Les cybermenaces se présentent sous toutes les formes et tailles, qu’il s’agisse d’individus cherchant à escroquer quelqu’un à petite échelle ou de divisions de cyberguerre parrainées par des États qui ont l’intention de perturber la vie dans le monde occidental. Les MSP jouent un rôle essentiel dans la protection des entreprises contre ces menaces, en particulier dans le domaine des communications. Après tout, si la sécurité de votre VoIP est compromise, cela signifie que les attaquants ont accès à toutes vos communications.
Les téléphones VoIP sont-ils sûrs ?
Cela dépend des systèmes de votre fournisseur. De nombreux téléphones VoIP sont fonctionnellement sécurisés, c’est-à-dire qu’ils sont régulièrement mis à jour et qu’il est difficile de s’y introduire. Cependant, la question « les téléphones VoIP sont-ils sécurisés ? » est délicate car ils dépendent de nombreux autres aspects de votre système VoIP. Examinons donc les formes courantes de cyberattaque ci-dessous pour avoir une idée du degré de sécurité des téléphones VoIP.
Formes courantes de cyberattaques
Différentes formes de sécurité de la VoIP sont efficaces contre différentes formes de cyberattaques, il est donc essentiel de comprendre comment les spécialistes de la sécurité perçoivent les vulnérabilités d’un système. En général, vous pouvez vous concentrer sur l’un des domaines fondamentaux d’un système VoIP.
- Matériel
- Logiciel
- L’homme
Matériel VoIP
En ce qui concerne le matériel VoIP, il s’agit des téléphones VoIP eux-mêmes et de tout ce qui s’y rattache. Un système VoIP sécurisé garantit que les données envoyées par le téléphone sont cryptées du début à la fin et que le téléphone utilise un micrologiciel à jour. Mais cela ne s’arrête pas là. Tous les liens intermédiaires doivent également être sécurisés.
Cela signifie qu’un système VoIP sécurisé doit tenir compte du routeur, du pare-feu, des serveurs par lesquels les données transitent et de l’appareil final. Les MSP ne peuvent pas contrôler l’appareil final (sauf s’il est interne ou s’il s’agit d’un de leurs propres clients), mais ils peuvent créer un système VoIP sécurisé qui donne à chacun les meilleures chances de réussite.
Malheureusement, le développement de l’internet des objets a montré qu’il est relativement facile de saper la sécurité du matériel, notamment des routeurs et des caméras. Même les appareils de cuisine connectés, tels que les machines à café intelligentes, peuvent être utilisés comme point d’entrée dans un réseau ou pour envoyer des données malveillantes, car le micrologiciel de ces appareils est rarement mis à jour.
Bien que la sécurité de la VoIP fasse l’objet d’un peu plus d’attention, tout ce travail peut être anéanti par un matériel compromis ailleurs dans le réseau. C’est pourquoi vous avez besoin d’une solution entièrement cryptée.
Logiciel VoIP
En général, le matériel est plus facile à pirater car il est souvent obsolète. Les logiciels, en revanche, devraient être constamment mis à jour… mais ce n’est évidemment pas le cas.
Il arrive parfois que des entreprises abandonnent des logiciels, qui deviennent alors progressivement de moins en moins sûrs. La sécurité par l’obscurité n’est pas une chose sur laquelle une entreprise devrait compter. Un téléphone VoIP sécurisé, c’est bien, mais si le logiciel par lequel il transmet ses messages a été compromis (quel que soit le côté où cela se produit), il ne restera pas sécurisé.
Les MSP peuvent toujours contrôler les logiciels utilisés par leurs clients, généralement en sélectionnant bien les fournisseurs et en veillant à ce que tout ce qui est en fin de vie soit mis à niveau vers la meilleure version. C’est pourquoi le logiciel en tant que service est si important : il garantit que le logiciel reste toujours à jour, et pas seulement pendant la première année. C’est pourquoi une bonne sécurité PBX commence par un client logiciel sécurisé et mis à jour qui inclut les appels vocaux cryptés, ainsi que la vidéo et les données.
Erreur humaine
Malheureusement, vous pouvez acheter le meilleur téléphone VoIP que vous puissiez vous offrir, obtenir le système VoIP le plus sûr, et tout peut être réduit à néant si les humains de la chaîne sont victimes d’une escroquerie par hameçonnage.
