Le fait de travailler dans des environnements semi-propriétaires, dans le monde de la téléphonie d’entreprise notamment, donne le sentiment à certains d’entre nous que les risques sont moindres. Bref que le concept de sécurité par l’obscurité est toujours valable.
Dans le cadre particulier évoqué dans ce post, cela touche notamment les protocoles de signalisation. S’il n’y a plus de discussion sur le fait que SIP est devenu le standard de facto, le terrain (la vraie vie ?) nous montre que certaines fonctionnalités n’ont pas été portées et impose donc toujours l’utilisation du protocole propriétaire.
Le fait que la structure de ce dernier ne soit pas officiellement déclarée apaise la conscience de la voix « sécurité », mais c’est vite oublier que de nombreux experts ont travaillé à l’analyser et ont publié leurs résultats sur Internet. Il est donc probable que toute personne ayant la nécessité d’estimer la sécurité d’une installation pourra trouver des bases bien avancées pour créer ses outils et gagner ainsi en efficacité.
Il suffit, d’ailleurs, de regarder un outil comme wireshark, pour constater que les protocoles propriétaires de Cisco ou Alcatel-Lucent (retour depuis la version 1.8 ?!) sont analysés avec une reconnaissance applicative. Quelques captures ciblées permettront de comprendre les différents éléments structurants, ouvrant ainsi la porte à des développements exploitants ces informations.
Pour illustrer le sujet, je vous propose une petite vidéo dans un environnement de téléphonie sans mesure de sécurité particulière (les IP Phones sont identifiés par leurs adresses MAC). Bien que le protocole utilisé soit propriétaire, il est finalement assez facile de reproduire le comportement des scripts permettant de faire sonner les téléphones SIP :
voir la vidéo sur Dailymotion : téléphonie d'entreprise : la sécurité par l'obscurité ne marche pas
La solution au problème soulevée dans la vidéo ? Tout simplement activer l’authentification par certificat disponible dans le système. N’oublions pas que la mise en œuvre de ce type de solution est toujours plus simple lors d’un déploiement que sur un réseau déjà en production. Alors ne perdez pas de temps…
Concernant le problème des environnements propriétaires, il faut les traités comme s’ils étaient exactement au même niveau que le standard et donc déployer des mesures de sécurité homogènes à l’ensemble de la solution.
Cedric
crédit photo : © Pupkis - Fotolia.com
Membre actif de la communauté sécurité d'orange Business Services, je suis aujourd'hui en charge, au sein de l'équipe marketing « sécurité », de la bonne prise en compte de la sécurité dans nos offres traitant des communications sur IP, et cela du mode cloud à l'intégré classique. Un large périmètre pour rencontrer des problématiques complexes sur le plan technique comme sur le plan organisationnel. Bref, un océan de motivation pour toute personne qui marche au challenge et à l'envie d'apprendre.