jeudi 19 octobre 2017

Accueil du site > Informatique > Hervé Schauer, expert en sécurité : « La VoIP n’est pas mature et (...)

Hervé Schauer, expert en sécurité : « La VoIP n’est pas mature et pose une problématique de sécurité »

Christophe Guillemin, ZDNet France

lundi 30 mai 2005, sélectionné par Spyworld

logo

Free et France Télécom ont subi récemment des incidents sur leurs réseaux causés par des dysfonctionnements de leurs services de VoIP. Pour Hervé Schauer, ces incidents illustrent le manque de maturité de cette technologie.

Opérateurs télécoms et fournisseurs d’accès multiplient les offres de téléphonie par internet ou voix sur IP (VoIP), une technologie qui est à l’origine de deux dysfonctionnements récents de services téléphoniques. Le premier est survenu chez France Télécom en novembre 2004. L’opérateur historique pointe alors du doigt « une anomalie logicielle localisée dans un équipement de traitement de la voix sur IP ».

Le second a touché Free : le 19 mai, près de deux cents appels ont été reroutés vers les numéros d’urgence des pompiers et du Samu. Le FAI évoque un dysfonctionnement provenant d’une « mauvaise configuration logicielle d’un commutateur VoIP ».

Deux exemples qui ne semblent pas être des cas isolés selon les témoignages de lecteurs de ZDNet.fr qui ont constaté des incidents chez d’autres FAI.

La VoIP est-elle une technologie fiable ? Hervé Schauer, consultant en sécurité et fondateur du cabinet HSC (Hervé Schauer Consultants), n’est pas de cet avis.

ZDNet.fr : France Télécom et Free ont subi des dysfonctionnements de leur réseau causés par des équipements défaillants de VoIP. Peut-on dire qu’il y a, d’une manière générale, une problématique de sécurité autour de cette technologie ? Hervé Schauer : Je pense que la VoIP n’est pas une technologie mature et qu’elle pose incontestablement une problématique de sécurité. Avec la VoIP, la téléphonie passe à l’ère informatique. Les équipements utilisent ainsi des systèmes d’exploitation classiques comme Linux ou Windows. Ils s’intègrent au système d’information et s’administrent avec des interfaces web intégrant des scripts. Ils sont donc vulnérables à tous les problèmes que nous connaissons déjà en informatique.

Ceux qui se précipitent sur cette technologie devraient vraiment y réfléchir sérieusement. La VoIP n’est pas équivalente à la téléphonie classique. La signalisation et le transport de la voix sont sur le même réseau et la notion de localisation géographique de l’appelant est donc perdue.

En entreprise ce n’est pas juste "une application en plus" car la VoIP ne permet pas encore l’application d’une politique de sécurité. Le niveau d’authentification est faible. De plus, aucun chiffrement n’est disponible en dehors des solutions propriétaires.

Quelles mesures doit prendre une entreprise souhaitant intégrer un service de VoIP à son système d’information ? Il faut prendre en compte la problématique de sécurité dès l’idée initiale du projet. Elle doit être intégrée lors de sa définition et dans le premier cahier des charges. Ainsi les risques de panne des logiciels sont explicitement prévus dès le départ. Les solutions pour y faire face sont donc déployées en même temps que le projet.

Au-delà des problèmes de fiabilité, les malveillances dont le piratage des communications téléphoniques sont-elles facilitées par la VoIP qui repose majoritairement sur une plate-forme logicielle ? La fraude n’est pas visible dans les pannes de France Télécom et Free. C’est cependant bien là que se situent une grande partie des problèmes liés à la VoIP. Les plates-formes de VoIP sont en effet plus facilement accessibles [que celles du réseau téléphonique traditionnel]. Par exemple, il est possible de falsifier le message d’affichage du numéro renvoyé à l’appelant. Cela ne requiert pas d’être spécialiste de la téléphonie numérique. Ce type d’attaque est accessible à tout informaticien.


Envoyer : Newsletter Imprimer : Imprimer Format PDF : Enregistrer au format PDF PartagerPartager :