Les escrocs tentent souvent d’obtenir des informations d’identification par le biais d’e-mails apparemment légitimes et, bien que les systèmes anti-spam parviennent à en éliminer un grand nombre, ils ne sont pas parfaits. Un bon système de sécurité informatique doit limiter autant que possible les informations, de sorte que même si quelqu’un est compromis, il ne puisse pas faire trop de dégâts.
Cela inclut l’accès à votre système VoIP. Une bonne sécurité du réseau VoIP implique bien sûr de tenir compte de l’élément humain, par exemple en utilisant 2FA/MFA pour réduire les risques liés aux mots de passe, en veillant à ce que les dispositifs tiers soient réduits au minimum grâce à l’utilisation d’un SBC intégré et en salant et hachant les mots de passe stockés. Mais une bonne sécurité des réseaux VoIP implique également de former votre personnel à repérer les signes d’ingénierie sociale, de l’encourager à signaler les failles potentielles (même s’il les a causées) et de s’assurer qu’il peut remettre en question des courriels ou des conversations apparemment légitimes qui semblent présenter un risque de faille de sécurité (par exemple, si quelqu’un demande des informations d’identification à un utilisateur).
Il est également essentiel de restreindre l’accès aux personnes qui n’en ont pas besoin, même si elles pensent en avoir besoin. Par exemple, il est courant que les entreprises fournissent des informations d’identification de haut niveau aux PDG et à d’autres cadres supérieurs, même s’ils n’en ont pas besoin. Cette pratique peut fortement compromettre la sécurité, car les PDG ont de l’autorité et peuvent donner des ordres qui ne sont pas toujours remis en question. En outre, ils disposent souvent des informations les plus publiques à leur sujet.
Attaques combinées
La plupart des cyberattaques qui causent des dommages utilisent un mélange de méthodes, bien sûr.
Comme nous l’avons vu avec l’attaque de 3CX en 2023, le point de faiblesse initial était qu’un développeur de l’entreprise avait téléchargé un logiciel qui avait été compromis — une erreur humaine. Le développeur a ensuite travaillé sur des projets pendant que les attaquants commençaient à insérer du code malveillant dans le logiciel, créant ainsi un logiciel compromis. L’assurance qualité du logiciel n’a pas détecté le code compromis, pour une raison quelconque, et le résultat a été mis en production. Des milliers d’utilisateurs ont téléchargé le logiciel compromis, ce qui leur a causé beaucoup de stress et d’inquiétude en raison de cette défaillance de la sécurité du PBX.
Pire encore, certains clients ont accusé leur MSP d’être à l’origine de la faille de sécurité, et nombre d’entre eux ont dû se démener pour atténuer les retombées de l’incident.
Les retombées des téléphones Yealink, dont certains envoyaient apparemment des données à des serveurs chinois, ont été moins médiatisées. Il s’agit là d’un exemple de matériel potentiellement compromis. Il est difficile de savoir avec certitude si la sécurité de la VoIP sur ces téléphones était réellement compromise, mais cela n’a pas été une bonne nouvelle pour Yealink. Des questions ont été soulevées au Congrès américain, demandant à savoir si les appels des départements américains étaient interceptés.
Presque aussi mauvais, l’accord de licence pour l’utilisateur final obligeait les utilisateurs à accepter la loi chinoise, de sorte qu’il y avait très peu de recours en cas de problème pour une entreprise ou un gouvernement.
Le matériel compromis peut potentiellement entraîner la compromission du logiciel, s’il est utilisé comme vecteur d’attaque, ou il peut intercepter un appel contenant des données sensibles (erreur humaine).
Pourquoi les cyberattaquants compromettent-ils la sécurité de la VoIP ?
Les cyber-attaquants compromettent la sécurité de la VoIP pour trois raisons principales :
- Gain monétaire
- Perturber l’activité de l’entreprise
- Parce qu’ils peuvent
Les deux premiers sont largement liés : le piratage ou l’intrusion dans un système VoIP présente un certain intérêt. Le ransomware est la méthode classique pour paralyser un réseau entier en verrouillant les ordinateurs à l’aide d’un logiciel. Ce logiciel est notoirement difficile à pirater et il crypte souvent le contenu de tout espace de stockage, le rendant impossible à récupérer. En général, les victimes de ransomware doivent payer une somme d’argent si elles n’ont pas de bonnes sauvegardes pour (peut-être) récupérer leurs données. Dans certains cas, cependant, les frais sont payés et les données ne sont jamais récupérées.
