Publié le par Steve Osler

Skype n’est pas sécurisé donc, le conseil de Microsoft est : « Utilisez un VPN pour vous connecter »

Insicurezza informatica

Ce n’est pas forcément vrai. Je viens d’appliquer à Skype l’idée de sécurité quipermet de créer un « Génie de l’Open Source ».

 

 

Laissons de côté Skype et voyons ce qu’il se passe réellement.

Giacomo Brusciati, de l’entreprise Comunica.Meta, est un intégrateur de systèmes téléphoniques qui a déployé environ 2 200 systèmes. Il a tout d’abord commencé avec le RNIS avant de s’attaquer à la VoIP.

Comme tous les jours, Giacomo installe un nouveau PBX. Il se trouve aujourd’hui dans une magnifique ferme qui compte plusieurs sites et il est sur le point de connecter des téléphones IP à distance.

La ferme dispose d’un pare-feu fourni par le « leader des informaticiens italiens » ( téléphonie, pare-feu, CRM, NAS, serveur de fax, antivirus, antispam, téléservice, etc) qui joue la carte du leader de la centralisation. En bref, une gamme complète… que même Cisco n’a pas.

Giacomo envoie un email au fameux leader pour demander que les ports IP du pare-feu soient ouverts pour connecter le SIP / TLS.

Voici la réponse reçue : « Nous ne vous recommandons pas cette pratique car le protocole SIP n’est pas sécurisé ».

Giacomo sait que le fait que leur système soit faible (PBX en open source configuré plus ou moins au hasard) ne signifie pas que les autres le soient aussi et répond : « J’aimerais préciser que notre système est différent d’un système quelconque et, par conséquent, je vous demanderais d’éviter, à chacune de nos demandes, de suciter la PEUR chez vos clients ».

Le « génie de l’Open Source » n’abandonna pas pour autant : « Le protocole SIP est intrinsèquement dangereux, les communications sur le même sujet sont claires, tout comme la voix. »

Giacomo se fâche, il ouvre quand même les ports IP et termine son travail.

Résultat ? Deux jours de travail, cela aurait pu être fait en une heure.

 

Giacomo a-t-il bien fait ?

Ou a-t-il exposé son client à des risques inutiles ?

Le protocole SIP peut-il être sécurisé ?

 

Il est indéniable qu’il existe un SIP sécurisé qui ne soit pas la seule propriété des leaders  Télecoms, ou des « génies de l’Open Source », d’autres en ont aussi la maîtrise. Ils existent et nous ne pouvons pas continuer à les ignorer.

Tous les opérateurs de télécommunications tels que Orange, SFR Business, Bouygues etc. ainsi que tous les fabricants de systèmes VoIP tels que Avaya, Cisco, Shoretel, Mitel, Broadsoft, Unify, Microsoft, Alcatel, etc. utilisent le SIP.

Soit ce sont des criminels et des hypocrites ou alors nos « génies de l’Open Source » ont manqué un élément. Alors pourquoi disent-ils que le SIP n’est pas sécurisé ?

Un compte SIP est protégé par un identifiant de connexion et un mot de passe. La paire typique de login et mot de passe choisie par le « génie Open Source » sont :

1200 / 1200

100 / 1234

203 / 0000

320 / password

 

Comment fonctionne l’attaque organisée contre le système du fameux génie ?

Avec un « mauvais » logiciel gratuit téléchargé sur Internet :

  • Recherche sur Internet l’adresse SIP du serveur PBX
  • Fais des demandes de contact vers différents numéros de poste : 100-101 … 1000-1001 …
  • Réalise des tentatives de connexion avec le numéro d’extension et le mot de passe provenant d’une base de données. D’ailleurs, que contient la base de données ? On passe en revue les « 0000 », « 1234 », « mot de passe » et quelques millions de mots-clés supplémentaires.

De cette manière, vous plantez le système, et même si l’attaque échoue, le désagrément pour le client est considérable : le PBX ralentit (il est occupé à répondre aux demandes d’authentification) et le réseau Internet sature.

