 Laccs au service radio

Il s'appuie sur :

La carte SIM pour l'tablissement de la connexion, aprs authentification, le systme de chiffrement pour scuriser la communication.

3.3.3.1L'accs au portable

L'utilisation du code PIN est facultative. Elle reste recommande car toute per-sonne qui prend illicitement possession dun portable teint pourrait s'en servirpour communiquer.

3.3.3.2L'accs au rseau

Pour accder au rseau de l'oprateur, la carte SIM doit tre authentifie. Ellecontient une clef secrte : Ki.

Pendant la phase dauthentification de lutilisateur au rseau, ce dernierrcupre dans sa base dauthentification une cl drive de la Ki, la cl Kc Le rseau envoie un challenge gnr avec Kc la carte SIM. La carte SIM calcule la rponse au challenge avec la clef Ki et l'algorithme

cryptographique A3. Elle l'envoie au rseau.

Le rseau calcule aussi la rponse et la compare celle qu'il a reue.

Si les deux rponses sont identiques, l'authentification de la carte SIM est bonne.

3.3.4 Lutilisation du service

Lidentification pralable louverture dune session radio est assure par le chif-frement des changes entre le tlphone portable et le rseau.


26/42



La carte SIM calcule une clef de session Ks en appliquant l'algorithme cryp-tographique A8 au challenge reu du rseau. Elle la fournit au portable.

Le portable assure lui-mme le chiffrement de la communication avec laclef Ks et l'algorithme cryptographique A5.

3.3.4.1L'imputation des communicationsChaque carte SIM est associe un utilisateur donn. Chaque communication miseest associe la carte SIM qui a t authentifie pour accder au rseau. La com-munication est impute l'utilisateur contractuellement associ cette carte SIM.

3.3.4.2Le vol

Chaque portable est identifiable par un code IMEI situ dans la mmoire du por-table.

Cette valeur est spcifique chaque tlphone portable. L'utilisateur doit la noteret la conserver pour des raisons de support

En cas de vol ou de perte du portable l'utilisateur doit adresser une dclaration l'oprateur du rseau qu'il utilise pour interdire l'accs au rseau partir de sonportable.

On peut afficher le code IMEI sur le portable en saisissant *#06#.

3.3.5 Quel contexte de la scurit pour la tlphonie mobile ?

3.3.5.1Atteintes l'intgrit

Comme dj voqu prcdemment, nous avons :

usurpation dun numro de tlphonie mobile ; envoi de faux SMS ; Accs au code PUK et authentification de lutilisateur, etc.

3.3.5.1.1 Modification du code IMEI

Le code IMEI d'un portable l'identifie. Il est situ dans la mmoire du portable. SurInternet, des sites spcialiss proposent des matriels et des logiciels pour le modi-fier :

Pour les portables anciens, la modification ncessite son dmontage, pour les portables rcents, un PC, un cble de connexion entre le PC et le

portable et un logiciel suffisent.

3.3.5.1.2 Modification du logiciel

Mise jour arrire

Au fil du temps de nouvelles versions du logiciel du portable sont mises en service.Elles apportent des amliorations, des fonctions nouvelles mais suppriment aussides failles et parfois d'anciennes fonctions caches.

Pour certains portables, on trouve sur Internet des versions prcdentes de la ver-

sion en cours du systme d'exploitation. Ces versions permettent, parfois, laccset lactivation de fonctions caches (non disponibles dans les versions rcentes).


27/42



Par exemple, lactivation du portable distance pour en faire un microphonepilotable distance. La mise jour arrire s'effectue avec le mme matriel quecelui utilis pour modifier le code IMEI.

3.3.5.1.3 Programmation

Certains portables peuvent tre reprogramms. Ils peuvent alors dcrocher silen-cieusement sur rception d'un signal spcifique, dun SMS ou dun appel particulier.

3.3.5.1.4 Modification du matriel

Certains portables, trs rpandus, peuvent tre modifis par des branchementsinternes simples et judicieux qui permettent d'activer certaines fonctions comme main libre , rponse automatique et suppression de la sonnerie .

3.3.5.2Atteintes la confidentialit

3.3.5.2.1 Ecoute des appels

L'coute de l'interface air avec un simulateur de station de base coupl avec un PCpermet :

d'enregistrer la communication hertzienne, de la dcrypter soit :

en exploitant les faiblesses de l'algorithme de cryptageen utilisant la clef Ki, si elle est connue.

