La VoIP – ou téléphonie via voix sur IP – a révolutionné le monde des télécommunications, facilitant le transit vocal, réduisant les coûts des communications et rapprochant les interlocuteurs. Elle fait fi des distances et des appareils matériels. Basée sur le protocole Internet, elle permet non seulement de faire transiter la voix, mais aussi les flux vidéo, les messages instantanés, voire les fax.
Mais, comme toute technologie universelle qui se démocratise au point d’être utilisée par la majorité des acteurs en téléphonie actuellement, la voix sur IP attire aussi les utilisateurs malveillants qui peuvent y voir une source de profit et d’arnaque facile. Les risques d’attaques et de piratage informatique ou de vols de données via un système de téléphonie sont réellement présents, mais il existe de nombreuses façons de s’en protéger, certaines étant très faciles et rapides à mettre en place, tout en assurant une sécurité accrue de vos systèmes VoIP.
Lisez notre article pour avoir quelques astuces et sécuriser vos accès VoIP.
Quels sont les risques associés à la VoIP ?
Le DoS, ou déni de service
Le site cybermalveillance.gouv.fr définit l’attaque par déni de service comme une attaque « visant à rendre inaccessible un ou des serveurs grâce à l’envoi de multiples requêtes jusqu’à le saturer ou par l’exploitation de failles de sécurité afin de provoquer une panne ou un fonctionnement fortement dégradé du service. »
L’idée derrière les attaques DoS est d’empêcher les utilisateurs légitimes d’un service de l’utiliser. Ce n’est pas une attaque visant spécifiquement la téléphonie ou la VoIP, elle peut s’appliquer à tout service ou outil informatique.
Les fraudes téléphoniques
Les fraudes téléphoniques, parfois appelées Ping Calls, consistent à faire appeler un utilisateur un numéro surtaxé, via une promesse de gain financier ou une menace. Elles peuvent aussi viser la téléphonie traditionnelle, mais la VoIP permet d’automatiser les appels frauduleux pour multiplier les chances d’appels surtaxés et les profits qui y sont liés. Les appels sont souvent passés vers des numéros internationaux, ce qui augmente fortement les coûts des communications.
Le vol de données
Ce type de piratage n’est pas non plus lié à la VoIP uniquement mais les infrastructures VoIP sont une porte d’entrée facile aux réseaux informatiques des utilisateurs. Appelé aussi Ransomware, l’idée est de dérober des informations importantes (mots de passe, coordonnées personnelles, identifiants, ou même données bancaires) pour les exploiter illégalement ou les conserver en vue de demander une rançon.
Les écoutes téléphoniques
Dans ce cas, les fraudeurs profitent d’appels VoIP non chiffrés pour récupérer des données dans les conversations téléphoniques. C’est ce qu’on appelle un SPIT, sur le même principe qu’un spam, et qui enregistre les conversations lorsque l’appel est décroché.
Les malwares et les virus
Ce sont des morceaux de programmes informatiques malveillants qui sont déployés sur les machines ou sur le réseau informatique, et qui peuvent venir de différentes sources, certaines particulièrement avancées et très difficiles à tracer. L’application VoIP de 3CX en a été victime récemment, et les conséquences peuvent être particulièrement lourdes lorsque le malware est déployé à grande échelle.
Comment sécuriser son réseau VoIP ?
Les méthodes et solutions sont nombreuses, et ne nécessitent pas toujours un diplôme d’ingénieur informatique ou réseaux pour être mises en place. Voici quelques exemples de ce que vous pouvez mettre en place au sein de votre entreprise pour améliorer la sécurité de la VoIP et de vos communications.
Pare-feu et antivirus
Tout ordinateur installé sur le réseau ou accessible via le cloud doit être équipé d’un logiciel antivirus capable de détecter un malware qui se situerait sur la machine. Les scans peuvent être planifiés automatiquement, et les logiciels malveillants supprimés dès leur potentielle installation sur l’appareil.
De même, le déploiement et la configuration sécurisée d’un pare-feu sont un must pour protéger les machines et le réseau. Configuré correctement, le pare-feu permet de laisser passer les communications VoIP via une connexion Internet sécurisée et des ports sélectionnés, tout assurant la sécurisation des accès au réseau et en bloquant les intrusions frauduleuses.
