Demandes de fonctionnalités & vous : De nouvelles capacités pour plus de ventes

Feature Requests & You: New Capabilities for More Sales
Gagner des marchés sur le marché actuel demande beaucoup d’efforts, comme tout MSP peut vous le dire. Les clients ont tous des besoins commerciaux spécifiques, et pour leur vendre un système UCC, il est vital pour les partenaires de savoir comment résoudre ces problèmes particuliers.
Continuer la lecture de « Demandes de fonctionnalités & vous : De nouvelles capacités pour plus de ventes »

Vos téléphones de bureau sont-ils écoutés ?

Les vulnérabilités de Yealink démontrent qu’en UCC, la sécurité est importante

Yealink vulnerabilities show how that in UCC, security matters

Pour le meilleur ou pour le pire, la collecte de données est une chose à laquelle beaucoup d’entre nous se sont habitués. Qu’il s’agisse de cookies sur les pages Web ou de suivi des termes de recherche, notre activité sur Internet est surveillée dans une certaine mesure, au point d’être acceptée par tous.

Cela dit, même si nous sommes habitués à ce niveau de suivi sur le Web, nous serions choqués d’apprendre qu’un suivi similaire est effectué sur les systèmes téléphoniques d’entreprise. Après tout, il est très inhabituel que les téléphones de bureau recueillent activement des données sur nous, notamment parce que, dans la plupart des entreprises, les appels vocaux sont le lieu d’échange de connaissances très confidentielles.

Que se passe-t-il s’il s’avère que votre système téléphonique permet de vous écouter activement ? 

Pire encore, que se passe-t-il si vous ne pouvez même pas savoir avec certitude qui se trouve à l’autre bout de la ligne ?

Préoccupations sur la sécurité de Yealink

Ces questions sont d’autant plus pertinentes pour les propriétaires d’entreprises qu’un rapport troublant concernant les téléphones du fournisseur chinois Yealink, notamment ses appareils T54W, a suscité des inquiétudes quant à la confidentialité et à la sécurité du matériel de l’entreprise.

Le 28 septembre de l’année dernière, le sénateur américain Chris Van Hollen (D-Md) a adressé une lettre au ministère américain du commerce faisant référence à un rapport réalisé par la société de conseil Chain Security. Dans ce rapport, Chain Security a relevé de nombreuses failles de sécurité dans les appareils Yealink, ainsi que de nombreuses fonctionnalités qui semblent recueillir intentionnellement les données des clients.

Plus inquiétant encore, le rapport de Chain Security conclut qu’il est « fort probable » que Yealink partage les informations de ses clients directement avec le gouvernement chinois, notamment par le biais de son hardware.

Cette collecte de données semble se produire principalement par la façon dont les téléphones Yealink s’interfacent avec les réseaux et les PC des entreprises. En effet, les appareils Yealink utilisent une plateforme de gestion des appareils (DMP) pour se connecter aux programmes exécutés sur le PC. Dans la plupart des cas, cela est parfaitement normal pour la grande majorité du hardware VoIP qui se connecte à un système basé sur un PC.

Ce qui est beaucoup moins normal, et même carrément alarmant, c’est le fait que le DMP (Data Management Plateform) de Yealink est alors capable d’enregistrer les appels vocaux et même de suivre l’historique web sur ce PC connecté – dans les deux cas à l’insu de l’utilisateur final.

Composants potentiels de Tracking

Selon le rapport de Chain Security, le DMP de Yealink « collecte et conserve l’IP du réseau étendu » de l’appareil de l’utilisateur final et peut enregistrer tout le trafic Web des appareils qui y sont connectés. Cela s’ajoute à la manière dont le DMP collecte les enregistrements d’appels effectués soit sur le téléphone, soit sur les appareils qui y sont connectés.

