VoIP : Des communications cachées ?

Le tout IP est une réalité : Le fax fait encore de la résistance mais est en perte de vitesse et a ses jours comptés. L'IP s'est ensuite attaqué aux communications vocales : Pour commencer, le secteur du grand public s'est mis aux Skype et Gizmo puis les box (elles sont pas des stars ces boites magiques ?) se sont misent à remplacer la bonne ligne téléphonique ; le tout avec une qualité croissante et des prix en chute libre ou intégrés dans le forfait mensuel.

Les entreprises ont suivi : Les projets de "Transformation IP" (ou "IP-Transformation" pour être plus "in") font désormais partie de toute roadmap de tout DSI qui se respecte. Toutes les grandes banques ont fait le pas, ou sont en train d'y passer. Ce qu'il y a d'intéressant c'est que nous sommes dans un contexte un peu particulier : D'un coté nous avons une nouvelle technologie extrémement séduisante sur de très nombreux points qui commence uniquement a être réellement maitrisée et fiable alors que d'un autre coté nous sommes encore au début de l'aventure pour ce qui concerne sa sécurisation. Quelques démarches sont en cours, pour preuve la Voice Over IP Security Alliance (Voipsa.org) qui aide à structurer le terrain.

Notre propos ne portera pas sur la sécurisation de la VoIP. Nous allons plutôt nous attarder sur comment cette nouvelle techno peut être détournée à l'avantage d'un attaquant pour masquer des communications au sein d'un réseau. Les impacts sont grands : La VoIP a pour caractéristique assez particulière de mettre en relation directe les deux parties en communication, ce sans intermédiaire : Lors d'une communication vocales, la voix est numérisée et envoyée directement au destinaire et vice-versa : Un peu du P2P pour simplifier.... Le protocole utilisé est le RTP.

Si vous savez détourner le protocole RTP à votre avantage, vous êtes de facto en mesure de communiquer librement au sein d'un réseau... Si ce protocole était bloqué entre sites point de communications vocales, donc pour une société ayant fait le grand saut vers l'IP-Transformation les flux seront ouverts...

La technique de cacher un flux au sein d'un autre flux afin de ne pas être détecté ou de contourner des règles de filtrage, s'appelle un "canal caché" ou "covert channel" ; du même type la stéganographie est l'art de cacher des informations au sein d'autres. Les "covert channels" sont bien connus, les plus classiques se basent sur des protocoles comme l'ICMP, le DNS mais surtout le HTTP et le HTTPS.... Faites une recherche sur "Firewall piecing" dans votre moteur favori...

Du "covert channel" dans le RTP.... Et oui, et ce même en conservant des conversations audibles si elles venaient à être écoutées (on ne sait jamais quelqu'un pourrait se méfier de quelque chose ou n'avoir que cela à faire...). Si vous êtes prêt à prendre le risque que les communications soient incompréhensibles, vous augmenterez le débit du canal caché.... Entre vous et moi, le nombre de sociétés qui font de la détection de covert channel sur le RTP n'est pas monnaie courante....

Ok. Je vous vous voulez en savoir un poil plus sur le sujet ? Pas de problème, pour commencer un document qui vous présente la théorie : Uninformed, Real-Time Steganography with RTP pour ensuite une librairie pour mettre cela en pratique : SteganRTP.

Les techniques de protection ? Un premier rempart serait d'avoir des firewall "compatibles VoIP" afin d'ouvrir dynamiquement les ports pour les flux RTP entre deux parties ou endpoints. Dans ce cas, un attaquant devrait simuler un poste VoIP (ou un softphone) pour ensuite envoyer ses flux RTP "bidouillés". Dans le cas contraire, il reste la possibilité de faire de l'injection "à la volée" dans les flux RTP pour y insérer les "données masquées".... On monte d'un cran dans le niveau de l'attaquant, donc on diminue sensiblement le niveau de risque.

Existe-t-il une "Silver Bullet" à ce problème ? bof... Peut-être... N'hésitez pas à nous faire part de vos idées/liens sur le sujet.