Cela ncessite cependant un peu de matriel quil faudra se procurer.

Nota : Dans certains cas de figure, la communication peut tre intercepte en de-hors de linfrastructure de loprateur (air time et backbone) : la communicationentre loreillette Bluetooth et le tlphone portable !

3.3.5.2.2 Espionnage partir du portable de l'utilisateur

Nous avons vu plus haut qu'il tait possible de modifier le logiciel ou le matriel decertains tlphones portables.

Offrir ou quiper un utilisateur d'un tel tlphone portable permet d'espionner lesconversations de l'utilisateur. Ces portables peuvent dcrocher silencieusement surappel spcifique en utilisant des fonctions comme main libre , rponse auto-

matique et suppression de la sonnerie .

On trouve mme dans le commerce spcialis, pour des prix importants mais nonprohibitifs, des tlphones offrant ces fonctions de manire standard, outre lesfonctions habituelles de communication.

De mme des constructeurs ont labor des produits permettant aux parents desuivre leurs enfants en toute discrtion.

Mme si ce type dactivit est compltement illgal, le risque subsiste.


28/42



3.3.5.2.3 Le tlphone portable micro

Un tlphone portable peut tre utilis comme micro pour couter les conversa-tions dans une salle de runion (exemple : lespion dissimule le tlphone dans lapice en ayant pris soin de lappeler au paravent.)

3.3.5.2.4 Les passerelles Gsm

Le cot des communications de portable portable est infrieur celui des com-munications de fixe portable. Pour rduire les cots de communication certainessocits utilisent des passerelles GSM. Ainsi les communications des postes fixes del'entreprise destination des GSM extrieurs sont routes vers les portables de lapasserelle pour tre transformes en une communication portable portable. Lescommunications factures sont celles passes par les portables de la passerelle.Cette architecture permet des conomies substantielles pour ces socits.

Du fait de leur immobilit , les portables de ces passerelles sont sensibles en

particulier aux menaces de duplication de carte et aux coutes.Nota : certaines passerelles GSM fonctionnent sur des OS standard et sont adminis-trables distance et via le LAN. Une connexion distante peut permettre une intru-sion sur le SI et un accs la base de donnes des communications.

3.3.5.2.5 Duplication de la carte SIM

Le code PIN du portable est dj connu

Des logiciels permettent d'exploiter certaines faiblesses des mcanismes cryptogra-phiques utiliss dans les cartes SIM. Ils permettent de trouver la clef secrte Ki.

Pour cela il faut disposer d'un PC, d'un lecteur de carte puce et d'un logicieladapt et connatre le code PIN de la carte. Environ une heure de traitement suffitpour casser le systme.

Un programmateur de carte, un logiciel adapt et la clef secrte Ki permettent dedupliquer la carte SIM sur une carte gnrique autant de fois que dsir.

Le code PIN du portable est inconnu

On peut trouver directement la clef secrte Ki sans disposer du code PIN en utili-sant une station mettrice qui effectue des transactions avec le portable cibl. Ilfaut :

que la station soit proche de la cible, qu'elle effectue un nombre lev de transactions (environ une dizaine

d'heures).

Dans ces deux cas, les logiciels et matriels peuvent se trouver via Internet et cetype d'attaque peut tre ralis par le personnel de l'entreprise qui utilise ou main-tient les portables, en particulier ceux des passerelles, afin de bnficier de com-munications gratuites.


29/42



3.3.5.3Atteinte la disponibilit

3.3.5.3.1 Vol ou perte du portable

Cas gnral

Les portables perdus ou vols font l'objet d'un trafic (revente ou utilisation fraudu-leuse). Certains cas de vols se sont mme accompagns de violence physique l'gard de leur propritaire.

Les oprateurs et la presse publient rgulirement des recommandations sur lesprcautions prendre pour se protger de cette menace. En particulier ne pas t-lphoner dans les lieux publics sensibles.

Groupes d'utilisateurs

Certains groupes dutilisateurs ont besoin d'une scurit importante et utilisent desportables chiffrant qui partagent un secret. En cas de perte ou de vol la personne

qui dispose alors du portable peut usurper l'identit d'un membre du groupe et s'in-troduire dans le groupe. Il convient de prvoir la rvocation dun tel portable encas de perte ou de vol.