Tout cela mérite d’être souligné, notamment parce que le DMP de Yealink peut être exploité par un employé à distance de Yealink, qui peut utiliser la plateforme pour accéder à toutes les données collectées, qu’il s’agisse d’adresses IP, de trafic web ou d’enregistrements d’appels complets.

Plus inquiétant encore, en utilisant le DMP de Yealink, les employés à distance de Yealink peuvent activer l’enregistrement d’un appel actif  à volonté et conserver l’enregistrement par la suite.

Cet accès ne semble pas non plus être utilisé par Yealink de manière occasionnelle. Chain Security note également que pendant les « opérations normales », les téléphones Yealink communiquent avec les serveurs AliCloud contrôlés par la Chine, ce qui suggère un contrôle et une interception potentiels du type décrit ci-dessus.

Métaphoriquement parlant, il ne s’agit peut-être pas d’un véritable incendie, mais l’activité de surveillance combinée au contact avec le serveur fait certainement beaucoup de fumée. (Les choses deviennent encore plus suspectes si l’on considère les liens directs et établis de longue date de Yealink avec le gouvernement chinois et leur partage continu de données, rapporte également Chain Security).

Problèmes de sécurité plus généraux

Au-delà de ces problèmes, les appareils Yealink en question semblent présenter des failles de sécurité tout simplement évidentes, susceptibles de compromettre l’ensemble du serveur d’une entreprise. 

Chain Security souligne que les téléphones Yealink sont « préconfigurés pour accepter les informations d’identification pour la connexion et l’accès à l’appareil de 187 autorités de certification numérique « de confiance ». » En d’autres termes, totalement inconnus de l’utilisateur final, les appareils Yealink peuvent être accessibles par un nombre incroyable d’entités supplémentaires, ce qui signifie que si l’un de ces utilisateurs est compromis, il aura facilement accès aux réseaux des utilisateurs finaux de Yealink. 

Mais les hackers n’ont peut-être même pas besoin d’être une autorité « de confiance » de toute façon. L’accès inconnu à l’appareil est rendu encore plus difficile par son incapacité à se protéger contre les tentatives de connexion par brute force, ce qui signifie que les hackers sont tout à fait capables d’y accéder simplement en devinant les combinaisons nom d’utilisateur/mot de passe.

Comme si ces facteurs n’étaient pas suffisants, les appareils Yealink ne disposent pas de signatures numériques standard pour authentifier les modifications valides du micrologiciel. Par conséquent, si des acteurs externes obtiennent l’accès aux téléphones, ils peuvent instantanément écraser le logiciel actuel sur ceux-ci, à condition que le nouveau firmware soit compatible avec le matériel.

Cela signifie qu’un hacker peut facilement installer un micrologiciel qui surveille non seulement ce qui est enregistré sur le téléphone Yealink (en utilisant la collecte de données susmentionnée qu’il effectue), mais également l’activité sur l’ensemble du réseau de l’entreprise.

La ligne de fond des appareils Yealink

Nous nous retrouvons donc avec un téléphone capable d’enregistrer les appels, l’adresse IP et l’activité web – à tout moment et à l’insu de l’utilisateur final – et de communiquer ces données ailleurs. 

S’il est facile, voire proactif, de supposer que les données aboutiront chez Yealink ou même au gouvernement chinois, il est tout aussi possible que des agents totalement inconnus puissent exploiter les vulnérabilités de ces téléphones à leurs propres fins. Dans tous les cas, le résultat est loin d’être souhaitable pour toute entreprise.

De l’avis général, même à une époque où la collecte de données est prévisible, l’architecture de sécurité des téléphones Yealink permet une surveillance beaucoup plus importante que ce qu’une entreprise devrait accepter.

Des conclusions importantes

Bien que cela doit certainement servir d’avertissement pour toute personne intéressée par les téléphones Yealink en particulier, nous pouvons également tirer des conclusions plus larges en matière de sécurité.

