Retour d'expériences sur la sécurité de la téléphonie sur IP (VoIP)

Le magazine CIO a proposé au mois de septembre dernier un état des lieux sur la mise en œuvre d'infrastructures de voix sur IP (VoIP) au sein des entreprises américaines. Nous avons décidé de reprendre ces informations en les complétant afin de vous présenter certains enjeux sécurité de cette nouvelle technologie, en particulier ceux liés à la sécurité de l’infrastructure elle-même.

Etat des lieux :

Aujourd'hui de plus en plus d'entreprises utilisent des équipements de voix sur IP pour leurs communications vocales. Il a été relevé que 10% des entreprises américaines utilisent ce moyen de téléphonie avec une prévision de 45% pour 2007. En 2004, 25 % des investissements en Téléphonie d’Entreprise (PABX) étaient réalisés sur des produits Voix sur IP, avec une prévision de 50% pour 2008. Cette tendance est encore plus visible au sein de la communauté des fournisseurs d'accès (FAI) qui proposent à leurs abonnés des services de téléphonie IP tels que les forfaits "illimités" (dégroupage total) sans passer par un opérateur RTC classique. Le secteur de la VoIP a également fait la une ces derniers temps à la suite des rachats stratégiques par de grands groupes de petites sociétés travaillant dans ce domaine pour des sommes faramineuses.

L'émergence de la voix sur IP fait face à des enjeux économiques (réduction des coûts vis-à-vis des communications classiques) et technologiques (plus grande accessibilité aux services et richesses des fonctionnalités multimédia proposées). Mais il n'en reste pas moins que la téléphonie reste un élément "critique" pour bon nombre d'entreprises (centres d'appel, fournisseurs de service…). Nous rappelons à ce propos les problèmes survenus, il y a quelques mois, à deux opérateurs français sur leur infrastructure VoIP.

Nota : Afin de ne pas se perdre dans les acronymes du monde de la voix sur IP, quelques définitions figurent en fin d'article.

Dorénavant, la téléphonie via le service de VoIP, qui s'appuie désormais sur un réseau informatique, se voit exposer à la même problématique que les réseaux de données (en complément de celle liée à la téléphonie et notamment à la fraude et de reroutage) avec ses vulnérabilités inhérentes et ses vers qui viennent "polluer" le bon fonctionnement de l'infrastructure. De plus, un facteur clé de la téléphonie devient prépondérant, c'est celui lié à la notion de temps réel (et donc de disponibilité) induit par les communications vocales. Pour mémoire, le réseau IP historiquement n'a pas pour vocation d'acheminer les messages en temps réel (ce qui est contradictoire avec l'acheminement de la voix), mais a été pensé et élaboré pour être robuste et garantir l'acheminement de l'information (en cas d'attaque nucléaire). Le protocole IP s’appuie sur des réseaux à commutation de paquets alors que les réseaux voix s’appuient sur de la commutation de circuit. Cette différence est essentielle car elle permet d'aborder cette problématique de manière plus générale sous l'aspect de VoP ("Voice over Packet") qui inclut par exemple les risques liés aux couches OSI 1 et 2 des réseaux ("Mac spoofing", ….)

La sécurité d'une infrastructure de VoIP se doit dès lors de répondre aux menaces suivantes :

• Ecoute passive: C’est le risque le plus visible pour ces réseaux. L’écoute peut être interne (ex : cheval de Troie sur un PC qui écoute les "softphones") ou sur les interconnexions entre le PABX sur Internet (si l’architecture n’est pas correctement mise en œuvre).
• Masquarade : Un utilisateur détourne les fonctionnalités des "IP Phones", "SoftPhones", équipements de signalisation pour se faire passer pour un autre utilisateur.
• Accès non autorisé/fraude : Détournement des fonctionnalités du service pour accéder à des services illicites (accès international, …).
• Déni de service : Perturbation du service via des attaques sur la signalisation ou sur les équipements d’infrastructure. Ce type d'attaque reste très critique pour des entités dont le service téléphonique est vital pour son fonctionnement (centre d'appel, support technique, ...)
  

Outre ces menaces, le service de VoIP doit également prendre en compte les vulnérabilités spécifiques aux infrastructures VoIP.

• Défaut de sécurité physique : Les équipements sont maintenant des équipements réseaux. Ils ne sont pas nécessairement tous protégés de la même façon que les équipements télécom utilisés avant eux (armoires de brassage, Autocommutateur, …).
• Architecture réseau: Le fait de partager le réseau "voix" et le réseau "données", le fait de ne pas chiffrer les communications inter-sites sur Internet, le fait de ne pas placer les équipements du service ("Media gateway", annuaires, …) dans des DMZ, de ne pas segmenter les flux de signalisation et les flux données, …. Tous ces éléments sont autant de points qui concourent à la réalisation des menaces citées plus haut.
• Architecture de service : La spécificité des réseaux VoIP est l’utilisation de protocoles dédiés (protocoles de signalisation et protocoles de transport de la voix) au dessus du protocole IP. Ces protocoles, dans leur conception, peuvent présenter des vulnérabilités. Il est également important de faire les bons choix d’implémentation et de respecter les règles de sécurité. Cela est le cas lorsque du chiffrement est mis en œuvre (politique de gestion des clés, protection des informations, …)
• Logiciels et applications : Comme tout logiciel existant, ceux dédiés à la VoIP sont susceptibles de présenter des problèmes liés à la sécurité (Cf. article du Bulletin Sécurité du Cert-IST de février 2003 "Le projet PROTOS teste les vulnérabilités du protocole SIP" et celui de juillet 2005 "La sécurité de la téléphonie sur IP (VoIP)" et l'avis CERT-IST/AV-2004.090)⁽¹⁾. Bien que cet aspect fût déjà connu des infrastructures télécom standard (sur les PABX par exemple), l’accessibilité (au sens réseau) étant initialement limitées et les risques étaient généralement plus faibles (notamment face aux attaques virales). De part l'évolution des technologies et la multiplicité de services offerts par une architecture VoIP, les applications deviennent de plus en plus complexes (les technologies NGN s’accompagnent de services tiers comme des serveurs Web d’enregistrement, des annuaires partagés avec des fonctionnalités de type "clic-to-dial", services de messagerie instantanée, ….). Cette tendance apporte alors des risques supplémentaires à maîtriser (par exemple sur les applications web).
• Administration/Exploitation : Les éléments sensibles des services VoIP peuvent être administrés de façon peu sûre (pas de chiffrement, pas de définition de profil, listes d'accès, ..) par soucis de commodité ou d'installation "par défaut" des solutions⁽²⁾. Ainsi, la compromission de l'un d'entre eux pourrait nuire à la disponibilité ou l’intégrité du service ou à la confidentialité des données transmises. Une mauvaise gestion des traces ne permettrait pas non plus de détecter les éventuelles agressions ou fraude sur le service.

⁽¹⁾ : Les couches logicielles des équipements centraux (serveur de gestion des appels) de VoIP s'appuient généralement sur des plates-formes Linux ou Microsoft, plates-formes régulièrement mises en défaut par des vulnérabilités et des vers informatiques. Par exemple, une compagnie américaine a eu son réseau VoIP mis hors service par les vers "Sasser" et "Code Red" car l'acheminement du trafic VoIP utilisait comme support le réseau de données de l'entreprise et des plates-formes Microsoft Windows. Mais le risque deviendrait encore plus important si une personne malveillante arrivait à prendre la main sur le serveur de gestion des appels, équipement névralgique du réseau VoIP. Il est donc très important de sécuriser/durcir ces plates-formes (ne pas se satisfaire de la configuration par défaut) au niveau du système d'exploitation, mais aussi des applications. Une mise à jour régulière, en termes de correctifs, est également nécessaire.

Un autre point qui retient l'attention est l'installation de plus en plus répandue de logiciels sur le PC ("Softphones") remplaçant les téléphones "matériels" notamment avec les logiciels  "MSN" et "Skype". Ainsi, dans ce cas de figure, si le poste de l'utilisateur venait à être compromis, les communications vocales ne tarderaient pas à l'être par la suite. Cependant, l'utilisation de ce type d'outil sort du cadre d'une architecture classique de téléphonie sur IP. Nous revenons plus en détail sur la problématique de "Skype" dans un autre article de ce bulletin.

 ⁽²⁾ : Les équipements clients ("téléphone" – "User Agent") peuvent être des éléments sensibles de l'architecture. Notamment, les téléphones IP classiques possèdent par défaut des fonctionnalités de mise à jour (firmware et configuration) via des services peu sécurisés (TFTP/HTTP).

Face à cet ensemble de menaces, il est dès lors indispensable d'intégrer la couche sécurité en amont de tout projet (de migration) de voix sur IP car ce type d'infrastructure est plus sensible aux problèmes de sécurité qu'un réseau RTC classique.

Il est également nécessaire de définir le périmètre du projet de migration en fonction du besoin initial (téléphonie "tout IP", téléphonie inter-sites en IP seulement, …) afin d'orienter au mieux la politique de sécurité du système d'information.

Les solutions/recommandations :

Dès lors, face à cette problématique "nouvelle", mais déjà abordée avec les réseaux de données, un certain nombre de recommandations peuvent être mises en œuvre afin de sécuriser les infrastructures de voix sur IP.

La principale recommandation mise en lumière par les différentes entreprises interrogées par CIO est de maîtriser le processus de migration/déploiement avec une migration par étape (basculement des communications internes d'un site de l'entreprise ou de quelques services, puis basculement des communications inter-sites, …).