3.3.5.3.2 Vol de carte SIM sur les passerelles

Les passerelles GSM comportent gnralement plusieurs portables. Plusieurs casont t signals ou quelques-unes de ces cartes SIM ont t voles sur des passerel-les GSM afin de bnficier d'appels gratuits.

Ce type d'attaque indtectable techniquement, lest par l'analyse des consomma-tions. On ne saurait trop insister sur la ncessit de suivre les consommations, avec

un outil adquat.

3.3.5.3.3 Brouillage des communications

Une autre atteinte aux communications GSM est le brouillage des communicationsradio entre le terminal et la station de base. Ce dernier peut tre intentionnel,mise en place de brouilleur ddi au GSM, ou non intentionnel par les effets deperturbations lectromagntiques de lenvironnement.

3.3.5.3.4 Les vers et les virus

Les portables ont la mme structure qu'un ordinateur traditionnel. Ils sont sensibles

des menaces semblables celles des ordinateurs comme les vers et les virus. Ilsdemeurent une cible attractive pour rcuprer leur carnet d'adresses ou provoquerdes appels ou l'envoi de SMS vers des numros surtaxs.

3.3.5.4Malveillances diverses

3.3.5.4.1 Ingnierie sociale

Il s'agit de pousser l'utilisateur l'erreur partir d'un comportement d'apparenceanodine.

Par exemple, le portable de l'utilisateur est appel partir d'un numro surtax.

L'appel cesse avant que l'utilisateur ait dcroch. Normalement l'utilisateur ne de-


30/42



vrait pas rappeler un numro qu'il ne connat pas, d'autant plus qu'il dispose d'unemessagerie ou l'appelant aurait pu laisser un message.

Nanmoins diverses raisons poussent l'utilisateur rappeler. La surtaxe lui seraalors facture.

3.3.5.4.2 Usage dtourn

L'utilisateur cache son portable alors qu'il est dj en communication de faon ceque son correspondant puisse suivre la conversation ambiante. Pour sen prmunir,l est recommand :

l'utilisation d'un dtecteur de portable actif, l'utilisation d'un brouilleur en lieu ferm, mais elle n'est pas autorise par-

tout.


31/42



4LES POINTS COMMUNS ET GENERIQUES A SURVEIL-LER

4.1.1 Les services auxiliaires la fonction tlphonie

Les malveillances voques ci-aprs ont t observes dans le cadre de cas rels.

4.1.1.1La bote aux lettres vocale (Voice Mail Box)

Elle permet la dpose d'un message dans la messagerie vocale (MEVO dans le jargontlphonique) pour un utilisateur absent ou occup. Les botes aux lettres voluesoffrent des fonctionnalits complmentaires comme le routage d'appel qui permet,lorsqu'on est l'extrieur de lentreprise d'appeler sa bote puis d'obtenir un appelpar rebond .

Les malveillances types sont les suivantes :

abus des fonctions de routage dappels pour passer des communicationslongues distances,

coute des messages dun autre destinataire, dpt de faux messages dans les botes (avec mascarade), utilisation dune bote vocale comme relais pour changer des informations

entre rseaux mafieux .

4.1.1.2Les numros cot partag

La facturation de l'appel entrant est impute l'entreprise (exemple : le numrovert 0800).

pour raliser un rebond partir du systme tlphonique dune entrepriseou dune administration, le pirate cible sa victime au travers dun numrodappel gratuit. Le cot financier pour lattaqu peut devenir prohibitiflorsque lattaque est mene depuis ltranger.

pour saturer un centre dappels ou pour se venger, le pirate va lancer desappels successifs qui auront le double effet de bloquer les appels lgitimesvers le numro unique et de coter cher lentreprise ou ladministrationpar une facturation quasi continue sur ses numros (dans le cas du numrovert).

4.1.1.3Les serveurs vocaux interactifs (SVI)

Les serveurs vocaux interactifs ou les standards automatiques disposent de fonc-tions de traitement dappels et de routage des appels.

Ces outils de production sont :

sensibles aux attaques visant la saturation des liens ou des serveurs ; vulnrables sils sont interconnects au SI ;

lobjet dattaque afin de recomposer les messages vocaux.


32/42



4.1.1.4Le serveur dexploitation

Les serveurs tlcom, le serveur dexploitation ainsi que les postes des oprateurset des administrateurs se trouvent sur un rseau local de type IP (LAN), par ail-leurs, plus ou moins intgr aux autres rseaux IP de lentreprise.