Il faut d’abord noter qu’il serait ridicule d’utiliser cet exemple pour jeter le doute sur tout le hardware produit en Chine ; après tout, un très grand nombre d’appareils sont produits en Chine et sont loin de présenter ces problèmes.

Les questions les plus importantes sont celles de la sécurité et de la confiance en général. Comme le montre cet exemple, le matériel de communication a un potentiel incroyable d’intrusion dans votre vie privée, jusqu’à agir comme un dispositif de surveillance secret sur votre bureau.

Pour assurer votre sécurité, il est essentiel que vous puissiez faire confiance au fabricant des appareils VoIP. Le fournisseur doit être en mesure de démontrer non seulement l’efficacité de ses mesures de sécurité, mais aussi sa volonté de renoncer à son propre contrôle des appareils en dehors de l’application des mises à jour logicielles nécessaires.

Lorsque vous envisagez de faire appel à un nouveau fournisseur, il y a donc de nombreuses questions importantes à poser : par exemple, que vous dit votre fournisseur sur les paramètres de sécurité de son matériel ? Quel rôle le fournisseur joue-t-il dans la gestion de l’appareil après sa commercialisation ? Quels liens votre fournisseur entretient-il avec d’autres entités qui pourraient vouloir obtenir des informations sur votre entreprise ?

Avant tout, si un fournisseur conserve des éléments tels que l’accès permanent au DMP, il faut immédiatement tirer la sonnette d’alarme. Les capacités de contrôle à distance de cette manière sont, au mieux, une mauvaise conception de la sécurité, au pire, des tentatives actives d’exploration des données. 

Pour assurer la sécurité totale de votre entreprise, il est essentiel de peser ces facteurs comme tous les autres points de sécurité. Si vous ne pouvez pas faire confiance à votre fournisseur pour protéger votre vie privée, à quoi sert-il en tant que partenaire technologique ? Et s’il est évident qu’il partage des données avec un gouvernement impliqué dans la guerre de l’information, la situation devient encore plus problématique.

Lorsque vous évaluez vos options en matière de hardware ne vous contentez donc pas de considérer la sécurité en termes généraux. Il est tout aussi important de se demander dans quelle mesure vous pouvez faire confiance au fournisseur pour assurer votre sécurité ou, plus important encore, si le fournisseur lui-même constitue une menace potentielle pour la sécurité.

Pour voir comment Wildix conçoit la sécurité dans ses systèmes UCC, consultez notre livre blanc gratuit.

Pour plus de mises à jour sur la sécurité dans l’industrie UCC, abonnez-vous pour recevoir notre magazine gratuitement !

Cyberattaques russes : Les risques de sécurité les plus secrets, dévoilés

russia-based cyberattackers

Aujourd’hui, la course aux armements a migré des meilleurs moyens de créer des bombes toujours plus dangereuses aux meilleurs moyens de contourner la sécurité numérique. Cependant, comme dans le cas de la course au nucléaire, l’un des principaux adversaires est la Russie, dont les efforts pour infiltrer les bases de données numériques se sont étendus à tous les domaines, des organisations politiques aux centrales électriques, tout en se révélant aussi efficaces qu’insaisissables.

Pourtant, les services de renseignement gouvernementaux du monde entier ont été en mesure de suivre et d’identifier bon nombre de ces menaces d’origine russe. Ce faisant, ces agences ont découvert à la fois l’identité de ces groupes et leurs méthodologies les plus courantes en matière de cyberattaques.

Maintenant que la Russie a fait des incursions physiques dans le monde, on ne peut sous-estimer à quel point il est vital pour les experts en communications numériques de comprendre comment ces groupes opèrent. Pour assurer votre sécurité, il est d’autant plus important que vous connaissiez les menaces qui pèsent sur vous.

Snake

Snake, l’une des principales figures de la galerie des escrocs numériques basée en Russie, est un collectif de hackers informatiques qui serait en activité depuis 2004. L’association est considérée par l’Office fédéral allemand pour la protection de la Constitution (BfV) comme « le Saint Graal de l’espionnage » et se voit attribuer le plus haut rang possible dans l’indice des menaces persistantes avancées (APT).

