Un sujet au coeur des débats.
2022 a marqué un tournant dans la sensibilisation et la protection des données. Le niveau de sécurité des informations n’a ainsi jamais paru aussi important au yeux du grand public.
Mais alors pourquoi le monde se rend soudain compte de l’importance d’un sujet pourtant si crucial ? On pourrait simplement se dire que oui, la conjoncture internationale a rendu plus alertes les individus quant à leur sécurité…mais ce serait se tromper que d’y voir uniquement une tendance vouée à s’effacer avec le temps.
La réalité est, elle, toute autre. Les entreprises ont en effet décidé d’investir massivement sur la sécurité informatique car elles sont confrontées à une prolifération des attaques, sources de pertes financières importantes pour elles. Cependant, les sociétés n’ont pas attendu ces dernières années pour sécuriser leurs systèmes. C’est plutôt dans la diversification des attaques qu’il faut jeter un coup d’oeil. En effet, les communications d’entreprises n’échappent pas à la règle, car les informations partagées peuvent y être subtilisées et les appels même écoutés.
En effet, si par le passé un grand nombre d’entreprises passaient par des systèmes de téléphonie traditionnels, via des PABX, reliés par des cablage indépendant, elles ont depuis migré vers le réseau informatique pour ainsi devenir des IPBX. Les opérateurs téléphoniques ont derrière pris le pas, basculant les réseaux de communications vers la voix sur IP, lançant ainsi la révolution du monde des télécommunications sur internet…et ouvrant au passage la porte aux risques qui peuvent lui être associés.
Car si l’évolution vers l’IP a permis au plus grand nombre de profiter d’outils de communications fiables, autrefois réservés aux grandes entreprises, les faits récents nous montrent que le niveau de sécurisation de ces solutions n’est pas toujours du niveau des enjeux des entreprises. Cet inquiétant constat beaucoup de société l’on effectué à leur dépend. Les chercheurs en cybersécurité de Check Point ont ainsi révélé ces dernières années, une vulnérabilité critique des systèmes téléphoniques VoIP Sangoma et Asterisk qui permet à des personnes extérieures d’accéder à distance sans aucune forme d’authentification. Une faille possible via les serveurs. C’est ainsi pas moins de 1 200 entreprises dans le monde qui ont vu leurs serveurs compromis, avec pour objectif de tirer profit de la vente de comptes attaqués.
Si le serveur était ici mis en cause, il n’est pas la seule source de vulnérabilité. En effet, suite un rapport réalisé par la société de conseil Chain Security, le sénateur américain Chris Van Hollen (D-Md) a décidé d’alerter le ministère américain du commerce. Là encore il est question de randsomware. La différence, c’est qu’ici le rapport a relevé de nombreuses failles de sécurité provenant des appareils Yealink, et notamment de nombreuses fonctionnalités qui semblent recueillir intentionnellement les données des clients. Pour qui et pourquoi, nous vous laisserons en juger vous même. Ce qui est en tout cas certain, c’est que le téléphone IP était ici à la source des vulnérabilités.
Résultat, ces groupes malintentionnés ont pu passer des appels sortants à l’insu du système VoIP, leur permettrant ainsi de composer des numéros surtaxés mis en place par leurs soins dans le but de dégager des bénéfices aux dépens de la société attaquée. Autre conséquence, cela leur a également donné la possibilité de « partager » l’accès aux systèmes au plus offrant, pour ainsi éventuellement perpétuer de nouvelles cyberattaques et poursuivre cette spirale criminelle.
Là encore, la diversification des attaques et donc des failles ont rendu les entreprises plus vulnérables encore. Car en compromettant leur système VoIP, ces derniers ont servi de passerelles ves le reste du réseau, permettant ainsi le vol d’identifiants ou bien le déploiement de logiciels malveillants.
Des solutions qui existent
Au vue des risques listés, finalement pourquoi faire confiance à la VoIP, me direz-vous…
Tout d’abord parce que cela reste une technologie robuste, performante et qui apporte une réelle plus value à ses utilisateurs. Ensuite parce qu’il suffit de quelques bonnes pratiques et de s’appuyer sur des solutions qui limitent l’impact liée aux erreurs humaines, pour ne pas mettre en péril les activités des sociétés.
Il est ainsi primordial d’opter pour des solutions sécurisées de bout en bout et plus particulièrement des trunks SIP, qui sont bien souvent de réelles passoires. Des solutions sécurisées par conception sont à privilégier. En effet, elles permettent de continuellement protéger la voix et les données, car elles sont créées à partir d’un système de cryptage natif. Le Secure-By-Design s’oppose ainsi aux VPN et autres SBC qui ne viennent que rajouter des couches supplémentaires et ouvrir des brèches potentielles. Le passage au Cloud professionnel est un autre point clés de la sécurité car il est la meilleure défense contre les attaques DDOS, et facilite le maintien des systèmes à jour. C’est uniquement en s’assurant de l’unification du niveau sécurité de chaque maillon de la chaîne que l’on peut tendre vers une sécurité totale.
Bien se protéger, c’est donc pouvoir faire confiance à une solution sécurisée de bout en bout. Très bien, mais alors à qui faire confiance lorsque l’on passe par différents constructeurs pour avoir un panel de solutions hardware + software complet ? C’est là toute la difficulté, car un constructeur s’occupe par définition de sa propre conception et donc de sa propre sécurité. Les piratages qui ont touché les utilisateurs Sagoma, Asterisk ou encore Yeahlink ont ainsi bien souvent eu pour origine une vulnérabilité liée à l’obscolence de l’un des sytèmes installés, ou bien la perte d’une couche de protection due à la mise à jour d’un des sytèmes. Des constructeurs couvrant l’intégralité des besoins hardware et software sont dès lors plus résistants et réactifs aux vulnérabilités puisqu’ils possèdent un contrôle total sur l’intéropérabilité des solutions offertes et les réponses sécuritaires à apporter de bout en bout.
Ne pas garder un software mais aussi un firmware à jour, c’est inviter tout hacker à s’introduire chez soi. Des solutions ne permettant pas la mise à jour automatique des sytèmes, ne réduisent pas uniquement les fonctionnalités des solutions en question, elle mettent à mal la sécurité toute entière d’une entreprise. L’antivirus de 2018 est inefficace face aux virus de 2022 ? Et bien il en va de même face aux attaques des systèmes VoIP qui sans constantes améliorations ne peuvent pas répondre à l’évolution des besoins sécuritaires. Il est donc primordial de s’appuyer sur des solutions “up-to”date”. Le modèle “as-a-Service” est dès lors une solution efficace puisqu’il lève le frein sur l’obsolence à la fois matériel et software. Tout matériel est ainsi remplacé sans justification à partir du moment où ’il ne supporte plus le dernier firmware. Autre point intéressant, il ne nécessite pas de coûts supplémentaires et donc pas d’investissement inattendu sur un exercice fiscal. Un aspect non négligeable lorsque l’on connaît les frais qu’engendrent le maintien de la sécurité au quotidien.
Et puisqu’il est difficile d’évaluer soit même le niveau de sécurité des solutions VoIP proposées sur le marché, pourquoi ne pas s’appuyer sur des agences d’évaluations, spécialistes du secteur ? Nous pouvons notamment citer Gartner® et son Magic Quadrant™ qui chaque année permet d’apporter des gages de fiabilité sur les principaux construteurs présents dans le monde. Un classement remis à jour chaque année sur lequel les DSI s’appuient pour évaluer la fiabilité de telle ou telle solution, sur la base de retour des utilisateurs. Et donc des garanties en termes de sécurité que celles-ci ont pu leur apporter.
La sécurité reste au final une remise en cause constante des moyens employés. Mais c’est en appliquant quelques bonnes pratiques que l’on s’évitera à ses clients et à soi de grosses sueurs froides.