Comment sécuriser les outils de collaboration dans votre entreprise

secure collaboration tools picture

Aujourd’hui, la sécurité dans les entreprises passe de plus en plus par la sécurisation de l’outil de collaboration utilisé dans votre organisation. Maintenant que nous sommes entrés dans l’ère d’Internet, il est tout à fait normal de mener des communications officielles sur le Web. Cela a ouvert la porte à beaucoup plus de flexibilité en termes de mode de communication, bien sûr, y compris une série de possibilités pour les environnements de travail à distance et hybrides.

Continuer la lecture de « Comment sécuriser les outils de collaboration dans votre entreprise »

La sécurisation de la VoIP

La sécurisation de la VoIP

Un sujet au coeur des débats.

2022 a marqué un tournant dans la sensibilisation et la protection des données. Le niveau de sécurité des informations n’a ainsi jamais paru aussi important au yeux du grand public.

Mais alors pourquoi le monde se rend soudain compte de l’importance d’un sujet pourtant si crucial ? On pourrait simplement se dire que oui, la conjoncture internationale a rendu plus alertes les individus quant à leur sécurité…mais ce serait se tromper que d’y voir uniquement une tendance vouée à s’effacer avec le temps.

La réalité est, elle, toute autre. Les entreprises ont en effet décidé d’investir massivement sur la sécurité informatique car elles sont confrontées à une prolifération des attaques, sources de pertes financières importantes pour elles. Cependant, les sociétés n’ont pas attendu ces dernières années pour sécuriser leurs systèmes. C’est plutôt dans la diversification des attaques qu’il faut jeter un coup d’oeil. En effet, les communications d’entreprises n’échappent pas à la règle, car les informations partagées peuvent y être subtilisées et les appels même écoutés.

En effet, si par le passé un grand nombre d’entreprises passaient par des systèmes de téléphonie traditionnels, via des PABX, reliés par des cablage indépendant, elles ont depuis migré vers le réseau informatique pour ainsi devenir des IPBX. Les opérateurs téléphoniques ont derrière pris le pas, basculant les réseaux de communications vers la voix sur IP, lançant ainsi la révolution du monde des télécommunications sur internet…et ouvrant au passage la porte aux risques qui peuvent lui être associés.

Car si l’évolution vers l’IP a permis au plus grand nombre de profiter d’outils de communications fiables, autrefois réservés aux grandes entreprises, les faits récents nous montrent que le niveau de sécurisation de ces solutions n’est pas toujours du niveau des enjeux des entreprises. Cet inquiétant constat beaucoup de société l’on effectué à leur dépend. Les chercheurs en cybersécurité de Check Point ont ainsi révélé ces dernières années, une vulnérabilité critique des systèmes téléphoniques VoIP Sangoma et Asterisk qui permet à des personnes extérieures d’accéder à distance sans aucune forme d’authentification. Une faille possible via les serveurs. C’est ainsi pas moins de 1 200 entreprises dans le monde qui ont vu leurs serveurs compromis, avec pour objectif de tirer profit de la vente de comptes attaqués.

Si le serveur était ici mis en cause, il n’est pas la seule source de vulnérabilité. En effet, suite un rapport réalisé par la société de conseil Chain Security, le sénateur américain Chris Van Hollen (D-Md) a décidé d’alerter le ministère américain du commerce. Là encore il est question de randsomware. La différence, c’est qu’ici le rapport a relevé de nombreuses failles de sécurité provenant des appareils Yealink, et notamment de nombreuses fonctionnalités qui semblent recueillir intentionnellement les données des clients. Pour qui et pourquoi, nous vous laisserons en juger vous même. Ce qui est en tout cas certain, c’est que le téléphone IP était ici à la source des vulnérabilités.

Résultat, ces groupes malintentionnés ont pu passer des appels sortants à l’insu du système VoIP, leur permettrant ainsi de composer des numéros surtaxés mis en place par leurs soins dans le but de dégager des bénéfices aux dépens de la société attaquée. Autre conséquence, cela leur a également donné la possibilité de “partager” l’accès aux systèmes au plus offrant, pour ainsi éventuellement perpétuer de nouvelles cyberattaques et poursuivre cette spirale criminelle.

Là encore, la diversification des attaques et donc des failles ont rendu les entreprises plus vulnérables encore. Car en compromettant leur système VoIP, ces derniers ont servi de passerelles ves le reste du réseau, permettant ainsi le vol d’identifiants ou bien le déploiement de logiciels malveillants.

Des solutions qui existent

Au vue des risques listés, finalement pourquoi faire confiance à la VoIP, me direz-vous…
Tout d’abord parce que cela reste une technologie robuste, performante et qui apporte une réelle plus value à ses utilisateurs. Ensuite parce qu’il suffit de quelques bonnes pratiques et de s’appuyer sur des solutions qui limitent l’impact liée aux erreurs humaines, pour ne pas mettre en péril les activités des sociétés.

