Téléphonie d'entreprise : alerte aux pirates !

Lorsque, en novembre dernier, un employé de SFR a contacté Sophia, gestionnaire télécoms d'une agence média parisienne, la jeune femme n'a pas tout de suite compris la question. Un client à Cuba ? Non, bien sûr. Alors comment expliquer ces centaines d'appels passés au beau milieu de la nuit vers La Havane depuis le début de la semaine ? La conclusion de l'opérateur fut rapide : l'agence était victime d'un pirate du téléphone. C'est néanmoins l'entreprise victime qui a dû régler la douloureuse. Sophia n'a pas oublié le montant de la facture. “ Nous en avons eu pour 7 000 euros d'appels frauduleux, soit le double de ce que nous dépensons habituellement en un mois… ”Classés sans suite. Cela ne la consolera sans doute pas, mais la mésaventure vécue par la jeune femme n'a rien d'un cas isolé. Depuis 2010, la Brigade d'enquêtes sur les fraudes aux technologies de l'information (Befti) a enregistré près de 120 plaintes de sociétés victimes de “ phreaking ” (détournement de ligne téléphonique). Mais le nombre réel des victimes est sans doute beaucoup plus important, car ce service de la police nationale n'est pas saisi de tous les dossiers. “ Beaucoup sont classés sans suite au niveau des commissariats de Paris et de la petite couronne en raison du faible préjudice, du peu de succès des investigations ou simplement parce que les magistrats ne connaissent pas notre compétence ”, explique Anne Souvira, commissaire divisionnaire et chef de la Befti. Autrement dit, les fraudes répertoriées ne représentent que la partie visible de l'iceberg. D'ailleurs, la Communications Fraud Control Association (CFCA, une association regroupant plusieurs centaines d'opérateurs téléphoniques dans le monde) estime que la fraude téléphonique globale s'élevait à 4,96 milliards de dollars en 2011. Pas étonnant lorsqu'on sait que les montants des appels frauduleux peuvent atteindre plusieurs centaines de milliers d'euros par entreprise. En France, la somme la plus souvent constatée par la police avoisine les 30 000 euros.Depuis quatre ans, le nombre de sociétés piratées sur notre territoire a explosé. Après une baisse du nombre de plaintes en 2012, grâce à une importante communication faite par les autorités et les associations d'utilisateurs et de professionnels de la téléphonie, les attaques s'intensifient à nouveau depuis plusieurs semaines. “ Les messages pédagogiques ont été ponctuels, alors qu'il aurait fallu les marteler ”, soupire Anne Souvira. En février 2013, la Befti a déjà reçu cinq dossiers de piratage. “ Ce n'est pas bon signe. Cela correspond au sixième des plaintes enregistrées sur toute l'année 2012 ”, déplore-t-elle. Les entreprises se disent mal informées. Et la Befti reconnaît que les investigations sont complexes et ont peu de chances d'aboutir à l'arrestation des criminels. Dans la grande majorité des cas, les pirates sont à l'étranger et difficilement identifiables. Ils n'ont donc aucune raison de stopper leurs agissements. Toutefois, la police nationale est parvenue a en arrêter deux en 2012 : il s'agissait d'installateurs téléphoniques français véreux. Mais la Befti ne veut pas généraliser : aujourd'hui, il n'existe pas, selon elle, de profil type de pirate. Il peut aussi bien s'agir d'individus isolés, ayant mis au point une combine pour appeler gratuitement amis et famille, que de groupes organisés capables de détourner des appels vers leurs propres services surtaxés. Mais pour Frédéric Decard, président de la commission télécoms de la fédération Eben (Entreprises du bureau et du numérique), il ne fait aucun doute que la fraude se professionnalise de plus en plus. “ Nous devons désormais compter avec des réseaux mafieux des pays de l'Est et d'Asie ”, explique-t-il. C'est justement de l'un de ces réseaux qu'un centre d'affaires parisien, souhaitant rester anonyme, a été victime le samedi 17 novembre 2012, à 1 heure du matin. Quatre de ses postes téléphoniques ont été détournés pour renvoyer 800 appels vers des numéros surtaxés en Bosnie. “ Nous avons été la cible d'une structure organisée qui a utilisé des outils informatiques adaptés. Les appels n'ont jamais discontinué, chacun durant cinq minutes. Le lundi suivant, à 7 heures du matin, la fraude a cessé ”, raconte l'attaché de direction de ce centre d'affaires. Montant du préjudice : 8 000 euros. Après négociation avec son opérateur, le centre a tout de même dû s'acquitter d'une facture de 4 000 euros, soit le quart du budget de ses communications téléphoniques pour l'année 2012.Un jeu d'enfant. Les systèmes téléphoniques d'entreprise présentent deux types de failles dans lesquelles s'engouffrent les hackers. Le plus souvent, ils détournent un ou plusieurs téléphones du bureau. Le fraudeur teste plusieurs numéros de téléphone d'une société jusqu'à ce qu'il tombe sur une messagerie vocale. Il saisit ensuite le sésame activant l'assistant vocal interactif. Or, les collaborateurs choisissent généralement des mots de passe simples, récurrents, voire conservent ceux qui leur ont été attribués par défaut (0000 ou 1234). Dès lors, le pirate accède à distance à toutes les fonctionnalités du téléphone. Il lui suffit de programmer un renvoi ou un transfert d'appel vers la destination de son choix. C'est là le second point faible des organisations : toutes les fonctions (messageries, mobiles, international, transfert, etc.) des téléphones sont accessibles dans les paramètres par défaut du système. L'opération est un jeu d'enfant.Il existe un second procédé, réclamant plus de connaissances techniques, qui consiste à s'attaquer au système de gestion de la téléphonie de l'entreprise (c'est-à-dire à l'autocommutateur connecté au Web, baptisé IPBX). Equipés d'outils logiciels adaptés, les fraudeurs scannent le réseau Web à la recherche d'autocommutateurs vulnérables. Ceux-ci sont identifiables car leur connexion avec Internet est ouverte. Une fois leur cible détectée, ils cassent ses mots de passe pour en prendre le contrôle. Comme avec les téléphones, les entreprises modifient rarement les codes secrets des systèmes. Et même lorsque c'est le cas, d'autres logiciels permettent de les trouver en quelques minutes. Dès lors, les pirates ont tout loisir de profiter des lignes téléphoniques pour appeler des services surtaxés (des jeux, notamment). Depuis un autocommutateur connecté à Internet, la fraude est très lucrative. Il est en effet possible de passer des dizaines d'appels simultanés à partir d'une seule ligne. En multipliant les postes, les montants détournés atteignent parfois plusieurs centaines de milliers d'euros en un week-end. Dure à avaler pour un grand compte, une intrusion peut se révéler fatale pour une PME. Mais il y a pire. En effet, à partir de l'IPBX, les pirates ont la possibilité d'accéder au reste du système d'information de l'organisation et de siphonner les données à caractère personnel ou les informations sensibles.Systèmes obsolètes. “ Parmi les différents IPBX du marché, Alcatel, Cisco et Avaya sont, dans cet ordre, les systèmes les plus attaqués ”, rapporte Silvano Trotta, président de Resom, un groupement d'entreprises du secteur IT. La prédominance d'Alcatel sur le marché hexagonal n'explique pas, à lui seul, pourquoi le système français est le plus piraté. Selon Silvano Trotta, 90 % des attaques se font sur ces appareils, alors qu'ils représentent 47 % du parc d'IPBX installés. Configuration initiale, simplicité d'accès aux systèmes, codes d'accès disponibles sur Internet ou maintenance négligée ? Difficile d'expliquer pourquoi l'équipementier télécoms a la faveur des pirates. “ Nous avons découvert qu'aucune mise à jour de notre système de téléphonie Alcatel n'avait été faite sur la période des cinq années de contrat, alors qu'une maintenance est incluse dans nos redevances mensuelles ”, indique, amer, l'attaché de direction du centre d'affaires parisien récemment attaqué. La mise à jour n'aurait peut être pas suffi à éviter le piratage. Mais l'obsolescence du système ne fait que le fragiliser.Par chance, si le piratage est simple, les mesures de protection le sont tout autant. Le premier réflexe à acquérir consiste à modifier tous les mots de passe définis par défaut par les constructeurs, tant sur les postes téléphoniques que sur les autocommutateurs. Les gestionnaires télécoms ont, en plus, la possibilité de limiter l'utilisation des téléphones en désactivant toutes les options peu ou pas exploitées, quitte à les activer ponctuellement et à la demande. “ Nous avons ainsi bloqué la fonction de rappel automatique des 800 postes de la société ”, illustre Sophia, la cadre de l'agence média. C'est cette fonction précise qui a permis chez elle de transformer deux téléphones en relais vers Cuba. Les organisations doivent appliquer à leur téléphonie les mêmes règles de sécurité que pour leur informatique. Les pare-feu sont les premiers remparts numériques à protéger les systèmes téléphoniques sur IP des nombreuses attaques. “ Nous constatons près de 200 000 tentatives de piratage par jour sur notre réseau ”, indique Laurent Silvestri, directeur associé d'OpenIP, un opérateur télécoms. Les professionnels du secteur recommandent également de séparer les flux d'informations, voix et données, en mettant en place des réseaux privés virtuels dédiés, ou bien en réservant deux liens distincts pour chacun d'entre eux.Au-delà de ces considérations techniques, les entreprises ont tout intérêt à nouer des contrats d'achat et de maintenance précis et exhaustifs. Ceux-ci délimitent les responsabilités entre le constructeur, l'installateur et l'utilisateur final, informent sur les risques encourus ainsi que sur la configuration du système et de ses fonctionnalités. Une rigueur qui permettra d'éviter que les coups de fil ne se transforment en coups de fusil.