Entre l'usurpation d'identité, l'écoute des conversations téléphoniques ou l'exploitation de vulnérabilités, la voix sur IP semble multiplier les risques pour l'entreprise. Mais des solutions de sécurité adaptées apparaissent. La migration de la téléphonie traditionnelle d'entreprise vers la téléphonie sur IP poursuit sa progression. Le marché mondial des équipements de téléphonie d'entreprise présente en 2007 un dépassement de celui des PBX (ou autocommutateurs) traditionnels par les PBX IP : le marché des PBX traditionnels passerait de 6,4 milliards de dollars en 2006 à 5,7 milliards en 2007, tandis que celui des PBX IP grimperait de 4,6 à 5,75 milliards de dollars, selon l'Idate. En 2010, l'Idate prévoit que près de 70 % des lignes fonctionneront sur des ports IP.
Selon le cabinet d'études IDC, la voix sur IP représentait déjà un marché de 2,3 milliards de dollars dans le monde en 2002. Cette technique qui consiste à numériser la voix puis la faire transiter par le réseau IP de l'entreprise promet la réduction des coûts de télécommunication, résultat de la fusion des canaux voix et données de l'entreprise, et autorise de nouveaux usages rendus possibles par l'utilisation de données IP par les serveurs téléphoniques et les postes eux-mêmes (messagerie et applications sur téléphones notamment).
Seulement cette nouvelle technologie multiplie de manière considérable les risques de sécurité dans l'entreprise. Premier risque, l'ouverture même du réseau IP. "Avec la voix sur IP, tous les postes téléphoniques deviennent en quelques sortes serveurs car ils sont désormais accessibles de l'extérieur". Ce risque devient d'autant plus dangereux que, si aujourd'hui peu de personnes sont capables de pirater un réseau téléphonique, demain cela deviendra accessible pour n'importe quel informaticien. "Les outils classiques et répandus d'écoute de réseau, d'analyse de flux et d'injection de trafic IP peuvent être directement utilisés pour attaquer un réseau VoIP. Les outils propres à la voix sur IP sont disponibles, comme VOMIT (Voice Over Misconfigured Internet Telephone) et SiVuS : SIP Vulnerability Scanner", analyse Monsieur Mondher GAM, Directeur Général et Fondateur de Online Network Security, jeune SSII entièrement spécialisée en Intégration, Audit , formation et Consulting en Sécurité des Systèmes d'information et de Réseaux.
Aux Snifeurs de réseaux s'ajoute la faible sécurité des protocoles utilisés par la voix sur IP, que ce soit le H.323 ou le SIP, ces deux protocoles ont déjà fait l'objet de failles de sécurité.
Dès lors qu'il est entré sur le réseau de l'entreprise ou par le biais de renifleurs, le pirate aura alors accès aux communications de l'entreprise en plus de ses données. Usurpation d'identité, vols d'informations confidentielles peuvent mettre la sécurité du réseau en danger. Autre menace, l'attaque en déni de service qui consiste à surcharger le serveur Web de requêtes jusqu'à ce qu'il ne puisse plus suivre et s'arrête. Dès lors, il est envisageable de saturer les réseaux des sociétés équipées en voix sur IP, bloquant ainsi communications internes, externes mais aussi le système d'information.
Les solutions de réseaux virtuels (VLAN) séparant logiquement les réseaux entre eux ne résolvent pas non plus le problème. "C'est envisageable mais ça reste cantonné à l'entreprise. Dès qu'il s'agit de sortir de l'entreprise, les adresses privés doivent être converties en adresses publiques", déclare Monsieur Mondher GAM . Dès lors, la meilleure solution serait de dissocier le réseau des données de celui de la voix sur IP, une solution coûteuse qui efface l'un des principaux avantages mis en avant lors d'un tel projet.
Dernière menace, mais non des moindres, celles des virus, vers, chevaux de Troie et autres codes malveillants. S'appuyant sur des failles logicielles ou matérielles, il est envisageable de voir apparaître de nouveaux virus ciblant autant les données que les communications de l'entreprise, effaçant par exemple les communications enregistrées ou les bloquant. Sans aller si loin, une simple défaillance de matériels VoIP pourrait saturer le réseau téléphonique d'un opérateur Telecom.
Partant de là, certains éditeurs se sont spécialisés dans la sécurisation de ces nouveaux réseaux. "Puisque les commutateurs VoIP reposent sur des systèmes d'exploitation classiques, souvent Unix, il faut durcir les systèmes d'exploitation en limitant au maximum les services inutiles et en appliquant régulièrement les correctifs de sécurité", rajoute le jeune dirigeant de ONS . Dès lors, il convient de relativiser le coût de la mise en place d'une architecture voix sur IP, très étroitement lié aux dépenses de sécurité et aux risques encourus en dehors des problématiques de qualité de service
Dans cette perspective , et en vue de mieux connaître les failles relatives a la Sécurité des réseaux Voix sur IP , la jeune SSII , Online Network Security, organise un séminaire sur la Sécurisation de la Voix sur IP , qui aura lieu a l'hôtel Mercure ( Ex- Mechtel) a Tunis du 17 au 20 Juin 2008 et qui sera anime par Monsieur Paulo Pinto , consultant expert en sécurité de la Voix sur IP chez Sysdream , partenaire technologique de Online Network Security.
Pour plus de détails, consultez le lien suivant : http://www.online-netsecurity.com
