book review : seven deadliest unified communication attacks

Le book review n’est pas un exercice courant sur ce blog. Néanmoins, je souhaite attirer l’attention sur le livre «Seven deadliest unified communication attacks ». Il me semble aborder son sujet de façon novatrice comparé aux différents ouvrages que j’ai pu lire, et n’a pas, selon moi, profité d’un éclairage suffisant et mérité depuis sa parution.

un livre sur la sécurité des communications sur IP

En effet, contrairement aux livres classiques traitant du sujet de la sécurité dans les environnements de téléphonie sur IP, cet opus étend le périmètre aux communications sur IP. La différence me semble de taille car cela englobe l’ensemble de l’écosystème de la téléphonie.

Or, il m’apparait évident qu’aujourd’hui la téléphonie n’est plus que le socle permettant à de nombreuses applications de fonctionner. Elle est rarement proposée sans messagerie, présence, partage collaboratif ou encore visio. Une bonne sécurité se devra donc de prendre l’ensemble de ses applications en considération. Et c’est bien cet aspect qui est abordé dans l’introduction et le premier chapitre.

Travail essentiel, car une bonne compréhension du périmètre (et de ses ramifications dans le système d’information global de l’entreprise) est la brique de base indispensable pour sécuriser un tel environnement.

un livre proche de l'actualité

Le chapitre 2 traite des terminaux des utilisateurs en partant du constat désormais classique : le terminal est désormais plus proche de l’ordinateur que du téléphone. L’approche sécurité est donc traitée comme tel et parcourt à la fois les aspects touchant les communications sur IP en traitant des risques propres à ces protocoles et les risques IT plus classiques.

Sont donc évoqués les dangers que les différentes interfaces de configuration web représentent. Ce point m’apparaît comme important puisque les alertes de ces trois dernières années ont clairement mis en évidence que le niveau de sécurité de ces interfaces n’était malheureusement pas encore mature. Pour le reste, les bonnes pratiques sont vigoureusement rappelées et cela ne fait pas de mal.

un livre qui décrit les risques

Les chapitres 4,5 et 6 traitent des différentes attaques que pourrait subir une solution de communication sur IP dans son ensemble.

L’approche pointe sur les risques propres à ces technologies et ne se perd pas dans le dédale de la sécurité réseau ou système. Aspect extrêmement positif, si l’on considère que cela amène des réflexions autour des dénis de service applicatifs ou encore des problématiques de fraudes économiques qui restent les incidents les plus courants et les plus problématiques, alors même qu’ils ont été fortement négligés ces dernières années. L’aspect IP de ces solutions ayant fait oublier les risques traditionnels associés aux applications de communications.

Focus : la question du fuzzing est également évoquée. Mes expériences de ces deux dernières années ayant montré que les solutions ne sont toujours pas immunisées contre ce type de tests (attaques pouvant mener à des DoS), une lecture attentive de ce point pour envisager de réaliser sa propre campagne de test pourrait être une approche intéressante.

Deuxième bonus, l’auteur évoque ce point à la fois pour les solutions centrales, mais également pour les terminaux des utilisateurs, apportant ainsi au lecteur une vue complète de la chaîne, quoiqu’il faille de nouveau parcourir le livre avec ce filtre spécifique pour se construire cette vue globale.

un livre tourné vers la sensibilisation

Les derniers chapitres traitent des changements technologiques au sein des offres opérateurs, ouvrent sur les dangers à venir (enfin, déjà fonctionnels mais encore peu répandus, au moins en Europe…) et appuient fortement sur les notions de fédération et de destruction de la notion de frontières géographiques. Que des points essentiels pour prendre en compte les évolutions des communications sur IP d’un point de vue sécurité.

Pour conclure, et comme vous l’aurez probablement deviné, j’ai apprécié la lecture de ce livre. Je trouve que l’approche permet de renouveler le traitement du sujet et surtout de bien prendre en compte les différents aspects des solutions modernes. Un seul regret (et c’est peut être mon coté « spécialiste » qui s’exprime), je trouve que si les risques encourus sont bien identifiés, les passages sur les contre mesures sont bien trop rapides.

Ceci dit, ce livre étant tourné vers la sensibilisation, dans un volume de page plutôt restreint comparé à la moyenne de la presse IT, cela n’est probablement pas anormal. Mieux vaut réussir à parcourir un livre comme celui-ci intégralement pour ensuite se tourner vers des ouvrages plus précis que de le lire en pointillé et rater des informations essentielles. Bref, un bon achat qui a sa place dans une bibliothèque dédiée à l’IT.

Cedric

Cedric Baillet

Membre actif de la communauté sécurité d'orange Business Services, je suis aujourd'hui en charge, au sein de l'équipe marketing « sécurité »,  de la bonne prise en compte de la sécurité dans nos offres traitant des communications sur IP, et cela du mode cloud à l'intégré classique. Un large périmètre pour rencontrer des problématiques complexes sur le plan technique comme sur le plan organisationnel. Bref, un océan de motivation pour toute personne qui marche  au challenge et à l'envie d'apprendre.