La première attaque connue de Snake a été menée en décembre 2017, lorsque des logiciels malveillants infectant le ministère allemand des Affaires étrangères ont commencé à commander à leurs ordinateurs de contacter des sites Web usurpés. Snake a ainsi pu collecter des données sur les serveurs du ministère et accéder à des documents classifiés.

Heureusement pour les enquêteurs, les cyberattaquants ont toutefois laissé deux noms d’utilisateurs dans les bases de données piratées : « Vlad » et « Urik », qui, malgré leur imprécision, se sont révélés être une piste suffisante pour remonter jusqu’à la société russe Center-Inform. Center-Inform ayant des liens connus avec le Service fédéral de sécurité russe (FSB), les services de renseignement du monde entier ont largement conclu que Snake opère en tant que groupe de cyberattaques parrainé par l’État russe.

Le BfV allemand et l’agence canadienne de renseignement électromagnétique CSE qualifient la conception du malware créé par Snake de « géniale ». Ces éloges s’expliquent principalement par l’efficacité du logiciel malveillant à mener de véritables cyberattaques : une fois qu’il a infecté un ordinateur, il ne faut que très peu d’efforts ou d’expertise à un hacker pour l’utiliser à des fins de collecte illicite de données.

Bien sûr, ce n’est le cas que si les appareils sont infectés, mais comme le montrent d’autres exemples, l’infection initiale ne résulte pas toujours d’une entrée forcée dans les systèmes.

Fancy Bear

Si vous avez prêté beaucoup d’attention à la politique américaine vers 2016, ce nom vous est peut-être déjà familier. Fancy Bear, également connu sous le nom d’APT28 ou Sofacy, a explosé dans le grand public après avoir été lié aux cyberattaques menées sur la campagne présidentielle d’Hillary Clinton, le Comité national démocrate et le Comité de campagne du Congrès démocrate en 2016. Toutefois, le groupe serait responsable d’autres attaques menées entre 2014 et 2018 sur des entités de premier plan, notamment l’Agence mondiale antidopage, l’Organisation pour l’interdiction des armes chimiques et le Laboratoire suisse de chimie de Spiez.

Les cibles de Fancy Bear ne se limitent pas aux États-Unis et à l’Europe occidentale – ni même aux organisations. Parmi les autres victimes notables des cyberattaques du groupe figurent des journalistes de Russie, d’Ukraine et de Moldavie qui ont écrit des articles critiques sur Vladimir Poutine. Entre 2014 et 2016, au milieu des incursions russes en Ukraine et en Crimée, des cyberattaques associées au Fancy Bear ont même touché des unités d’artillerie ukrainiennes et les ont rendues inopérantes.

Les cibles de Fancy Bear étant en grande partie celles des intérêts de l’État russe, il est facile de supposer qu’elles sont associées au Kremlin. Mais de manière plus définitive, les enquêtes menées par la société de cybersécurité CrowdStrike, le Foreign and Commonwealth Office du Royaume-Uni et le US Special Counsel ont établi un lien entre Fancy Bear et le gouvernement russe et l’agence de renseignement russe GRU.

Ce qui distingue Fancy Bear des autres cyberattaquants, c’est sa méthodologie. Le groupe obtient généralement ses données non pas par infiltration forcée, mais par ingénierie sociale : Il crée des sites Web qui incitent les utilisateurs à saisir des données confidentielles, et nombre de ses campagnes sont le résultat de communications qui incitent les destinataires à fournir des identifiants de connexion (ce que l’on appelle le « phishing » ou, dans le cas du ciblage d’une personne ou d’un compte important, le « spear phishing »). Une fois que les cibles cliquent sur ces sites Web ou saisissent leurs informations d’identification, Fancy Bear infecte un appareil avec un logiciel qui collecte illicitement des données à partir de l’appareil lui-même et du réseau adjacent.