Les menaces classiques sont les suivantes :

une personne externe ou interne malveillante tente de se connecter auPABX ou au serveur dexploitation.

une personne externe ou interne malveillante tente une action en dni deservice sur le PABX.

4.1.1.5Le serveur de facturation

Le serveur de facturation permet le contrle des consommations tlphoniqueset la ventilation des cots au sein des diffrentes entits de lentreprise.

La principale menace est laccs la base de donnes de facturation. En effet, labase de donnes possde toutes les communications passes, par exemple, depuis :

La direction (actions stratgiques en cours), La direction commerciale (liste des clients), La direction des achats (liste des fournisseurs).

Nota : le systme de taxation doit faire lobjet dune dclaration pralable laCNIL.

4.1.1.6Le poste oprateur

Le poste oprateur (PO PC) est une fonction daccueil majeure de lentreprise.Limage de lentreprise peut en dpendre.

Le poste oprateur dispose de droits spcifiques, entre autres, vis--vis :

des postes internes (exemple : entre en tiers dans une communication), de la maintenance. Le poste oprateur peut tre utilis pour exploiter et

programmer le PABX.

Des modifications de paramtrage peuvent tre tentes, depuis ces postes, linsudu responsable de lexploitation tlcom.

4.1.1.7La tlcopie

La tlcopie est dans les annes 80 un moyen simple, rapide et facilement matri-sable par lentreprise pour transmettre des informations, de la donne, entre deuxpersonnes ; une forme primitive de messagerie lectronique permettant de trans-mettre des messages et des pices jointes le tout dans lunique format papier.

Mais cette technologie sest vite avre peu fiable en raison du manque de moyensde scurit quelle offrait dans ses premires implmentations en Groupe 3(normefax issue du CCITT/ITU). De ce fait, le fax a longtemps t mis au ban pour sesquestions de scurit, notamment pour son incapacit assurer lidentit de

lmetteur (authentification, preuve et non rpudiation). Le Tlex a alors continu jouer un rle important dans les changes formels. Avec larrive de la tlcopie


33/42



Groupe 4 et sa connexion sur des rseaux doprateur valeur ajoute, les rseauxRNIS, la tlcopie a russi simposer comme un moyen sr et efficace de trans-mettre de linformation. Cette technologie ncessitant une connexion sur un r-seau RNIS, beaucoup ont prfr rester sur une connexion du tlcopieur sur lePABX. Aujourdhui donc, mme si la technologie Groupe 3 (numrique sur rseau

analogique) ne permet pas lidentification formelle et lhorodatage des communi-cations, la reprsentation de lcrit propose par le fax fait office dindice oudlment de preuve.

Sans tre exhaustif, voici quelques unes des menaces pesant sur la tlcopie engnral :

impact sur la confidentialit, particulirement quand le tlcopieur estdans une salle commune. Il existe toutefois quelques modles qui conser-vent les messages reus en mmoire et ne dlivrent une impressionqu'aprs composition d'un code confidentiel,

prise du numro de fax de lautocommutateur et redirection vers sonposte, impact sur l'intgrit par le biais d'une mascarade ayant pour finalit de

transmettre une information en se faisant passer pour un autre (repro-grammation du terminal tlcopie quant lidentit de lexpditeur et sonnumro de tlphone),

redirection du fax mettre vers un fax entrant d'un autre destinataire (aumoment d'tre mis, le fax sortant est envoy sur le numro d'un fax en-trant ce mme moment). Cet incident est toutefois peu probable et cons-tituerait plus un incident dexploitation quune malveillance,

appel entrant avec blocage de dpart, emploi d'un botier de chiffrement (attention la rglementation en vi-gueur),

il ne faut donc pas prsumer a priori de l'identit de l'metteur du mes-sage, surtout quand celui-ci n'est pas un correspondant habituel ou bienque la teneur du message est inhabituelle.

4.1.1.8Les copieurs multifonctions (ouMFP)

Dans le prolongement de la description des outils de communication de voix, il y ena un qui mrite quelques lignes : le copieur multifonctions, ou Multiple Fonction

Printer(MFP) en anglais. A mi-chemin entre le tlcopieur et limprimante en r-seau, il combine les risques dun tlcopieur tels quvoqus, dune imprimante etdun scanner. En fait, lespace des menaces auquel il sexpose est essentiellementli au fait que cet quipement est dou dintelligence : systme dexploitation ducommerce, applications de communication et espace de stockage de donnes.

