Hervé Schauer, expert en sécurité: «La VoIP n'est pas mature et pose une problématique de sécurité»
Free et France Télécom ont subi récemment des incidents sur leurs réseaux causés par des dysfonctionnements de leurs services de VoIP. Pour Hervé Schauer, ces incidents illustrent le manque de maturité de cette technologie.
Opérateurs télécoms et fournisseurs d'accès multiplient les offres de téléphonie par internet ou voix sur IP (VoIP), une technologie qui est à l'origine de deux dysfonctionnements récents de services téléphoniques. Le premier est survenu chez France Télécom en novembre 2004. L'opérateur historique pointe alors du doigt «une anomalie logicielle localisée dans un équipement de traitement de la voix sur IP».
Le second a touché Free: le 19 mai, près de deux cents appels ont été reroutés vers les numéros d'urgence des pompiers et du Samu. Le FAI évoque un dysfonctionnement provenant d'une «mauvaise configuration logicielle d'un commutateur VoIP».
Deux exemples qui ne semblent pas être des cas isolés selon les témoignages de lecteurs de ZDNet.fr qui ont constaté des incidents chez d'autres FAI.
La VoIP est-elle une technologie fiable? Hervé Schauer, consultant en sécurité et fondateur du cabinet HSC (Hervé Schauer Consultants), n'est pas de cet avis.
ZDNet;fr: France Télécom et Free ont subi des dysfonctionnements de leur réseau causés par des équipements défaillants de VoIP. Peut-on dire qu'il y a, d'une manière générale, une problématique de sécurité autour de cette technologie?
Hervé Schauer: Je pense que la VoIP n'est pas une technologie mature et qu'elle pose incontestablement une problématique de sécurité. Avec la VoIP, la téléphonie passe à l'ère informatique. Les équipements utilisent ainsi des systèmes d'exploitation classiques comme Linux ou Windows. Ils s'intègrent au système d'information et s'administrent avec des interfaces web intégrant des scripts. Ils sont donc vulnérables à tous les problèmes que nous connaissons déjà en informatique.
Ceux qui se précipitent sur cette technologie devraient vraiment y réfléchir sérieusement. La VoIP n'est pas équivalente à la téléphonie classique. La signalisation et le transport de la voix sont sur le même réseau et la notion de localisation géographique de l'appelant est donc perdue.
En entreprise ce n'est pas juste "une application en plus" car la VoIP ne permet pas encore l'application d'une politique de sécurité. Le niveau d'authentification est faible. De plus, aucun chiffrement n'est disponible en dehors des solutions propriétaires.
Quelles mesures doit prendre une entreprise souhaitant intégrer un service de VoIP à son système d'information?
Il faut prendre en compte la problématique de sécurité dès l'idée initiale du projet. Elle doit être intégrée lors de sa définition et dans le premier cahier des charges. Ainsi les risques de panne des logiciels sont explicitement prévus dès le départ. Les solutions pour y faire face sont donc déployées en même temps que le projet.
Au-delà des problèmes de fiabilité, les malveillances dont le piratage des communications téléphoniques sont-elles facilitées par la VoIP qui repose majoritairement sur une plate-forme logicielle?
La fraude n'est pas visible dans les pannes de France Télécom et Free. C'est cependant bien là que se situent une grande partie des problèmes liés à la VoIP. Les plates-formes de VoIP sont en effet plus facilement accessibles [que celles du réseau téléphonique traditionnel]. Par exemple, il est possible de falsifier le message d'affichage du numéro renvoyé à l'appelant. Cela ne requiert pas d'être spécialiste de la téléphonie numérique. Ce type d'attaque est accessible à tout informaticien.
Source: "Zdnet" du 30/05/2005.
La VOIP est-elle sûre ?
-
Ludovic Oliver
- Messages : 466
- Enregistré le : mer. 09 févr. 2005, 01:31
- Localisation : Paris
-
Jacques
- Messages : 1505
- Enregistré le : mer. 08 oct. 2003, 23:44
- Localisation : Ex-Noos (Numéricâble). Ex-Free, maintenant offre Ideo (Bouygues) Paris 12è-Picpus
La réponse est non pour ce qui est du cas général.
Pour mémoire, je rappelle ci-dessous les termes d' un article paru dans le "Wall Street Journal" en février :
"Un groupement de plus de 20 entreprises et organismes technologiques vient d'être constitué afin de protéger les services émergents de téléphonie sur protocole Internet (IP), des pirates, virus et autres attaques informatiques. Ces services sont de plus en plus populaires en raison de leur faible coût, mais sont vulnérables aux attaques au même titre que les services connectés à Internet. Le groupement, baptisé "VOIP Security Alliance" (VOIPSA), réunit des équipementiers tels que 3Com, Alcatel et Siemens, et des spécialistes de la sécurité informatique tels que Symantec. Leur but est de rendre la téléphonie sur IP aussi sécurisée et fiable que les services de téléphonie traditionnels."
Mais Noos affime avoir sécurisé son service Noos Tel.
A suivre...
Pour mémoire, je rappelle ci-dessous les termes d' un article paru dans le "Wall Street Journal" en février :
"Un groupement de plus de 20 entreprises et organismes technologiques vient d'être constitué afin de protéger les services émergents de téléphonie sur protocole Internet (IP), des pirates, virus et autres attaques informatiques. Ces services sont de plus en plus populaires en raison de leur faible coût, mais sont vulnérables aux attaques au même titre que les services connectés à Internet. Le groupement, baptisé "VOIP Security Alliance" (VOIPSA), réunit des équipementiers tels que 3Com, Alcatel et Siemens, et des spécialistes de la sécurité informatique tels que Symantec. Leur but est de rendre la téléphonie sur IP aussi sécurisée et fiable que les services de téléphonie traditionnels."
Mais Noos affime avoir sécurisé son service Noos Tel.
A suivre...