4 conseils pour se prémunir des malversations téléphoniques

Partager

Les malversations téléphoniques  se matérialisent souvent par des fraudes financières via l'utilisation des serveurs de téléphonie. Malheureusement, les fraudes restent en 2015 toujours d’actualité ! Voici 4 conseils pour sécuriser les accès à vos systèmes de téléphonie.
 

1. réalisez l’inventaire de vos comptes d’accès

Vous disposez de plusieurs interfaces de connexion, les mots de passe peuvent parfois être différents !

  • Pour les utilisateurs : codes pin de postes, de messagerie vocale, mots de passe de softphones, de messageries instantanées ou d’interfaces de configuration de postes
     
  • Pour les exploitants : accès en mode console aux équipements, connexions par intranet, etc.
     

2. identifiez une politique de robustesse de mots de passe

à base de majuscules, minuscules, caractères spéciaux, chiffres confondus et si possible au moins 6 digits.  Selon votre constructeur de téléphonie et la version de l’équipement, vous pouvez disposer de règles natives de robustesse par défaut et paramétrables.

Les actions suivantes sont toutefois à appliquer :

  • ne gardez jamais les  mots de passe par défaut
  • bannissez les mots de passe simples (0000,1234,…)
  • ne communiquez jamais  votre  mot de passe
  • changez votre mot de passe au moins une fois par trimestre et systématiquement en cas de doute sur une atteinte à sa confidentialité
  • ne réutilisez jamais le même mot de passe
  • si vous disposez d’un poste à privilèges, verrouillez le systématiquement votre poste en cas d’inactivité
  •  

3. n’activez uniquement que les services téléphoniques nécessaires

Entrée en tiers, écoute discrète, substitution de postes, accès à l’international et numéros surtaxés, sont la cible de fraudeurs:

  • Grâce aux entrées en tiers et écoutes discrètes, il est possible d’exploiter de façon malveillante les fonctionnalités téléphoniques pour écouter les postes de collaborateurs lorsqu’ils sont en communications.
     
  • Via des fonctions de décrochage automatique de poste à distance, il est possible d’écouter des conversations dans une pièce disposant d’un poste téléphonique.
     
  • Via la fonction « substitution », il est possible de prendre les droits d’un poste téléphonique à privilèges et dont le mot de passe est non robuste. Par exemple pour récupérer des droits d’accès à l’international et à des numéros surtaxés.
     

4. focus spécifique sur la messagerie vocale 

Pour se connecter à la MeVo d’un poste, il suffit de composer son numéro et de taper les chiffres du code confidentiel qui, malheureusement, ne sont pas assez personnalisés (0000 ou 1234).

Fort de cette facilité, les pirates activent le renvoi d’appel vers des numéros surtaxés à l’étranger ou utilisent des fonctions de rappel de l’appelant. Il est donc nécessaire de changer les codes PIN, de bloquer certaines fonctionnalités de la messagerie et de restreindre les capacités de cette messagerie à appeler vers l’extérieur.
 

Afin de limiter les risques de fraudes sur vos installations téléphoniques, pensez à vérifier avec votre installateur PABX que toutes ces règles de sécurité sont bien mises en place.

Dans un prochain article, je ferai un focus sur les fraudes téléphoniques réalisées via Internet.

 

Marc Lefebvre

Marc Lefebvre

Consultant Sécurité au sein d'Orange Consulting, je suis en charge notamment du développement de l'offre d'audit et conseil sur les fraudes et autres malversations portant sur les écosystèmes de communications unifiées. Je développe mon expertise grâce à des tests en laboratoires, des missions d'audits et conseil ou des projets d'accompagnement de mise en place de solutions de communications unifiées auprès de nos clients entreprise.