Il est ainsi primordial d’opter pour des solutions sécurisées de bout en bout et plus particulièrement des trunks SIP, qui sont bien souvent de réelles passoires. Des solutions sécurisées par conception sont à privilégier. En effet, elles permettent de continuellement protéger la voix et les données, car elles sont créées à partir d’un système de cryptage natif. Le Secure-By-Design s’oppose ainsi aux VPN et autres SBC qui ne viennent que rajouter des couches supplémentaires et ouvrir des brèches potentielles. Le passage au Cloud professionnel est un autre point clés de la sécurité car il est la meilleure défense contre les attaques DDOS, et facilite le maintien des systèmes à jour. C’est uniquement en s’assurant de l’unification du niveau sécurité de chaque maillon de la chaîne que l’on peut tendre vers une sécurité totale.

Bien se protéger, c’est donc pouvoir faire confiance à une solution sécurisée de bout en bout. Très bien, mais alors à qui faire confiance lorsque l’on passe par différents constructeurs pour avoir un panel de solutions hardware + software complet ? C’est là toute la difficulté, car un constructeur s’occupe par définition de sa propre conception et donc de sa propre sécurité. Les piratages qui ont touché les utilisateurs Sagoma, Asterisk ou encore Yeahlink ont ainsi bien souvent eu pour origine une vulnérabilité liée à l’obscolence de l’un des sytèmes installés, ou bien la perte d’une couche de protection due à la mise à jour d’un des sytèmes. Des constructeurs couvrant l’intégralité des besoins hardware et software sont dès lors plus résistants et réactifs aux vulnérabilités puisqu’ils possèdent un contrôle total sur l’intéropérabilité des solutions offertes et les réponses sécuritaires à apporter de bout en bout.

Ne pas garder un software mais aussi un firmware à jour, c’est inviter tout hacker à s’introduire chez soi. Des solutions ne permettant pas la mise à jour automatique des sytèmes, ne réduisent pas uniquement les fonctionnalités des solutions en question, elle mettent à mal la sécurité toute entière d’une entreprise. L’antivirus de 2018 est inefficace face aux virus de 2022 ? Et bien il en va de même face aux attaques des systèmes VoIP qui sans constantes améliorations ne peuvent pas répondre à l’évolution des besoins sécuritaires. Il est donc primordial de s’appuyer sur des solutions “up-to”date”. Le modèle “as-a-Service” est dès lors une solution efficace puisqu’il lève le frein sur l’obsolence à la fois matériel et software. Tout matériel est ainsi remplacé sans justification à partir du moment où ’il ne supporte plus le dernier firmware. Autre point intéressant, il ne nécessite pas de coûts supplémentaires et donc pas d’investissement inattendu sur un exercice fiscal. Un aspect non négligeable lorsque l’on connaît les frais qu’engendrent le maintien de la sécurité au quotidien.

Et puisqu’il est difficile d’évaluer soit même le niveau de sécurité des solutions VoIP proposées sur le marché, pourquoi ne pas s’appuyer sur des agences d’évaluations, spécialistes du secteur ? Nous pouvons notamment citer Gartner® et son Magic Quadrant™ qui chaque année permet d’apporter des gages de fiabilité sur les principaux construteurs présents dans le monde. Un classement remis à jour chaque année sur lequel les DSI s’appuient pour évaluer la fiabilité de telle ou telle solution, sur la base de retour des utilisateurs. Et donc des garanties en termes de sécurité que celles-ci ont pu leur apporter.

La sécurité reste au final une remise en cause constante des moyens employés. Mais c’est en appliquant quelques bonnes pratiques que l’on s’évitera à ses clients et à soi de grosses sueurs froides.

Vos téléphones de bureau sont-ils écoutés ?

Les vulnérabilités de Yealink démontrent qu’en UCC, la sécurité est importante

Yealink vulnerabilities show how that in UCC, security matters

Pour le meilleur ou pour le pire, la collecte de données est une chose à laquelle beaucoup d’entre nous se sont habitués. Qu’il s’agisse de cookies sur les pages Web ou de suivi des termes de recherche, notre activité sur Internet est surveillée dans une certaine mesure, au point d’être acceptée par tous.

Cela dit, même si nous sommes habitués à ce niveau de suivi sur le Web, nous serions choqués d’apprendre qu’un suivi similaire est effectué sur les systèmes téléphoniques d’entreprise. Après tout, il est très inhabituel que les téléphones de bureau recueillent activement des données sur nous, notamment parce que, dans la plupart des entreprises, les appels vocaux sont le lieu d’échange de connaissances très confidentielles.

