Comment se protéger des piratages Télécoms ?
Comment se protéger contre les piratages télécoms ?
Les pirates sont très habiles pour profiter des failles techniques de votre infrastructure Internet & Télécoms. La plupart des pirates informatiques est motivée par le challenge technique et la fierté qu’ils auront à s'introduire sur une infrastructure particulièrement bien protégée. Les pirates Télécoms sont avant tout motivés par les gains financiers.
L'objectif de notre lutte contre le piratage est de faire en sorte que les gains financiers des pirates soient réduits. Si leur action est trop complexe et surtout non-productive, les pirates se démotiveront rapidement.
Afin de se protéger contre le piratage, nous préconisons les différentes actions suivantes :
- Les entreprises doivent restreindre leur capacité d’appels aux seules destinations nécessaires à leur activité. Inutile d'autoriser les appels vers l'Afrique, les Balkans ou les 0899, si votre entreprise n'appelle jamais ces destinations.
- Les entreprises doivent se rapprocher de la société qui gère leur installation téléphonique pour s’assurer de la sécurité mise en place contre le piratage. Les entreprises peuvent notamment demander un audit de sécurité à la société qui gère leur installation téléphonique.
- Les entreprises doivent désactiver les fonctionnalités représentant des menaces en cas de mauvaise utilisation par leurs employés.
- Les entreprises doivent demander à leur opérateur en Télécommunications de fixer des plafonds de consommations mensuels.
- Les entreprises doivent s’assurer que leur police d'assurance les couvre contre le piratage Télécoms.
SOS Piratage vous préconise de respecter des règles de bonne conduite établie ci-dessous, ainsi que de tester la sécurité de votre installation, accès disponible ici.
Les règles de bonne conduite préconisées par SOS Piratage
Afin de protéger les entreprises contre le piratage Télécoms, SOS Piratage engage les acteurs du marché de la Téléphonie ainsi que les entreprises à respecter les différentes règles suivantes.
Ces règles permettent d'endiguer le piratage en réduisant les failles dans les installations et en limitant les conséquences financières.
Nous vous engageons à les appliquer dans les meilleurs délais et à vérifier régulièrement qu'elles sont bien respectées par tous vos interlocuteurs.
Règles de bonne conduite préconisées pour les entreprises utilisatrices
- Les utilisateurs doivent personnaliser les codes d'accès de leurs messageries en utilisant des mots de passes complexes.
- Les entreprises doivent définir avec leur installateur-intégrateur les destinations qu'elles souhaitent pouvoir appeler et demander un paramétrage du PABX/IPBX en conséquence.
- Les entreprises doivent, si possible, souscrire à une police d'assurance intégrant les risques de piratage, fraude, usurpation d’identité, etc.
Règles de bonne conduite préconisées pour les installateurs-intégrateurs de solutions de télécommunications
- Informer régulièrement tous leurs clients sur les risques de piratages et leur préconiser de consulter et respecter les règles définies sur le site www.sos-piratage.com.
- Définir avec leurs clients la liste des destinations d'appels nécessaires à l'entreprise et limiter le plan de numérotation du PABX/IPBX en conséquence.
- Définir un mot de passe complexe pour l'accès aux interfaces d’administration des équipements de téléphonie (Téléphones et PABX/IPBX).
- Si le PABX/IPBX est connecté au réseau Internet pour faciliter la télémaintenance, ou dans le cadre d'une connexion en Voix sur IP (VoIP), l'intégrateur-installateur doit systématiquement veiller à la mise en place d'un pare-feu sécurisé.
Sécurisation technique des flux de téléphonie sur IP
La sécurisation des flux de téléphonie sur IP s'effectue à travers un schéma conceptuel de sécurité qui comprend les dispositifs suivants :
- Cloisonnement par VLAN
- Protection par firewall
- Authentification forte
- IPVPN privé avec l'opérateur
- Attention aux configurations par défaut
- Supervision en temps réel du système
- Mise à jour de sécurité des équipements
Cloisonnement des flux IP de téléphonie par VLAN
L'ensemble des composants du système qui sont connectés au réseau IP, constituant l'infrastructure du réseau, ont la capacité de constitution de VLAN garantissant l'étanchéité des flux.
Le système interdit tout appel en provenance d'un équipement ne faisant pas partie du VLAN dédié à la téléphonie lors de l'installation. Il est possible de permettre au VLAN data de dialoguer avec le VLAN voix mais ceux-ci doivent être explicités minutieusement (IP, port, protocole).
L'administrateur réseau du site dispose de la faculté de reconfigurer l'un ou l'autre de ces VLAN pendant toute la durée de vie du système.
Pare-feu spécifique
Il existe deux types de firewall (Stateless, Statefull) ; l'un étant uniquement basé sur des notions d'IP, de ports et de protocole ; l'autre allant jusqu'à analyser le contenu des trames protocolaires.
Dans la configuration d'un firewall gérant une infrastructure téléphonique sur IP basé sur SIP, vous devez ouvrir certains ports SIP et RTP. Lors de cette ouverture de ports, les IP sources et destinations doivent être systématiquement spécifiées.
Authentification forte
En Téléphonie sur IP, vous devez définir un certain nombre d'identifiants Login/Password (pour un trunk SIP ou pour des comptes utilisateurs).
Lors de la création de ces identifiants, vous devez faire en sorte qu'ils soient très complexes afin d'éviter qu'un éventuel pirate puisse les découvrir et attaquer votre installation :
- Login : Supérieur à 8 caractères alphanumériques
- Password : Supérieur à 12 caractères alphanumériques + caractères spéciaux
Attention aux configurations par défaut
La mise en place de configurations par défaut, très demandées par les administrateurs réseaux, est à double tranchant.
Dans le cadre d’une configuration par défaut, les équipements sont configurés plus rapidement. Cependant, une fonctionnalité non-utilisée peut, dans ce cas, être activée par défaut. L’administrateur réseau ne pense alors pas à sécuriser cette fonctionnalité, ce qui peut bien sûr, créer d'énormes failles de sécurité.
Supervision en temps réel du système
Tout système qu'il soit informatique ou téléphonique (même si celui-ci est très bien sécurisé), peut comporter des failles de sécurité plus ou moins simples à exploiter. Il n'existe pas aujourd'hui de solution garantissant qu'il sera impossible de pirater l’installation.
Dans ce cadre, il existe des systèmes permettant de surveiller votre réseau IP via un protocole nommé SNMP (Simple Network Management Protocol). Ce protocole est implémenté dans tous les équipements qui composent votre réseau. Des logiciels permettant la supervision sont disponibles à l’achat ou en Open Source. La supervision vous permet donc de visualiser toutes les anomalies de comportement de votre réseau.
En soit, la supervision ne fait que vous avertir d'un comportement anormal, elle ne règlera pas de manière automatique les failles. Afin de faire en sorte qu'une réaction automatique ait lieu lors d'une détection d'anomalie, vous devez implémenter un IDS (logiciel de détection d'intrusion). Il en existe de très performant en Open Source.
L’objectif n'est pas d'avoir un système infaillible car cela est quasiment impossible. L’objectif est simplement de rendre l'attaque tellement compliquée et longue que l'attaquant ne souhaitera pas perdre son temps sur une installation très protégée, alors que d'autres, non protégées, sont disponibles.
Mise à jour de sécurité des équipements
Une bonne méthode afin de se prémunir des failles connues sur les équipements est de consulter régulièrement les publications des différents constructeurs ou éditeurs. En effet, quand une faille de sécurité est découverte, une mise à jour de sécurité est rapidement publiée. Dans la majorité des cas, une mise à jour de l’installation est alors nécessaire.