ANALYSE DES PROBLEMES ET DES SOLUTIONS DE SECURITE DE LA TELEPHONIE SUR IP
Ce chapitre a pour objectif d’analyser les principaux problèmes de sécurité de la téléphonie sur IP et les solutions proposées. Au travers des principales menaces rencontrées, nous présentons quels sont les techniques existantes pour s’en prémunir. L’analyse met en évidence les problèmes d’interopérabilité dus à l’hétérogénéité des réseaux et des protocoles de ToIP. Chaque système ayant ses propres mécanismes de sécurité, la sécurité de bout-en-bout des appels n’est actuellement pas considérée, sauf pour des usagers gouvernementaux. Seule une solution basée sur le canal média semble répondre à cette problématique. La téléphonie a connu ces dernières années une véritable révolution avec l’émergence de la téléphonie sur IP, qui apporte néanmoins certains inconvénients comme la problématique de la sécurité. La téléphonie sur IP cumule les vulnérabilités de la téléphonie classique et celles des réseaux informatiques. En déployant ou en adoptant une solution de ToIP, les entreprises et les particuliers exposent leurs systèmes à de nouvelles menaces. Le téléphone structurant très fortement notre manière d’échanger, la ToIP est une ouverture sur les données personnelles ou professionnelles. Par exemple, l’accès frauduleux à l’information au travers du téléphone est déjà une réalité pour les mafias qui ont organisé le marché noir d’informations issues des écoutes téléphoniques en Italie et en Grèce [CHA08]. Parallèlement, la ToIP correspond à une véritable transformation des télécommunications. La ligne téléphonique est dématérialisée, le service est dorénavant lié à un compte usager (caractérisé par identifiant et un mot de passe) auquel on associe des services comme la téléphonie, la visioconférence ou encore la messagerie. Tout cela est indépendamment du réseau d’accès ou de transport, de la localisation ou du type de terminal. L’utilisation d’un compte de ToIP sur un ordinateur d’hôtel pendant ses vacances permet certes de téléphoner à moindre coût, mais pose la question du stockage des données personnelles sur un équipement non maitrisé. La sécurité doit évidemment prendre en compte cette notion de mobilité.
Les infrastructures de téléphonie sur IP sont composées d’un ensemble d’équipements utilisant les technologies de l’Internet et de systèmes informatiques. Les usagers exploitent des terminaux interagissant avec différents types de serveur afin de gérer les comptes, la mobilité, la localisation et évidemment l’établissement de l’appel. Pour réaliser une telle infrastructure de téléphonie, de nombreux éléments matériels ou logiciels sont nécessaires comme : Le logiciel7 est l’élément intelligent des équipements de ToIP. Il se retrouve dans les autocommutateurs (i.e. Asterisk [AST], 3CX [3CX]) et les téléphones (i.e. Twinkle [TWI], 3CX Phone [3CX]). Il permet à un équipement informatique de réaliser une fonction ou un service du monde des télécommunications. Il prend également en compte les spécificités de l’équipement d’accueil. Les solutions issues des choix d’architecture du réseau seront évoquées dans ce mémoire mais ne feront pas l’objet d’une étude exhaustive. L’idée de notre étude n’est pas de lier la sécurité à l’infrastructure de téléphonie car, par définition, les appels doivent mettre en relation des personnes qui n’appartiennent pas forcément au même domaine ou qui ne sont pas reliés au même réseau local.
Les protocoles de la téléphonie sur IP
Un protocole est une formalisation permettant la communication entre plusieurs processus. En l’occurrence, un protocole de téléphonie doit permettre l’établissement d’une communication audio entre au moins deux personnes. Dans le monde de la ToIP, il existe une multitude de protocoles. SIP [RFC3261] est actuellement le plus populaire mais il faut également citer H323 [H323], SCCP (Skinny Client Control Protocol de Cisco) ou encore Skype [SKYPE]. L’arrivée de la ToIP constitue de nouvelles opportunités d’attaques dans le monde des systèmes d’informations. La signalisation et la voix partageant le même réseau ou au moins les mêmes technologies que les réseaux de données IP, la téléphonie partage les mêmes vulnérabilités que les réseaux de données. A cela il faut rajouter les risques propres à la signalisation de la ToIP et au transport de la voix. Le tableau 1 fournit un premier niveau de description en précisant les différents risques liés à la téléphonie sur IP.