Voici un aperu des vulnrabilits des quipements MFP :

son systme dexploitation, ses applications (serveur de messagerie, partagede fichiers, agent SNMP). Les capacits dexploiter distancelquipement, de prendre la main sur ses fonctions ainsi que den dtournerlusage, par les mcanismes intrinsques des applications et leurs vulnrabi-

lits ventuelles,


34/42



sa connexion sur le rseau dentreprise, majoritairement connect en IPpour assurer lesdits services de multifonctions,

la possibilit limite dappliquer rapidement et facilement des correctifs descurit. Il faut gnralement faire appel linstallateur puis au construc-teur avant davoir un statut sur le niveau des correctifs possibles,

comme pour lautocommutateur, les accs en tlmaintenance surlquipement pour de la maintenance ou des relevs de consommation. Avecdes capacits avres ou pas de rebondir sur le rseau de lentreprise versdautres MFP, ou autres quipements,

son serveur de messagerie interne qui permet par exemple denvoyer paremail un document scann. Il sagit de prvenir toute forme de fuitedinformation, ici mme de document physique ,

et puis pas des moindres, le disque dur de la machine qui renferme les do-cuments scanns, transfrs par FAX, transmis pour impression Une atten-tion particulire est porter lors de son remplacement ou de sa mainte-

nance.4.1.1.9La radiomessagerie

L'appareil (pageur ou bippeur) permet de recevoir un message alphanumriquen'importe o en fonction de l'abonnement souscrit et de la couverture disponible duservice.

L'envoi se fait partir :

d'un PC ou d'un minitel (message alphanumrique), d'un poste tlphonique (message numrique),

d'une htesse d'accueil du service souscrit qui prend le message et l'envoie.Impact sur la confidentialit.

l'interception des communications peut se faire partir d'un autre botieravec un circuit intgr clonant le circuit couter. L'interception dansl'ther (i.e. les ondes radio) est galement possible avec des moyens peusophistiqus pour certains services (par exemple en Grande-Bretagne),

les informations sensibles ne doivent pas circuler par ce biais, ou bien trecodes. Le codage consiste au remplacement dun mot par un autre dont lesens commun est diffrent, si possible sans relation image (contre-exemple : la bote images qui dsigne le tlcynmomtre chez lescibistes).

Impact sur la disponibilit :

le dysfonctionnement du systme de radiomessagerie peut avoir un impactsur le bon fonctionnement du service maintenance de la chane de produc-tion dune usine.


35/42



4.1.1.10 Le Tlphone sans fil, DECT5

Impact sur la confidentialit :

lcoute dun tlphone sans fil peut se faire aisment laide dun scan-neur. Il suffit de se mettre quelques centaines de mtres du lieu de

lappel et de chercher la frquence dmission comprise en bande HF(normalise selon un plan de frquence international entre 26 et 50 MHzpar exemple). Suivant le type dantenne, lcoute peut se faire sur uneplus longue distance.

Impact sur les ressources de l'abonn :

Prise de contrle dun tlphone sans fil sans code daccs : aprs inter-ception, laide dun scanneur, de la frquence dmission du tlphonesans fil. Le fraudeur prend la ligne partir de son propre combin, par rap-port au socle du propritaire du tlphone, en se mettant sur la mme fr-

quence dmission. Les nouveaux tlphones sans fil sont souvent munis decode 4 chiffres (chacun compris entre 0 et 9). Il est relativement aispour lagresseur de casser ce code. Une des parades consiste systmati-quement reposer le combin sur son socle,

Prise de contrle dun tlphone sans fil avec code daccs durci : le pro-cessus dattaque est identique, dans son principe au prcdent, mais ilfaudra alors casser le code 4 chiffres (compris entre 0 et 9 soit 10000combinaisons possibles). Il existe des techniques en la matire. Le cassagedu code peut ncessiter, en temps cumul, un peu moins de 10 heures.Eventuellement, il est possible pour le fraudeur d'enregistrer la squencede connexion et d'effectuer un rejeu du code,

prise de contrle dun tlphone sans fil avec jeton unique de connexion.Le code de connexion est diffrent chaque prise de ligne par le postecombin. Les attaques possibles ne nous sont pas connues.

