Le marché de la téléphonie sur IP a attiré de nombreux acteurs ces dix dernières années. Je les classifierai de façon sommaire (et avec un raccourci rapide) en trois blocs:
- les acteurs globaux,
- les éditeurs de solutions soft
- et les constructeurs d’IP Phones
Force est de constater que la plupart se sont orientés vers des interfaces web légères pour l’administration des solutions, que cela soit les serveurs ou les IP Phones. Une orientation logique, puisqu’elle utilise des standards, qui propose de la portabilité et réduit les coûts.
les interfaces Web... un nid de failles ?
Néanmoins, le trend d’alertes de ces dernières années sur ce type d’interface montre bien qu’il y a encore un long chemin à parcourir avant d’avoir quelque chose de propre et sécurisé pour les serveurs. Ce qui est malheureux, c’est que le même phénomène se retrouve sur les IP Phones avec peut être moins de mise en visibilité, ce qui est d’autant plus dangereux.
En effet, les failles répertoriées permettent en majorité de réaliser des dénis de service simplement (un PC pour faire tomber un grand nombre d’IP Phones) ou de récupérer les login/password avec les adresses des serveurs centraux. Autant dire qu’ils sont pointés du doigt sans pitié.
et les pompiers ont d'autres chats à fouetter !
Il sera d’ailleurs possible d'alourdir ce descriptif peu glorieux en indiquant qu’il s’agit majoritairement de protocoles et langages web peu difficiles à scripter, ce qui réduit d’autant la difficulté de réalisation d’outils pour automatiser les exploitations.
Certains pourront objecter qu’une faille, cela se patche, et qu’il s’agit là de l’éternel cycle de mise à jour de l’industrie informatique. Oui mais non… En effet, encore faut-il un patch pour mettre à jour.
Une petite enquête rapide du coté de certains éditeurs d’IP Phones fait en effet ressortir que les vulnérabilités web ne sont pas la préoccupation principale et que des vulnérabilités de conception ou d’architecture sur le service Web perdurent depuis de nombreux mois (années).
la preuve en images
Pour illustrer ce propos, voici la mise en œuvre d’un script perl simple exploitant une vulnérabilité de 18 mois sur un IP Phone. Et il semble que le patch ne soit toujours pas sur les rails…
(pssst ! Vous ne voyez pas la vidéo ? Visualisez-là directement sur Dailymotion ou YouTube)
Notez bien que la malheureuse victime de notre exemple ne devrait pas être clouée au pilori! Toute recherche sur les bases de vulnérabilités montrerons que les différents éditeurs ont eu ce type de faiblesse.
La solution : mettre en œuvre une authentification systématique pour l’accès à l’interface Web. Mais pourquoi n’est-ce donc pas réalisé par défaut ?
La sécurité de ces environnements devrait donc continuer à passer par de nombreux workaround et dépendra du sérieux des équipes d’exploitation. Alors, n’oubliez pas de mettre en place le maximum de filtrage et de désactiver les interfaces Web lorsque c’est possible.
Cedric
crédit photo : © ktsdesign - Fotolia.com
Membre actif de la communauté sécurité d'orange Business Services, je suis aujourd'hui en charge, au sein de l'équipe marketing « sécurité », de la bonne prise en compte de la sécurité dans nos offres traitant des communications sur IP, et cela du mode cloud à l'intégré classique. Un large périmètre pour rencontrer des problématiques complexes sur le plan technique comme sur le plan organisationnel. Bref, un océan de motivation pour toute personne qui marche au challenge et à l'envie d'apprendre.