Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Les API, nouveau risque majeur pour les applications de communications sur IP ?

Les API, nouveau risque majeur pour les applications de communications sur IP ?
2012-06-182013-02-27sécurité des communications unifiéesfr
L'intégration de plus en plus forte de la téléphonie avec les solutions IT a poussé les éditeurs à offrir de plus en plus de possibilités aux clients, intégrateurs, partenaires en ouvrant des API (Application programming Interface) permettant de piloter les systèmes de communications...
Publié le 18 Juin 2012 par Cedric Baillet dans sécurité des communications unifiées
API

L’intégration de plus en plus forte de la téléphonie avec les solutions IT a poussé les éditeurs à offrir de plus en plus de possibilités aux clients, intégrateurs, partenaires en ouvrant des API (Application Programming Interface) permettant de piloter les systèmes de communications sur IP.

la sécurité, c'est aussi pour les API

Si l’on adopte un point de vue fonctionnel, cette approche est porteuse de valeur et ne peut qu’être saluée. Malheureusement, ces ouvertures ne sont pas toujours réalisées avec le minimum de sécurité nécessaire.

Cet état de fait pourrait se trouver minimisé à la portion congrue, si la documentation des API évoquées n’était pas facilement accessible avec le SDK associé. La réunion des deux permet à tout technophile d’étudier les possibilités du système et éventuellement de pouvoir le piloter.

un exemple pratique

Pour aborder la question sous un angle pratique, au lieu de mettre en place un renvoi sur une messagerie vocale en piratant le compte utilisateur, il pourrait suffire de placer le renvoi sur le poste en paramétrant ce dernier via les API. Si le système n’est pas sécurisé, il peut même y avoir discussion sur la notion de pénétration… Réflexion qui peut être valable d’un point de vue technique, mais certainement très discutable sur une base juridique.

Le cas évoqué ci-dessus ne couvre qu’une possibilité parmi d’autres. Il pourrait ainsi être tout à fait envisageable d’avoir des pertes de confidentialité avec des appels en tiers sans signalement ou des mises en conférence sauvage.

ma conclusion

L’accès aux API de ces systèmes se doit donc d’être sécurisé au minimum avec une authentification (et toutes les bonnes règles en découlant). Il sera encore plus intéressant d’étudier les possibilités de restriction de fonctionnalités par profil ou encore la mise en œuvre de chiffrement sur les différents flux qui pourraient être échangés.

Comme toujours, ce travail peut sembler bien lourd alors que l’apport fonctionnel sera douteux. C’est l’éternelle histoire de la sécurité. Néanmoins, mettre ces quelques jours de travail en rapport avec les pertes qui peuvent être engendrées sur des fraudes me semble remettre la question dans un cadre plus réaliste : quelques milliers d’euros représentant le temps de travail des experts pour couvrir un risque récurent de plusieurs dizaines de milliers d’euros. A vous de choisir.

Cedric

crédit photo : © allapen - Fotolia.com

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage