La sécurité de VoIP a des ratés

Sécurité et VoIP ne font pas encore bon ménage. C’est la conclusion à laquelle est arrivée l’entreprise de sécurité belge Scanit après avoir effectué une étude personnelle. “Ne jetez pas l’enfant avec l’eau du bain”, écrit Scanit, “mais soyez conscient des gros risques que vous courez.”

Il existe deux grands groupes d’attaques visant les applications VoIP: celles de type ‘signalling’ et celles de type ‘mediastream’. Avec le premier groupe, le protocole SIP est piraté, et les communications téléphoniques peuvent être écoutées, déviées ou modifiées (pollution textuelle, ajout de nouveaux utilisateurs,…). Quant aux attaques Mediastream, elles servent à écouter et enregistrer les communications VoIP via le protocole RTP (real-time transport). Dans le cas de communications VoIP avec des banques, où l’on décline souvent des codes PIN, le pirate est aisément capable d’accéder aux codes en écoutant les tonalités.”Cela ne signifie pas que les entreprises doivent renoncer à l’idée d’opter pour une implémentation VoIP. VoIP peut être sécurisé moyennant un minimum d’efforts supplémentaires lors des phases de développement et de mise en oeuvre”, ajoute encore Scanit.Vous trouverez le ‘white paper’ de Scanit à propos de VoIP sur:[http://www.scanit.net/whitepapers/pdf/VoIP_Security.pdf]