Un jour, VoIP nous est présenté comme une technologie fiable et sans défaut, le lendemain, cette technique est plus noire que l'enfer. Le dernier article en date sur cet inépuisable sujet est publié par notre grand-frère CIO, sous le titre « Dial VoIP for Vulnerability ». Dénis de services qui provoquent un blocage des appels dans un cabinet de commissionnaires en bourse, vol d'informations gouvernementales après piratage d'un identifiant, chômage technique dans la grande distribution après qu'un virus informatique ait « débordé » et affecté le routage IP dédié à la téléphonie... ces scénarii, explique notre consoeur Susannah Patton, sont, aux dires des experts, quasiment inévitables.
Et de décrire, au fil d'un papier de 5 pages, les principes architecturaux de base de VoIP, les points de faiblesse et les règles élémentaires de bon sens qui permettront d'éviter certaines des catastrophes annoncées : déployer progressivement, à petits pas, en commençant par les communications internes. Séparer strictement les infrastructures IP data et IP phone -ndlr ne serait-ce que pour des raisons de bande passante-. Respecter les standards, et SIP en premier lieu (une pierre dans le jardin Skype). Truffez vos réseaux de firewalls et cryptez les flux, tout comme le seraient vos données. Assurez-vous que l'opérateur VoIP achemine les appels à destination des services d'urgence... c'est obligatoire au sein de la Communauté Européenne, ce ne l'est pas encore Outre-Atlantique, malgré les demandes de la FCC. Méfiez-vous des « soft phones », ou logiciels qui remplacent le poste téléphonique... car leur géolocalisation est parfois délicate, surtout si leur raccordement transite par un brin « sans fil ». Somme toute, « que du bonheur » pourrait dire une animatrice TV ou un footballeur à la mode.
Il manque cependant quelques recommandations que notre consoeur a totalement laissé passer :
- Méfions nous des affirmations péremptoires des vendeurs de sécurité. Pas plus tard que cette semaine, un « gourou mondialement reconnu » affirmait à l'équipe de CSO France, à propos du spam vocal, « Notre technologie AntiSpam peut-être utilisée telle que par les opérateurs de téléphonie ». Tudieu ! La société XXXX (nous serons charitables) aurait-elle déjà intégré un algorithme de reconnaissance et d'analyse sémantique vocale au coeur de ses programmes ? Cela explique probablement la raison pour laquelle ses anti-virus/antispam/antiphishing sont aussi long à charger : ils sont déjà prévu « VoIP aware » et tous capables de piéger le mot « Viagra » contenu dans un format MP3.
- Un changement de technologie ne signifie pas que les anciennes vulnérabilités ont subitement disparues, bien au contraire. La première faiblesse des réseaux téléphoniques, c'est son absence de mécanisme d'authentification. Et la première exploitation de cette faiblesse a pour nom social engineering. Il a encore de beaux jours à vivre, le coup du « Allo, c'est Martin, service comptabilité... vous pouvez initialiser mon mot de passe ? j'arrive plus à me connecter » et autres variantes de l'école Kevin Mitnick. Bien sûr, SIP nous promet précisément cette authentification. Mais une authentification qui ne porte que sur la liaison, et non sur la personne, et à condition que le correspondant prenne le temps de vérifier les données. Et ce sera rarement le cas, soyons en certain. Qui donc, lors d'une transaction Web, vérifie aujourd'hui la provenance et l'authenticité d'un certificat ?
- Vérifier les implications légales de cette nouvelle technologie. Dans quelle mesure le caractère numérique de la transmission ne contraint pas les responsables de fourniture d'accès et les CSO d'entreprises à conserver une « trace » des communications ou devoir apporter des preuves de confidentialité et d'intégrité des contenus ? Ou cette conservation de trace n'entre-t-elle pas en conflit avec des droits sociaux ? Les contrats SLA VoIP seront-ils calqués sur ceux en vigueur dans le monde « analogique temporel » ? Les disparités réglementaires internationales associées aux nouveaux modes de facturation de VoIP ne risquent-ils pas d'apporter leur lot d'inconvénients ? Ainsi, les mesures anti-spam protégeant les consommateurs européens dans le monde de la téléphonie classique (listes oranges par exemple) ne s'écrouleront-elles pas du fait de l'absence de lois équivalentes en Amérique du Nord ou dans le Sud Est Asiatique ?
Les réponses ne viendront qu'avec le temps. En attendant, il est urgent de se méfier des affirmations catégoriques émises par des spécialistes qui ne viennent pas au milieu de la téléphonie... on a déjà assez à faire avec le décryptage des discours des opérateurs eux-mêmes.