Ils peuvent aussi chercher à transférer de l’argent sur des comptes offshore, où il sera transféré dans le monde entier sur leurs comptes. Il peut s’agir simplement de persuader un client de passer une commande et de verser l’argent sur un compte qu’ils contrôlent. S’ils ont accès à un système VoIP non sécurisé, cela peut être très facile, surtout si l’entreprise ne respecte pas les meilleures pratiques en matière de sécurité VoIP.
Dans de nombreux cas, en particulier lorsque les pirates sont parrainés par un État, l’objectif est de provoquer des perturbations, et non de tirer un profit financier. En effet, certains États, comme la Russie, cherchent à perturber les entreprises occidentales pour semer le mécontentement. Tout cela fait partie d’une guerre de l’information menée par la Russie (et d’autres pays), dont l’Allemagne et l’Ukraine ont récemment fait l’expérience. En perturbant la technologie en général (y compris les systèmes VoIP), ils espèrent créer des problèmes dans le monde entier, en perturbant le rythme et le flux de la vie. Peu importe que les systèmes soient destinés à des hôpitaux, des écoles ou des autorités locales qui essaient simplement d’améliorer la vie des gens.
Enfin, il y a les personnes qui cherchent à briser les systèmes simplement parce qu’elles le peuvent. Il s’agit généralement de personnes qui s’ennuient, qui s’intéressent à l’intrusion dans les systèmes et qui veulent se tester. Dans les années 80 et 90, on les aurait probablement appelés « phreakers » (s’ils pirataient des systèmes téléphoniques physiques — bien sûr, il y a toute une discussion sur la sécurité de la VoIP par rapport à celle des lignes terrestres). Aujourd’hui, ils sont simplement des pirates informatiques.
En général, ils cherchent à pénétrer dans un système et à en ressortir, peut-être avec des données aléatoires. Bien qu’ils ne causent généralement pas trop de dégâts, il est toujours inquiétant qu’une personne non autorisée accède à vos comptes.
Comment créer un système VoIP sécurisé ?
Créez un système VoIP sécurisé avec des appels vocaux cryptés (ainsi que la vidéo et les données), utilisez un système avec MFA ou 2FA ainsi qu’une authentification unique activée par défaut et assurez-vous qu’il permet la détection et la surveillance des intrusions. Mais il ne s’agit là que du début des meilleures pratiques en matière de sécurité de la VoIP.
Tout système de sécurité PBX devra prévoir des rapports, le salage et le hachage des mots de passe, un trafic fortement crypté du début à la fin et une protection contre les attaques par déni de service (DoS).
Mais il faut aussi former le personnel pour qu’il sache comment éviter les escroqueries courantes (et beaucoup d’autres moins courantes). À la question « la VoIP est-elle sûre ? », on répondra toujours « cela dépend » — et cela parce que cela dépend du système et de l’éthique de l’entreprise. Celles qui disposent d’une bonne formation amélioreront considérablement leur sécurité VoIP, et la réponse à la question « la VoIP est-elle sûre » sera « oui ». Celles qui n’offrent pas une bonne formation risquent d’avoir des problèmes.
Comment les MSP bénéficient de systèmes VoIP sécurisés
Les MSP et leurs clients ont besoin d’une bonne sécurité VoIP, d’autant plus que la VoIP devient progressivement plus répandue (grâce aux multiples coupures de cuivre, la question de la sécurité de la VoIP par rapport à celle de la ligne fixe n’est même plus pertinente). Grâce à une offre de téléphonie VoIP sécurisée incluant Wildix, ils peuvent assurer la sécurité de leurs clients et protéger leur réputation. Après tout, la faille de 3CX a été un problème majeur pour les MSP, car leur réputation était soudainement en jeu, et la faille a été largement diffusée.
Le principal problème réside dans le fait que les solutions bon marché ne sont souvent pas bien optimisées pour vaincre un pirate informatique moyennement compétent. Et les grandes entreprises encombrantes qui ne se concentrent pas nécessairement sur la VoIP n’ont pas forcément les meilleurs processus lorsqu’il s’agit de boucher les trous dans leurs systèmes. Cependant, elles disposent souvent de plus de ressources pour le faire que les solutions bon marché basées sur Asterisk.
En fin de compte, la façon de garantir une bonne sécurité VoIP est d’utiliser une bonne solution telle que Wildix qui met la sécurité au premier plan. De cette façon, votre MSP est protégé, vos clients sont protégés et votre réputation est protégée.
Pour en savoir plus sur la technologie et la cybersécurité, abonnez-vous gratuitement à notre magazine !