Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

La sécurité par l'obscurité ne marche pas

La sécurité par l'obscurité ne marche pas
2012-09-172013-02-28sériesfr
Le fait de travailler dans des environnements semi propriétaires, dans le monde de la téléphonie d'entreprise notamment, donne le sentiment à certains d'entre nous que les risques sont moindres. Bref que le concept de sécurité par l'obscurité est toujours valable. Dans le cadre...
Publié le 17 Septembre 2012 par Cedric Baillet dans séries
la sécurité par l'obscurité ne marche pas

Le fait de travailler dans des environnements semi-propriétaires, dans le monde de la téléphonie d’entreprise notamment, donne le sentiment à certains d’entre nous que les risques sont moindres. Bref que le concept de sécurité par l’obscurité est toujours valable.

Dans le cadre particulier évoqué dans ce post, cela touche notamment les protocoles de signalisation. S’il n’y a plus de discussion sur le fait que SIP est devenu le standard de facto, le terrain (la vraie vie ?) nous montre que certaines fonctionnalités n’ont pas été portées et impose donc toujours l’utilisation du protocole propriétaire.

Le fait que la structure de ce dernier ne soit pas officiellement déclarée apaise la conscience de la voix « sécurité », mais c’est vite oublier que de nombreux experts ont travaillé à l’analyser et ont publié leurs résultats sur Internet. Il est donc probable que toute personne ayant la nécessité d’estimer la sécurité d’une installation pourra trouver des bases bien avancées pour créer ses outils et gagner ainsi en efficacité.

Il suffit, d’ailleurs, de regarder un outil comme wireshark, pour constater que les protocoles propriétaires de Cisco ou Alcatel-Lucent (retour depuis la version 1.8 ?!) sont analysés avec une reconnaissance applicative. Quelques captures ciblées permettront de comprendre les différents éléments structurants, ouvrant ainsi la porte à des développements exploitants ces informations.

Pour illustrer le sujet, je vous propose une petite vidéo dans un environnement de téléphonie sans mesure de sécurité particulière (les IP Phones sont identifiés par leurs adresses MAC). Bien que le protocole utilisé soit propriétaire, il est finalement assez facile de reproduire le comportement des scripts permettant de faire sonner les téléphones SIP :


voir la vidéo sur Dailymotion : téléphonie d'entreprise : la sécurité par l'obscurité ne marche pas

La solution au problème soulevée dans la vidéo ? Tout simplement activer l’authentification par certificat disponible dans le système. N’oublions pas que la mise en œuvre de ce type de solution est toujours plus simple lors d’un déploiement que sur un réseau déjà en production. Alors ne perdez pas de temps…

Concernant le problème des environnements propriétaires, il faut les traités comme s’ils étaient exactement au même niveau que le standard et donc déployer des mesures de sécurité homogènes à l’ensemble de la solution.

Cedric

crédit photo : © Pupkis - Fotolia.com

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage