Cinq mesures pour limiter le piratage des appels téléphoniques

En quelques heures, une entreprise victime de détournement téléphonique peut se retrouver avec des factures de dizaines de milliers d'euros. Voici quelques mesures pour limiter les risques.
Le détournement de trafic téléphonique consiste à prendre, à distance, le contrôle d’un ou plusieurs postes téléphoniques, pour y passer des appels aux frais de l’entreprise piratée. La messagerie vocale est le point d’accès, à partir duquel un pirate accède à toutes les fonctions actives du téléphone, dont le transfert et le renvoi d’appel.
Pendant les vacances ou le week-end, le pirate redirige les postes sous son contrôle vers des numéros internationaux, dont le prix à la minute est élevé ou des numéros surtaxés. Alors que faire ?
1. Changer les mots de passe régulièrement

Prendre le contrôle à distance d’un poste téléphonique est un acte simple ne nécessitant aucune compétence en informatique : une fois arrivé sur la boîte vocale, il suffit d’entrer un mot de passe, généralement à quatre chiffres, pour accéder au menu. Or souvent, les utilisateurs conservent le mot de passe par défaut (0000, 1234, etc. généralement disponibles sur internet, donc à portée de tous), ou utilisent les derniers chiffres de leurs numéro de poste et d'autres combinaisons facilement identifiables. « Il faut inciter les utilisateurs à définir des mots de passe plus complexes et à les changer régulièrement », conseille Guy Tétu, délégué général de la Fédération interprofessionnelle de la communication d'entreprise (Ficome).
2. Cartographier un plan de numérotation précis

Au moment de l’installation du système de téléphonie ou à l’arrivée de nouveaux collaborateurs, le responsable télécoms doit analyser et définir, poste par poste, les besoins en services de téléphonie en fonction du métier de chacun. Si l’entreprise n’a pas de responsable télécoms, son intégrateur réalise cette opération. « Il est indispensable de limiter l’accès des collaborateurs à certains services comme l'accès à messagerie vocale depuis l'extérieur, l'accès à l’international ou encore au transfert d’appels, s’ils n’en n’ont pas besoin », explique Guy Tétu. Les pirates sont en effet à la recherche de ces services pour détourner les appels.
3. Installer un pare-feu avant le PABX

Les entreprises doivent installer un pare-feu devant l’autocommutateur. Il protège ainsi les entreprises équipées de téléphonie sur IP (ToIP), laquelle offre des possibilités supplémentaires d’accès aux postes téléphoniques, voire à d’autres parties du système d’information. De plus, le pare-feu bloque les virus développés pour les téléphones IP, capables de renvoyer toutes les données de paramétrage des postes, dont les codes d’accès aux services.
« Nous conseillons également aux entreprises d’installer un système de détection d’intrusion (IDS), stoppant rapidement les attaques dites par brute force ou par saturation », explique Fabrice Pronnier, directeur de Telecom Object. Une attaque brute force consiste à tester tous les mots de passe possibles sur un compte SIP actif du réseau de l'entreprise.
4. Faire un audit régulier du système télécoms

Le niveau de vulnérabilité du système informatique et télécoms évolue avec les mises à jour, les nouveaux produits, les nouveaux collaborateurs, etc. Opérer des audits réguliers permet aux entreprises de détecter des appareils connectés parasites ainsi que les tentatives d’intrusion, de vérifier le niveau des mots de passe, trouver les postes téléphoniques abandonnés, etc.
Si l’entreprise est équipée de téléphonie sur IP, des opérateurs de services proposent leurs propres outils d’audit permettant de tester, à distance, les adresses IP, le port 5060 (port de téléphonie), les comptes SIP actifs, voire les mots de passe.
5. Inclure la téléphonie dans la politique de sécurité du système d'information

« Il faut éduquer le collaborateur à l’utilisation de son poste téléphonique », explique Guy Tétu. Cette éducation passe notamment par la mise en place d’une politique de sécurité télécoms, qui doit être incluse dans la politique de sécurité globale du système d’information de l’entreprise.
Cette dernière doit, en particulier, inclure les sites distants et les travailleurs nomades. La mise en place d’un réseau privé virtuel (VPN) sécurisera, par exemple, les communications entre le poste distant et le site central.
Plus d’informations sur le piratage télécoms : sos-piratage.com
-
C23
tout à fait d'accord.
De plus, cet article est vraiment completment obsolete : j'aimerais bien savoir comment qq'un peut prendre le controle d'un téléphone IP depuis l'extérieur/Internet?
Mettre un firewall, un IDS/IPS, et ce genre de choses, c'est de la sécurité de base, et pas seulement un truc pour protéger votre PABX!
Dans ce cas, cet article, vous en faites un copier/coller et vous remplacez PABX par n'importe quel élément critique de votre infra.
De plus, les failles de sécu sur les téléphones IP ne sont pas légion (je n'en connais aucune).
Cela impliquerait que votre PABX a des failles niveau couche applicative, ce qui :
- n'est pas exploitable, du fait du manque de documentation (pour une fois que le manque de doc est utile...)
- me ferait changer de fabricant de PABX de suite, et ausis ruinerait juste sa réputation.
Ensuite, s'il est possible de tester plus de 3 codes en l'espace d'une minute, c'est que votre systeme est completment con.
Il est connu et logique qu'un systeme où vous pouvez tester des codes en rafale sans que le systeme se bloque pdt un certain laps de temps, est une erreur magistrale de design!!!
De plus, honnetement, avec le marché telecom actuel, qui va s'emmerder à pirater votre pabx pour passer des appels internationaux.
Ca marchait bien ya 20 ans qd la minute était super chere. Maintenant que les appels sont tes peu chers, voire gratuits pour le grand public, il n'y a plus aucun interet.
Et encore :
si votre PABX (ou l'interface qui le gere) est accessible depuis l'extérieur en direct, c'est que vous etes juste un idiot d'admin systeme/reseaux : pourquoi n'isolez vous pas votre réseau completement d'internet, et n'autorisez l'acces au web que par un proxy web, et ensuite faites un VPN vers les systemes externes qui vous appartiennent et que vous souhaitez joindre?
Les clients à distance devraient avoir aussi une solution de VPN pour joindre le réseau d'entreprise (que ce soit pour faire du SIP ou pas), c'est qd meme logique!
Dans ma boite, on se fait meme pas chier à mettre des limitations sur les communications téléphoniques, ou de définir qui a droit de quoi faire, car de base, on sait que si un mec a pris le controle d'un poste IP ou du PABX, c'est qu'en fait, il pourrait faire n'importe quoi de plus dangereux.
Franchement, ce Guy Tétu ou Fabrice Pronnier feraient mieux de se réveiller, car on est en 2011! -
lang
Bonjour,
J'ai toujours été étonné dans les sociétés ou j'ai travaillé qu'il y ait un système de téléphonie assez sophistiqué et que personne ne sache s'en servir. Moi même, n'ayant pas trouvé de documentation adapté, n'utilise que les fonctions de base de mon téléphone et n'écoute même pas mes messages vocaux...
Votre opinion