Que se passe-t-il s’il s’avère que votre système téléphonique permet de vous écouter activement ? 

Pire encore, que se passe-t-il si vous ne pouvez même pas savoir avec certitude qui se trouve à l’autre bout de la ligne ?

Préoccupations sur la sécurité de Yealink

Ces questions sont d’autant plus pertinentes pour les propriétaires d’entreprises qu’un rapport troublant concernant les téléphones du fournisseur chinois Yealink, notamment ses appareils T54W, a suscité des inquiétudes quant à la confidentialité et à la sécurité du matériel de l’entreprise.

Le 28 septembre de l’année dernière, le sénateur américain Chris Van Hollen (D-Md) a adressé une lettre au ministère américain du commerce faisant référence à un rapport réalisé par la société de conseil Chain Security. Dans ce rapport, Chain Security a relevé de nombreuses failles de sécurité dans les appareils Yealink, ainsi que de nombreuses fonctionnalités qui semblent recueillir intentionnellement les données des clients.

Plus inquiétant encore, le rapport de Chain Security conclut qu’il est “fort probable” que Yealink partage les informations de ses clients directement avec le gouvernement chinois, notamment par le biais de son hardware.

Cette collecte de données semble se produire principalement par la façon dont les téléphones Yealink s’interfacent avec les réseaux et les PC des entreprises. En effet, les appareils Yealink utilisent une plateforme de gestion des appareils (DMP) pour se connecter aux programmes exécutés sur le PC. Dans la plupart des cas, cela est parfaitement normal pour la grande majorité du hardware VoIP qui se connecte à un système basé sur un PC.

Ce qui est beaucoup moins normal, et même carrément alarmant, c’est le fait que le DMP (Data Management Plateform) de Yealink est alors capable d’enregistrer les appels vocaux et même de suivre l’historique web sur ce PC connecté – dans les deux cas à l’insu de l’utilisateur final.

Composants potentiels de Tracking

Selon le rapport de Chain Security, le DMP de Yealink “collecte et conserve l’IP du réseau étendu” de l’appareil de l’utilisateur final et peut enregistrer tout le trafic Web des appareils qui y sont connectés. Cela s’ajoute à la manière dont le DMP collecte les enregistrements d’appels effectués soit sur le téléphone, soit sur les appareils qui y sont connectés.

Tout cela mérite d’être souligné, notamment parce que le DMP de Yealink peut être exploité par un employé à distance de Yealink, qui peut utiliser la plateforme pour accéder à toutes les données collectées, qu’il s’agisse d’adresses IP, de trafic web ou d’enregistrements d’appels complets.

Plus inquiétant encore, en utilisant le DMP de Yealink, les employés à distance de Yealink peuvent activer l’enregistrement d’un appel actif  à volonté et conserver l’enregistrement par la suite.

Cet accès ne semble pas non plus être utilisé par Yealink de manière occasionnelle. Chain Security note également que pendant les “opérations normales”, les téléphones Yealink communiquent avec les serveurs AliCloud contrôlés par la Chine, ce qui suggère un contrôle et une interception potentiels du type décrit ci-dessus.

Métaphoriquement parlant, il ne s’agit peut-être pas d’un véritable incendie, mais l’activité de surveillance combinée au contact avec le serveur fait certainement beaucoup de fumée. (Les choses deviennent encore plus suspectes si l’on considère les liens directs et établis de longue date de Yealink avec le gouvernement chinois et leur partage continu de données, rapporte également Chain Security).

Problèmes de sécurité plus généraux

Au-delà de ces problèmes, les appareils Yealink en question semblent présenter des failles de sécurité tout simplement évidentes, susceptibles de compromettre l’ensemble du serveur d’une entreprise. 

Chain Security souligne que les téléphones Yealink sont “préconfigurés pour accepter les informations d’identification pour la connexion et l’accès à l’appareil de 187 autorités de certification numérique “de confiance”.” En d’autres termes, totalement inconnus de l’utilisateur final, les appareils Yealink peuvent être accessibles par un nombre incroyable d’entités supplémentaires, ce qui signifie que si l’un de ces utilisateurs est compromis, il aura facilement accès aux réseaux des utilisateurs finaux de Yealink. 

Mais les hackers n’ont peut-être même pas besoin d’être une autorité “de confiance” de toute façon. L’accès inconnu à l’appareil est rendu encore plus difficile par son incapacité à se protéger contre les tentatives de connexion par brute force, ce qui signifie que les hackers sont tout à fait capables d’y accéder simplement en devinant les combinaisons nom d’utilisateur/mot de passe.

Comme si ces facteurs n’étaient pas suffisants, les appareils Yealink ne disposent pas de signatures numériques standard pour authentifier les modifications valides du micrologiciel. Par conséquent, si des acteurs externes obtiennent l’accès aux téléphones, ils peuvent instantanément écraser le logiciel actuel sur ceux-ci, à condition que le nouveau firmware soit compatible avec le matériel.

Cela signifie qu’un hacker peut facilement installer un micrologiciel qui surveille non seulement ce qui est enregistré sur le téléphone Yealink (en utilisant la collecte de données susmentionnée qu’il effectue), mais également l’activité sur l’ensemble du réseau de l’entreprise.

La ligne de fond des appareils Yealink

Nous nous retrouvons donc avec un téléphone capable d’enregistrer les appels, l’adresse IP et l’activité web – à tout moment et à l’insu de l’utilisateur final – et de communiquer ces données ailleurs. 

S’il est facile, voire proactif, de supposer que les données aboutiront chez Yealink ou même au gouvernement chinois, il est tout aussi possible que des agents totalement inconnus puissent exploiter les vulnérabilités de ces téléphones à leurs propres fins. Dans tous les cas, le résultat est loin d’être souhaitable pour toute entreprise.

De l’avis général, même à une époque où la collecte de données est prévisible, l’architecture de sécurité des téléphones Yealink permet une surveillance beaucoup plus importante que ce qu’une entreprise devrait accepter.

Des conclusions importantes

Bien que cela doit certainement servir d’avertissement pour toute personne intéressée par les téléphones Yealink en particulier, nous pouvons également tirer des conclusions plus larges en matière de sécurité.

Il faut d’abord noter qu’il serait ridicule d’utiliser cet exemple pour jeter le doute sur tout le hardware produit en Chine ; après tout, un très grand nombre d’appareils sont produits en Chine et sont loin de présenter ces problèmes.

Les questions les plus importantes sont celles de la sécurité et de la confiance en général. Comme le montre cet exemple, le matériel de communication a un potentiel incroyable d’intrusion dans votre vie privée, jusqu’à agir comme un dispositif de surveillance secret sur votre bureau.

Pour assurer votre sécurité, il est essentiel que vous puissiez faire confiance au fabricant des appareils VoIP. Le fournisseur doit être en mesure de démontrer non seulement l’efficacité de ses mesures de sécurité, mais aussi sa volonté de renoncer à son propre contrôle des appareils en dehors de l’application des mises à jour logicielles nécessaires.

Lorsque vous envisagez de faire appel à un nouveau fournisseur, il y a donc de nombreuses questions importantes à poser : par exemple, que vous dit votre fournisseur sur les paramètres de sécurité de son matériel ? Quel rôle le fournisseur joue-t-il dans la gestion de l’appareil après sa commercialisation ? Quels liens votre fournisseur entretient-il avec d’autres entités qui pourraient vouloir obtenir des informations sur votre entreprise ?

Avant tout, si un fournisseur conserve des éléments tels que l’accès permanent au DMP, il faut immédiatement tirer la sonnette d’alarme. Les capacités de contrôle à distance de cette manière sont, au mieux, une mauvaise conception de la sécurité, au pire, des tentatives actives d’exploration des données. 

Pour assurer la sécurité totale de votre entreprise, il est essentiel de peser ces facteurs comme tous les autres points de sécurité. Si vous ne pouvez pas faire confiance à votre fournisseur pour protéger votre vie privée, à quoi sert-il en tant que partenaire technologique ? Et s’il est évident qu’il partage des données avec un gouvernement impliqué dans la guerre de l’information, la situation devient encore plus problématique.

Lorsque vous évaluez vos options en matière de hardware ne vous contentez donc pas de considérer la sécurité en termes généraux. Il est tout aussi important de se demander dans quelle mesure vous pouvez faire confiance au fournisseur pour assurer votre sécurité ou, plus important encore, si le fournisseur lui-même constitue une menace potentielle pour la sécurité.

Pour voir comment Wildix conçoit la sécurité dans ses systèmes UCC, consultez notre livre blanc gratuit.

Pour plus de mises à jour sur la sécurité dans l’industrie UCC, abonnez-vous pour recevoir notre magazine gratuitement !

Les UCC, les meilleurs alliés de votre bureau

Centralini UCC, i vantaggi per un ufficio

C’est le problème des utilisateurs finaux

La plupart des intégrateurs de systèmes que je côtoie évoque deux problèmes :

1. La complexité, 2. Le temps. La seconde est évidemment une conséquence de la première.

Cela signifie que lorsqu’un système est installé, cela peut être très complexe et prendre du temps. Et le temps, c’est de l’argent.

De l’argent… également pour les formations dispensées aux techniciens et, souvent, pour les utilisateurs finaux, il s’agit d’un gaspillage d’argent.

Et oui, ces problèmes affectent également les utilisateurs finaux des communications unifiées.

Continuer la lecture de « Les UCC, les meilleurs alliés de votre bureau »