Document sans titre

Sommaire

A. Introduction
B. Constat
C. Attaque d'une infrastructure PABX
D. Menaces
E. Points à surveiller
F. Sites Internet
G. Typologie d'une attaque
H. Comment s'en prémunir
I. S'organiser en conséquence

A. INTRODUCTION

Après la sécurité informatique, l'entreprise découvre aujourd'hui tous les problèmes de sécurité liés à leur(s) installation(s) téléphonique(s).
Le PABX ne fait pas assez l'objet d'attentions particulières en matière de sécurité.
Et, en général, les entreprises ayant subi une attaque ou une fraude le dissimule assez rapidement.
Les PABX sont devenus de vrais systèmes informatiques avec connectivité IP, et de multiples portes d'accès physiques et logiques.

B. CONSTAT

Au travers d'un PABX, on peut (en plus du téléphone !) :
- pirater ou détruire des informations,
- écouter des gens, détournet des télécopies,
- se substituer à quelqu'un,
- provoquer des dysfonctionnements graves ou des arrêts de service,
- téléphoner gratuitement à des opérateurs télécoms vers l'extérieur,
- pénétrer le système d'informations par rebond.

Tous ces actes peuvent avoir des conséquences très graves pour l'entreprise :
- conséquences financières,
- conséquences sur la notoriété,
- conséquences sur la pénévinité de l'entreprise,
- conséquences pénales pour les dirigeants (article 226-17 du code pénal : loi Godfrain 2 mois à 5 ans /300 € à 300 K€ max., négligence/protection 5 ans et 300 k€ max.).

C. ATTAQUE D'UNE INFRASTRUCTURE PABX

Qui peut avoir intérêt à pirater un PABX ?
- personne interne (bidouilleur, accro au téléphone/minitel rose, personne ne voulant pas payer ses communications),
- prestataire externe (gardien, télémainteneur, stagiaire, etc.),
- phreakers et hackers (pirate utilisant tous les moyens illicites ou pas pour détourner, utiliser à son compte les infrastructure de télécommunications privées/publics pour téléphoner massivement et gratuitement, ou utiliser l'infrastructure visée pour faire un rebond vers une autre cible pour ne pas être détectée).

D. LES MENACES

- disponibilité (systèmes, blocage, occupation, mauvais dysfonctionnement ?),
- intégrité (cheval de troie dans OS-PABX, recomposition des messages vocaux, ursupation d'une boite vocale, modification des données de programmation),
- imputabilité (authentification, tracabilité, etc...), utilisation abusive des ressources, taxation falsifiée (poste non justifié, poste substitué, etc...),
- confidentialité (écoute téléphonique, écoute boites vocales, enregistrement des conversations, etc..).

E. LES POINTS A SURVEILLER

- les accès de télémaintenance (RTC, RNIS,ADSL),
- les accès V24 des PABX,
- la messagerie vocale (mévo) et sa console si elle existe,
- la fonction DISA (Direct Inward System Access),
- les numéros verts,
- les numéros spéciaux (télétel, audiotel, numéros courts + GSM),
- la taxation (interne au PABX ou rapatriée ensuite sur le serveur), il faut impérativement comparer la taxation détaillée (facture détaillée des opérateurs) avec la taxation interne ,
- les télécopieurs,
- les modems "sauvages" (pour utiliser un autre FAI ou bien accéder à une télémaintenance externe),
- l'infrastruture de télécommunication (câbles, émetteurs),
- la mise à jour des routeurs, PABX, etc..
Afin d'éviter tous les utilisateurs inconnus, il faut en règle général beaucoup insister sur les mises à jour des différents éléments critiques ou pas (PATCH/OS/IOS) afin d'avoir la meilleure sécurité possible.

F. DE NOMBREUX SITES INTERNET FOURNISSENT :

- des méthodes de piratages,
- des outils de piratages,
- des informations sur les sites à pirater,
- des précautions à prendre pour être détectable,
- des vulnérabilités (à jour) des systèmes.
Il est très important d'avoir toutes les mises à jour possibles sur tous les systèmes en les patchant régulièrement.

G. TYPOLOGIE DES ATTAQUES

- abus des ressources (téléphoner en imputant la taxation sur un autre poste, activation d'un serveur 3615, aboutements d'appels, substitution, DISA, entrée en tiers),
- écoute téléphonique avec un simple écouteur MUM d'un condensateur ou utilsation des fonctions d'interphonie/entrée en tiers sans bip sur les postes numériques en mode mains-libre,
- piratage du PABX par intrusion (lectures et modifications possibles de toutes les données du PABX ou du réseau de PABX). A cette occasion, un pirate pourrait prélever des données confidentielles et/ou importantes,
- sabotage du PABX (après intrusion : destruction des données et/ou arrêt/redémarrage intempestif du PABX).

H. COMMENT S'EN PREMUNIR

- audit de sécurité télécom orienté voix,
- analyse de trafic, contrôle de facturation (détection des anomalies),
- surveillance des locaux PABX,
- sécurisation des accès de télémaintenance,
- modification trimestrielle des passwords associés aux logins (pas de mots de passe triviaux),
- chiffrement des conversations téléphoniques sensibles (du type DCS 500 en analogique)
- tracabilité des connexions distantes,
- mise à jour des shémas logiques et techniques (sans les faire trainer sur le bureau),
- vérification mensuelle de la présence des modems de sauvegarde,
- vérification mensuelle des incidents majeurs et critiques (PABX, serveurs),
- la sécurité téléphonique.

I. S'ORGANISER EN CONSEQUENCE

- prise de conscience des dangers potentiels (information et formation des usagers),
- établir la politique de sécurité (pour cela, voir les cahiers des charges de l'administration française récente),
- établir la liste du personnel habilité à accéder aux serveurs ou aux PABX,
- mise en place de règles d'urgence.