4.1.1.11 Le DECT et lIP

Il sagit dune combinatoire entre DECT pour la partie radio telle que prsente ci-dessus et dun raccordement banalis des bornes par un rseau IP. L o prc-demment les bornes DECT taient relies en filaire sur lautocommutateur.

Lavantage est la simplicit du dploiement de la technologie DECT, sa large cou-verture hertzienne ainsi que la rutilisation des terminaux.

En revanche, sur sa partie IP, le flux voix est expos tel que celui de la ToIP, utili-sant les mmes protocoles.

4.1.1.12 Le Wi-Fi et la ToIP

On vient de le voir, quand on parle de tlphonie sans fil dans lentreprise on faitnaturellement allusion au DECT. Ces dernires annes, avec larrive de la techno-logie de rseau local sans fil le Wi-Fi sont apparus de nouveaux besoins :

5Digital Enhanced Cordless Telephone


36/42



lintgration sur le mme LAN (ici le WLAN) des terminaux ToIP au mme titre queleur cousin les PCs.

Les questions de scurit de la ToIP se posent autant que lors de lintgration de laToIP sur un LAN seul que pour lintgration du Wi-Fi seul. Mais cela vient

sajouter peut tre une complexit moins vidente : celle de la prdictibilitdaccs au service. En effet, tant les terminaux que le rseau Wi-Fi de par leurconception noffrent pas toujours lassurance de laccs :

pour le terminal, parce que plus sophistiqu que son aeul le DECT avecplus dlectronique et dintelligence pour traiter le Wi-Fi et lIP ainsi que laToIP. La fragilit du matriel ainsi que sa longvit en dure de batterie est prouver dans des environnements industriels par toujours propices,

le rseau Wi-Fi, avec ses capacits daccueil en dbit, en terminaux et enporte ainsi que les perturbations auxquelles il peut tre soumis, notammentles attaques sur son infrastructure. En lespce, pour la mme couverture, la

densit de borne Wi-Fi est suprieure celle du DECT.Il reste toujours pos la question dordre de sant publique de lusage de ter-minaux Wi-Fi comme tlphone.

4.1.2 Larchitecture rseau

4.1.2.1Le secours lectrique

Les architectures TDM bnficiaient presque toutes dune solution de secours lec-trique (onduleur, batteries, etc.) qui leur offrant une autonomie de plusieurs heu-res en cas de perte dnergie.

Cette indpendance nergtique est lun des lments qui contribuent la notori-t, la fiabilit et la robustesse du service voix.

En revanche trs peu de rseaux locaux dentreprises (LAN IP) disposent dun sys-tme de secours lectrique comparable couvrant lensemble de la tlphonie. Engnral, le rseau nest pas ou trs peu secouru et les salles informatiques ont desonduleurs qui offrent une trentaine de minutes dautonomie afin de permettre unarrt propre des serveurs informatiques.

Il est donc impratif que soit vrifie la disponibilit de chaque lment en regarddes services attendus en cas de coupure lectrique majeure. Notamment lappel

des services de secours pour les personnes.

4.1.2.2Les interconnexions SI

Comme la socit ERCOM lavait soulign dans son prcdent livre blanc [Scuritdes Rseaux Tome II : Eviter les no mans land entre voix et donnes Dcem-bre 2005] les deux mondes de linformatique et des tlcommunications se c-toient et sinterconnectent depuis des annes, mais ils restent parfois difficilesdintgrer ou dassocier lun lautre dun point de vue culturel, technique ou or-ganisationnel.


37/42



Cette dichotomie porte en elle la source de failles de scurit, qui se traduisentpar lapparition de no mans lands lintrieur de lentreprise. Aux endroits oles deux mondes se recouvrent (console de tlmaintenance dporte dun PABX,tltravailleurs, CTI, etc.), des zones franches peuvent exister, o les responsabili-ts de chacun ne sont pas toujours bien gres.

Cette situation est encore rendue plus dlicate par la prsence possible de liensnon filaires de type LAN radio Wi-Fi, satellite, radio 3G sachant que 20% des accsau SI de lentreprise se font via des communications sans fil.

Enfin, lextension du no mans land aux terminaux nomades (PC, PDA, Smart-phone) apporte dautres contraintes et des complments danalyse de risques.

La scurit est toujours un point important des projets de migration vers des sys-tmes convergents (tels que la tlphonie sur IP) alors que la responsabilit de lascurit de lentreprise peut tre diffuse entre diffrents dpartements (le plus

souvent la direction informatique et la direction des services gnraux pour la voix)et sites gographiques.