Comment le problème peut-il être résolu ?

  1. Faites comme le « génie de l’Open Source », c’est-à-dire installez un PBX non sécurisé, puis cachez-le bien (il est intéressant de savoir à quel point le pare-feu est sécurisé à ce stade)…
  2. Faites comme Giacomo (Orange, Bouygues, etc.) et installez votre propre système SIP sécurisé.

Que fait un PBX SIP sécurisé ? :

  • il génère automatiquement des mots de passe sécurisés et n’accepte pas les mots de passe non sécurisés, même si Giacomo le veut
  • si un logiciel malveillant arrive, l’IP source est bloquée pendant 5 minutes. S’il réessaye, elle le bloquera encore pendant une journée.
  • il a deux niveaux de mot de passe, un pour l’utilisateur et un qui utilise le système pour configurer les téléphones automatiquement. De cette manière, même l’utilisateur ne peut pas communiquer le mot de passe à d’autres personnes.
  • il n’envoie pas les données directement mais utilise les normes de cryptage SIP / TLS (Transport Layer Security) et SRTP (Secure Real-time Transport Protocol) pour sécuriser le protocole SIP

Résultats :

  • le système est sécurisé
  • le client peut communiquer où et comme il veut

 

Mais le « génie de l’Open Source » ne le sait-il pas ?

Le génie n’a fait que télécharger FreePBX gratuitement, l’a appelé VoIPTruz, a modifié l’interface Web en y apposant son logo et en le vendant à des installateurs téléphoniques non confiants. Tous deux n’ont pas la moindre idée de ce qu’ils font aux dépens du client qui n’en a pas conscience.

 

Pourquoi le fait-il ?

Le système, le standard ou le pare-feu, est son cheval de Troie. Ce qui l’intéresse, ce n’est pas de gagner de l’argent en vendant le produit, mais de créer un «partenaire en crise » qui doit chaque jour demander de l’aide pour faire quoi que ce soit.

Siringa droga = assistenza Lorsque vous entrez dans le cercle de l’assistance « à l’heure »,  vous n’en sortez plus.

En d’autres termes, il ne devient pas riche avec 65 euros de l’heure, mais il dépense votre argent de différentes manières pour survivre.

Arrêtez de laisser le «génie de l’Open Source» en service prendre votre argent !

  • Si vous achetez un iPhone6 pour 100 euros, vous achetez un téléphone volé : vous êtes un recelleur.
  • Si vous achetez un standard interne illimité à 1600 euros basé sur FreePBX : vous êtes naïf, vous achetez un produit qui n’existe pas, vous payez des heures d’assistance : la faillite vous attend et ce sera bien mérité.

 

Ce n’est pas votre faute dans les deux cas, mais vous devez être un peu plus prudent et réfléchir à cet investissement capital pour votre entreprise.

Si vous voulez quand même tenter votre chance avec l’Open Source, c’est génial, téléchargez FreePBX et essayez-le à la maison, pas au bureau, ni par le biais des clients. Vous n’avez pas besoin d’un VoIPTruz qui vous facture pour résoudre les problèmes qu’ils ont eux-même créés.

Cela me fait vraiment mal de voir Giacomo souffrir de cette concurrence qui n’a pas lieu d’être.

Contrairement à vous, le client qui regarde d’abord le prix, Giacomo est responsable. Il assume les conséquences de ses actes et ne les renvoie pas sur ses clients, c’est pourquoi il choisit des produits offrant les mêmes garanties.

La différence entre vous et Giacomo ?

Giacomo a démarré seul et se retrouve aujourd’hui à la tête d’une belle entreprise.

Vous avez commencé avec une belle entreprise et en travaillant avec VoIPTruz, vous vous retrouverez à travailler seul.

Giacomo felice per una delle sue installazioni. Giacomo et l’une de ses 2 000 installations.

 

Merci à ceux qui commenteront.

Steve Osler

Social Sharing
       

Laisser un commentaire

Fièrement propulsé par WordPress