Information et prévention
Si vous êtes dirigeant d’entreprise, quelle que soit sa taille, ou responsable informatique ou télécom, ne faites pas l’impasse sur la protection et la prévention auprès de votre équipe. Informez les utilisateurs des risques encourus avec une mauvaise utilisation des systèmes informatiques de l’entreprise, organisez la mise en place de formations si nécessaire et d’une vraie politique de sécurisation au sein du personnel, et rappelez-leur les règles de base de la sécurité informatique, telles que :
- Ne pas ouvrir d’email dont l’auteur paraît suspect
- Ne pas télécharger de pièces jointes dont on ne connaît pas l’origine
- Ne pas cliquer sur un lien mais passer sa souris dessus pour voir s’il a l’air légitime
- Demander confirmation par téléphone lors d’informations suspectes dans un email avant de suivre les consignes (si votre PDG vous demande de faire un virement de 5000 € sur un compte bancaire, c’est suspect, même si l’email paraît réellement être envoyé de votre PDG).
- Ne jamais donner d’informations confidentielles par écrit ou par téléphone (code de carte bancaire par exemple)
Sécuriser les mots de passe
Cela va sans dire, mais de nombreuses personnes utilisent encore leur date de naissance, ou le nom de leur chien en tant que mot de passe. Ce n’est ABSOLUMENT PAS SÉCURISÉ. Selon Hive Systems, cela prend entre 0 secondes et 438 trillions d’années de craquer un mot de passe, en fonction de sa sécurité. Alors, on oublie Batman007, et on sécurise ses mots de passe en choisissant une suite aléatoire assez longue (10 caractères minimum) de chiffres, lettres majuscules et minuscules et de caractères spéciaux, pour TOUS ses mots de passe. Cela aidera à bloquer les accès frauduleux vers le réseau et les applications utilisées dans l’entreprise.
Désactiver les codes pays
Que votre système de téléphonie soit déployé en local ou sur le cloud, si votre entreprise ne possède que des bureaux et partenaires nationaux, vous n’avez pas besoin d’autoriser les appels VoIP internationaux vers des pays connus en termes de fraude téléphonique. Nous ne les citerons pas ici mais une recherche rapide sur Internet peut vous les donner. Bloquez les appels vers les numéros internationaux ou spéciaux, et n’autorisez les appels sortants que vers les destinations réellement nécessaires pour vos activités. Dans le cas d’une prise de main de votre système de téléphonie, les hackers ne pourront pas aller très loin.
Autre astuce, vous pouvez aussi bloquer les appels VoIP sortant depuis les téléphones de l’entreprise en fonction des heures de bureau. Lorsque l’heure de fermeture des bureaux arrive, plus aucun appel sortant n’est autorisé, sauf exceptions préalablement paramétrées.
Bloquer les IP suspectes
Les DoS venant d’une adresse IP suspecte doivent être bloqués au plus vite. Des options de sécurité permettent de bloquer les adresses IP en fonction de critères tels que le nombre de tentatives de connexion au réseau de téléphonie VoIP. Vous pouvez choisir le temps de mise sur liste noire de l’adresse IP en question. 3CX permet aussi un partage de la liste noire d’IP au niveau global, permettant de transmettre les informations de sécurité à tous les systèmes qui ont activé cette option.
Chiffrer le trafic
Pour faire passer de la VoIP d’un terminal à l’autre, il faut faire transiter des messages SIP qui précisent comment traiter les messages, ainsi que le flux audio lui-même. Le secure SIP permet de chiffrer les messages SIP, et le protocole SRTP, activable directement sur les téléphones s’il n’est pas activé par défaut, permet de chiffrer l’audio entre les parties, par le biais de clés de chiffrement. Ces protocoles permettent de sécuriser vos communications VoIP, à la fois au sein du réseau et en dehors.
Sécurité et VoIP – mieux vaut prévenir que guérir
Le risque zéro n’existe pas, le système 3CX en a fait récemment l’expérience douloureuse. Les attaques nuisant à la sécurité de la VoIP et de l’informatique en général coûtent cher, financièrement, mais aussi en termes de réputation. Cela nous a permis de revoir nos pratiques sécuritaires et de renforcer nos mesures. L’expérience que nous avons vécu nous permet aujourd’hui de proposer une solution de téléphonie encore plus sécurisée à notre communauté d’utilisateurs et de partenaires.
Nous en profitons pour réitérer notre gratitude pour la confiance dont vous nous honorez.