Fancy Bear est assez efficace dans son action, et est même capable de mener plusieurs campagnes de piratage simultanément. Cependant, il est loin d’être le seul groupe associé à la Russie à utiliser de telles techniques.

Cozy Bear

Une autre entité liée à la Russie et connue pour faire un usage intensif du phishing est Cozy Bear, également appelée APT29 ou The Dukes. En activité depuis au moins 2008, Cozy Bear est soupçonné d’être associé au Service de renseignement extérieur (SVR) de la Russie et cible les réseaux gouvernementaux de toute l’Europe, en particulier les pays membres de l’OTAN. Parmi les autres cibles du groupe figurent des groupes de réflexion et, semble-t-il, le Comité national démocrate aux États-Unis.

La cyberattaque la plus percutante de Cozy Bear a eu lieu en 2020 avec la violation massive des données de SolarWinds. SolarWinds, une entreprise de technologie aux États-Unis, a été secrètement infiltrée par des affiliés de Cozy Bear pour implanter un logiciel malveillant de collecte de données dans le système principal de l’entreprise. Ce piratage s’est rapidement propagé à des milliers d’autres victimes, car SolarWinds a distribué sans le savoir le code modifié par le biais d’une mise à jour de correctif – transmettant l’exploit à des clients importants, dont Microsoft, Intel et le ministère américain de la défense.

Comme Fancy Bear, Cozy Bear utilise le spear-phishing comme principal moyen de pénétrer dans les systèmes, avec d’énormes campagnes visant à solliciter des informations d’identification auprès de personnalités importantes des organisations ciblées. Le groupe est également connu pour sa persistance tenace dans ces efforts et lance généralement de nouveaux efforts contre des cibles établies si l’accès est bloqué.

Sandworm

Bien que ce groupe soit souvent connu sous son nom de référence aux Dunes, il est également appelé Voodoo Bear dans certains cercles (apparemment, une personne dans le domaine de la cybersécurité apprécie beaucoup une convention de dénomination ursine). Mais quel que soit le nom donné au groupe, Sandworm fait partie des cyberattaquants liés à la Russie les plus tristement célèbres.

Apparemment associé au GRU, le groupe a mené la cyberattaque la plus vaste de l’histoire avec ses attaques de logiciels malveillants NotPetya, qui, en 2017, ont touché simultanément la France, l’Allemagne, l’Italie, la Pologne, le Royaume-Uni, les États-Unis et surtout l’Ukraine, coûtant aux victimes un total de 10 milliards de dollars de dommages.

Dans le cadre d’efforts plus récents, Sandworm a développé un logiciel malveillant appelé Cyclops Blink, que des agents malveillants ont placé sur des appareils réseau produits par le fournisseur de sécurité informatique Watchguard. Selon les agences de renseignement américaines, Cyclops Blink est probablement le successeur du programme VPNFilter de Sandworm. Quelques années auparavant, VPNFilter avait infecté des routeurs de réseau et s’était propagé à un demi-million de machines, les transformant en un botnet mondial contrôlé par Sandworm et, par extension, par le GRU.

Mais quel était l’objectif ultime de VPNFilter ? Ou encore de Cyclops Blink ? Il est inquiétant de constater que nous ne le savons pas vraiment. S’il est probable que Sandworm ait installé ce malware à des fins de surveillance, il est tout aussi possible qu’il mette en place une infrastructure numérique pour des communications secrètes en provenance de Russie. De même, la raison pourrait être de jeter les bases d’une perturbation massive des réseaux affectés – il est bon de se rappeler, après tout, que Sandworm a pu mettre hors service des parties importantes du réseau électrique de l’Ukraine en 2015.

La bonne nouvelle est que, dans le cas de Cyclops Blink, Watchguard a réussi à patcher la vulnérabilité utilisée par Sandworm pour entrer dans le système, et les utilisateurs peuvent effacer le malware en effaçant leurs machines et en réinstallant le logiciel. Toutefois, cet exemple montre que le matériel personnel peut devenir un outil involontaire pour les cyberattaques.

Meilleures pratiques et ce qu’il faut retenir

Aussi obscurs et imparables que ces groupes veuillent être perçus, il n’en reste pas moins qu’aucune de leurs méthodologies ne constitue un moyen d’accès garanti. Même lorsque des cyberattaquants chevronnés se cachent en ligne, une combinaison de bonnes pratiques de sécurité et de logiciels intelligemment conçus vous permettra de rester en sécurité.

La principale de ces bonnes pratiques consiste à se renseigner sur les tentatives de phishing. Cela signifie qu’il ne faut pas cliquer sur les liens suspects, ne pas répondre aux emails de spam et ne jamais répondre aux messages contenant vos informations de connexion ou de récupération de compte. En évitant les sites et les fichiers douteux, vous vous protégez relativement bien, mais vous devriez également envisager de sécuriser davantage les comptes importants avec une authentification à deux facteurs ou une authentification unique.

En termes d’infrastructure système, le passage du matériel sur site au cloud offre également une protection en ligne nettement améliorée. Pensez au nombre de fois où les cyberattaquants ont utilisé des logiciels malveillants et des exploits dans le matériel pour mener à bien leurs efforts : lorsqu’un système passe au cloud, ce risque est largement atténué, à la fois parce que les vulnérabilités sont corrigées dès que le correctif associé est déployé et parce qu’il n’y a plus de  » matériel  » traditionnel à infecter.

D’une manière plus générale, bien sûr, il est toujours utile d’utiliser un système qui utilise lui-même des protocoles de sécurité intelligents. En ce qui concerne les communications numériques, Wildix se distingue par une structure entièrement sécure by design, grâce à une combinaison de technologies qui protègent les utilisateurs contre les infiltrations et les écoutes sans VPN, SBC ou autres ajouts. Vous pouvez en savoir plus sur les pratiques de sécurité de Wildix dans notre livre blanc gratuit.

Quelle que soit la manière dont vous choisissez d’opérer, il n’a jamais été aussi crucial de le faire en toute sécurité. Alors que la Russie empiète sur l’Ukraine, il est probable qu’elle relancera ses cyberattaques avec une force renouvelée – et qu’elle associera probablement du matériel étranger à ses efforts. Si vous cherchez un moyen de lutter contre ces efforts de guerre, vous pouvez commencer par comprendre les méthodes de cyberattaque les plus courantes de la Russie et protéger vos appareils contre elles.

Pour plus de conseils sur la cybersécurité et la sécurité numérique, abonnez-vous pour recevoir gratuitement notre magazine !

Le WebRTC, une composante essentielle de la VoIP et de l’UCC

Pourquoi votre système de communication a-t-il besoin de cette technologie web essentielle ?

WebRTC, a Critical Component of VoIP and UCC
L’efficacité de toute solution de collaboration et de communications unifiées dépend des éléments qui la composent. En tant que principal canal de données de votre organisation vers vos clients et collègues, votre système VoIP doit disposer de composants technologiques intelligents pour fonctionner de manière sûre et efficace. Continuer la lecture de « Le WebRTC, une composante essentielle de la VoIP et de l’UCC »

À quoi devrait ressembler une transition vers les communications en cloud ?

What Should a Transition to Cloud Communications Look Like?

Feuille de route de votre migration

Souvent, un obstacle à la planification complète de la transformation numérique est que l’explication d’une transition vers le Cloud est trop abstraite. Bien que vous reconnaissiez la flexibilité et la rentabilité de l’utilisation du Cloud, il n’est peut-être pas évident de savoir comment commencer simplement à tracer le processus de migration. Continuer la lecture de « À quoi devrait ressembler une transition vers les communications en cloud ? »