nouvelles menaces de sécurité pour la VoIP

VoIPshield Laboratories, spécialiste de sécurité en matière de voix sur IP (VoIP), a récemment annoncé la découverte de plusieurs failles de sécurité affectant la VoIP et les communications unifiées. Pour la première fois, la société s'est axée sur des problèmes de sécurité avec le protocole RTP (Real-time Transport Protocol), utilisé par les célèbres produits Microsoft Office Communications Server 2007, Office Communicator et Windows Live Messenger. Bien que les faiblesses découvertes soient spécifiques aux produits Microsoft, VoIPShield annonce que des failles similaires existent dans les produits d'autres fournisseurs.

« En général, pour contrôler la sécurité de la VoIP et des communications unifiées, les entreprises se concentrent sur le canal de signalisation lorsqu'elles utilisent SIP ou d'autres protocoles », explique Ken Kousky, PDG de la société de recherche et d'analyse sur la sécurité IP3 et consultant au VoIP Lab de l'Illinois Institute of Technology. « Jusqu'à présent, la communauté chargée de la sécurité a largement ignoré le rôle de la transmission en continu en tant que source d'activité malveillante. Mais les attaques provenant de ces vecteurs sont potentiellement persistantes et étendues. 

Selon VoIPshield, les failles identifiées dans les produits Microsoft pourraient potentiellement atteindre 250 millions d'ordinateurs à l'échelle mondiale. Si ces failles étaient exploitées, elles entraîneraient une attaque par déni de service (DOS) sur les applications et l'ensemble de l'environnement bureautique des utilisateurs. Toutefois, inutile pour les utilisateurs de produits Microsoft de paniquer : les failles n'ont pas été divulguées, VoIPshield travaille avec Microsoft pour colmater les brèches de sécurité, et des correctifs devraient être mis à disposition dans les meilleurs délais.

Toutefois, VoIPshield déclare que ces faiblesses ne sont que la pointe de l'iceberg, et explique que les attaques sur la transmission en continu peuvent entraîner des conséquences bien plus graves que le déni de service. Par exemple, la société évalue la possibilité pour un agresseur d'accéder à l'ordinateur d'un utilisateur en manipulant les paquets d'un appel VoIP.

La sécurité de la VoIP est depuis longtemps un sujet brûlant dans les sphères de la téléphonie, et j'ai abordé les principales menaces pesant sur ce secteur dans la lettre d'information d'Orange pour les entreprises au mois d'octobre de l'année dernière. Le blog de la VoIP Security Alliance est une bonne source d'informations continues sur la sécurité en matière de VoIP.
Anthony Plewes

After a Masters in Computer Science, I decided that I preferred writing about IT rather than programming. My 20-year writing career has taken me to Hong Kong and London where I've edited and written for IT, business and electronics publications. In 2002 I co-founded Futurity Media with Stewart Baines where I continue to write about a range of topics such as unified communications, cloud computing and enterprise applications.