Ensuite il est également conseillé de calculer les risques induits par la VoIP par rapport aux protections mises en œuvre : accès aux services d'urgence et de sécurité à tout moment, traitements des communications sensibles des laboratoires, …

Afin de garantir la sécurité de ce type de service, il est alors nécessaire d'avoir une infrastructure VoIP adaptée aux menaces encourues. Pour cela, il est recommandé de :

• cloisonner les réseaux données/voix sur des VLAN (Virtual LAN) ou des réseaux distincts,
• segmenter le réseau de VoIP vis-à-vis des équipements critiques (serveur de gestion des appels, passerelle vers le monde RTC),
• utiliser des gardes-barrière dédiés et spécifiques à la VoIP qui permettent de réduire au maximum les temps de latence dus au filtrage et/ou chiffrement des données,
• filtrer les accès réseau aux serveurs et autres équipements sensibles de l'infrastructure VoIP,
• durcir les configurations des équipements réseau, plates-formes logicielles, des téléphones notamment vis-à-vis des services d'administration (telnet, SSH, HTTP,…),
• suivre l'évolution des vulnérabilités impactant les équipements de VoIP et les systèmes d'exploitation des plates-formes hébergeant les logiciels de VoIP.
• authentifier les équipements clients (téléphones) légitimes de VoIP (adresses MAC, utilisation de certificats numériques),
• chiffrer le trafic VoIP et notamment le trafic de signalisation SIP (en mesurant néanmoins l'impact sur la fluidité des communications),
• utiliser des solutions anti-virales afin de protéger les plates-formes logicielles,
• surveiller en temps réel les serveurs de gestion d'appels et les équipements VoIP associés (ex : garde-barrière, commutateurs, …),
• prévoir des équipements, des bases de données et des sources d'énergie redondantes,
• sécuriser l'accès physique aux serveurs de gestion des appels et autres équipements sensibles.
  

En conclusion :

L'attrait de la voix sur IP ne doit pas faire oublier les contraintes de sécurité qui doivent être mises en œuvre pour protéger ce service. De même, la relative jeunesse de cette technologie n'a pas permis de faire émerger des standards prenant en compte l'aspect sécurité au cœur de leur spécification. Un déploiement pragmatique se basant sur les acquis de la sécurité du monde des réseaux de données ne peut être qu'une approche conseillée à toute société souhaitant se lancer dans l'aventure de la VoIP.

Quelques définitions :

• VoIP (Voice Over IP) : Le fait de transporter de la voix sur un réseau IP (et donc sur Internet: ex : interconnexion de PABX de sites distants).
• Media gateway : plate-forme permettant de faire l'interface entre le monde de la voix sur IP et le monde de la téléphonie classique (RTC. RNIS).
• IP phone : téléphone (matériel) dédié au réseau voix sur IP proposant des fonctionnalités plus étendues que les téléphones classiques.
• SoftPhone : téléphone (logiciel) s'installant sur les PC des utilisateurs, qui, via une sortie son (casque ou haut-parleur) et un micro, permet de communiquer avec un autre utilisateur via le réseau voix sur IP. Cette solution offre des services multimédia encore plus étoffés que la précédente. Ce type de logiciel est aussi utilisé par des réseaux de communication tiers comme Skype, MSN, …
• ToIP (Telephony Over IP) : caractérise une offre plus complète que la voix sur IP (voix, données) sur un réseau IP. C’est donc une infrastructure d’entreprise à base de "Softphone", "IP phone", "Media gateway", …).
• NGN ("Next Generation Network") : Terme orienté service comprenant par exemple la messagerie unifiée, annuaires, "clic–to-dial", Messagerie instantanée (IM), tableaux blancs, …
• CTI (Couplage Téléphonie Informatique) Interconnexion des services généralement utilisés pour les données (e-mail, gestion des contacts, gestion des rendez-vous, partage de fichiers, ….) avec les services téléphonie (sous-ensemble des services NGN).
• VoP (Voice Over Paquet) : Transporter de la voix sur des réseaux à commutation de paquets (alors que celle-ci emprunte traditionnellement des réseaux à commutation de circuit – réseau RTC).

 
Pour plus d'information : 

• Article de CIO : http://www.cio.com/archive/091505/voip.html?page=1
• Article de CSO : http://www.reseaux-telecoms.com/cso_btree/05_09_16_164732_513/Newscso_view
• Article de ZDNet : http://www.zdnet.fr/actualites/internet/0,39020774,39267873,00.htm
• Documents de Cisco sur la sécurité de la Voix sur IP : http://www.cisco.com/en/US/netsol/ns340/ns394/ns165/ns391/networking_solutions_package.html
• Sécurité de la VoIP : http://www.securite.org/presentations/voip/SSTIC04-VoIP-NF-v1.ppt
• Documents du NIST :
  • http://csrc.nist.gov/publications/nistpubs/800-58/SP800-58-final.pdf
  • http://csrc.nist.gov/pcig/CHECKLISTS/voip-checklist-073004.doc
• Document du DISA : http://iase.disa.mil/stigs/stig/voip_stig_v1r1.pdf
• Documents de VOIPSA ("Voice over IP Security Alliance") : http://www.voipsa.org/Resources/whitepapers.php
• De plus nous vous signalons qu'Alcatel a mis ses propres exemples de préconisations dans le domaine à la disposition des autres partenaires au titre de la mutualisation "intra partenaires" du Cert-IST.