38/42



4.1.3 Les fonctions support

4.1.3.1Lintgration et la maintenance

A une poque o la scurit tait moins stigmatiseet pour des raisons de ractivi-t ou de contraintes oprationnelles, les directions techniques donnaient les clsde leur entreprise ou de leur administration leur intgrateur de tlphonie.

En effet, linstallateur tlphonique voire parfois le constructeur peut avoir accs,sans contrle, au systme tlphonique et mme au-del, au SI (SystmedInformation).

Les interventions de maintenance volutive ou curative en phase de production,par linstallateur ou autre prestataire extrieur, demeurent trop rarement contr-les ou traces.

Les aspects contractuels engagent rarement le sous-traitant respecter la politi-

que de scurit de lentreprise (avec souvent une absence daccord de confidentia-lit).

Cette dimension historique du march voix et de ses acteurs volue. La conver-gence des services de communication tlphonique ainsi que lappropriation delexploitation et du dploiement par les quipes de la DSI, berce dune autreculture, apportent une matrise plus grande du processus de scurisation.

4.1.3.2La tl-action et tlmaintenance

Nombre dquipements de type PABX disposent dune fonction de tlmaintenanceou dun accs externe autoris. Car, la ractivit dintervention dans le diagnostic

dune panne ou dans la modification de configuration est, dans ce cadre, souventprsente comme impossible autrement, compte tenu du nombre rduit de person-nels suffisamment qualifis.

Le risque associ est, bien entendu, valuer en fonction du type dquipementaccd et des connexions dont cet quipement dispose avec les autres systmes.

Les autocommutateurs disposent soit de modems externes, soit de modems inter-nes intgrs une des cartes lectroniques ou, de plus en plus frquemment,laccs est accord au travers dun accs au rseau IP tlphonique lui-mme.

Bien entendu, dautres quipements du SI sont souvent adressables par tl ac-

tions, tels que :

les serveurs de pritlphonie (serveur dexploitation, serveur CTI, serveurSVI, serveur annuaire, serveur, fax, etc.)

les serveurs informatiques,

les photocopieurs,

les routeurs

Le niveau de scurit des solutions daccs en tlmaintenance est trs variable.

Elles doivent, cependant et en fonction des besoins de scurit de lentreprise,rpondre aux problmes suivants :


39/42



Authentification des accdants ; Traabilit des actions effectues par les accdants ; Segmentation et confinement des possibilits daction des accdants.

Nota : Labsence de traabilit doit tre souligne car en cas de litige, toute in-

formation tangible peut tre propose la justice comme recevable.


40/42



5CONCLUSION

Il parat maintenant bien acquis quil ny a plus deux mondes dans lentreprise,

celui des tlcoms et celui des Systmes dInformation. Lintgration des deuxmondes est une ralit bien tangible depuis une quinzaine danne.

Les outils de communication voix nont donc pas chapp ce mouvement. La des-cription des technologies prsentes dans ce Dossier Technique du CLUSIF a d-montr quel point cette ralit a des rpercussions dans la scurit du patri-moine de lentreprise : technologique et informationnel.

Face aux carences actuelles de la normalisation dans la prise en compte de ce fait,le risque Voix nen est que plus latent.

Assurment, les prochaines actions devront se porter sur la dfinition dun cadre

scuritaire commun la convergence des deux mondes.

Aujourdhui prsente dans dautres ouvrages du CLUSIF, la Scurit des SystmesdInformation, devra tenir compte de la convergence du monde informatique et decelui de la Voix.

Les communications unifies, la convergence autour du protocole IP et lusage dunposte de travail qui devient pluridisciplinaire (plateforme bureautique, mtier, t-lphone, visioconfrence, travail collaboratif) forceront elles aussi la conver-gence des mesures de scurit ?

Devrons-nous inventer de nouvelles mesures spcifiques la voix ? Ou lintgration

de la voix dans nos SI sera telle que nous ne distinguerons plus sur les rseaux etles serveurs : un flux web dune simple conversation tlphonique.


41/42


42/42

CLUB DE LA SCURIT DE L'INFORMATION FRANAIS

30, rue Pierre Smard75009 Paris

01 53 25 08 80

[email protected]

Tlchargez les productions du CLUSIF sur

www.clusif.asso.fr

Documents

CLUSIF 2010 Communication Voix Enjeux de Securite