Il est normal que lors du choix d’une technologie, d’un équipement ou d’une téléphonie pour notre entreprise, nous nous posions des questions afin de ne pas commettre d’erreur. Et la sécurité de la téléphonie IP est une question très importante que nous allons analyser aujourd’hui. Est-ce vraiment sûr?

Téléphonie IP ou téléphonie traditionnelle

La téléphonie IP fonctionne sur Internet et c’est pourquoi de nombreuses personnes se méfient de sa sécurité par rapport à la téléphonie traditionnelle. Mais les appels traditionnels ne sont pas plus difficiles à localiser ou à écouter que les appels sur les réseaux et les interconnexions. En fait, il est même plus difficile d’espionner un appel VoIP car les données sont cryptées.

Cette méfiance provient du peu d’informations auxquelles nous avons accès sur Internet et du fonctionnement réel de ce type de téléphonie. Si la voix circule sur Internet, elle doit transiter par un réseau public. C’est le premier mythe qui induit en erreur. Il existe des systèmes gratuits qui permettent à votre voix de circuler sur un réseau public, mais si votre entreprise opte pour la téléphonie IP, un réseau privé sera utilisé pour les appels. Un réseau privé n’est pas totalement inaccessible, mais il est beaucoup plus sécurisé, car pour localiser et écouter les appels, vous devez obtenir un accès administrateur aux ordinateurs du réseau. Avoir un réseau privé virtuel (VPN) suppose un niveau d’isolation et de sécurité assez élevé contre toute attaque externe.

C’est pourquoi un facteur important lors de la mise en œuvre de la téléphonie IP dans une entreprise est la formation du personnel sur les risques de sécurité. Informer et éduquer les travailleurs pour éviter une mauvaise utilisation de cette technologie peut empêcher de futures attaques externes.

La sécurité de la téléphonie IP présente plus d’avantages par rapport à la téléphonie traditionnelle, même si son utilisation comporte des risques.

Les risques de la téléphonie IP

Nous allons voir quelques exemples de ce que pourraient être les risques lors de l’utilisation de cette technologie, et analyser ainsi plus en profondeur la sécurité de la téléphonie IP: 

Un réseau commun : dans le cas de la téléphonie IP, il n’existe qu’un seul réseau commun par lequel transitent à la fois les données et la voix. Cela permet une plus grande flexibilité, mais cela peut également être dangereux lors de l’intégration de données vocales si des mesures de sécurité ne sont pas prises. Pour cette raison, il existe des protocoles (tels que SIP) pour le lancement, la modification et la fin des sessions afin de maintenir le contrôle. Aussi des mesures ou des systèmes de sécurité supplémentaires peuvent également être installés. 

Attaques globales : en attaquant le réseau, si l’entreprise ne dispose pas d’un bon système de sécurité, elle peut finir par attaquer également d’autres niveaux de l’entreprise, accédant aux informations des clients ou des fournisseurs.Cependant, cela a une solution simple si un système de sécurité spécifique est utilisé pour les données vocales.

Vol d’identité : l’enregistrement de l’utilisateur légitime est désactivé. Ceci est possible car les messages de signalisation sont envoyés en texte clair et donc l’intrus peut les localiser, les modifier et les envoyer comme il le souhaite. De plus, bien que l’authentification soit requise, l’intrus peut pirater le compte et obtenir le mot de passe de l’utilisateur. Bien que, heureusement, il s’agit d’un risque qui peut être évité relativement facilement; nous devons avoir un mot de passe fort, garder notre équipement exempt de logiciels malveillants, et même activer le compte en deux étapes ou plus, etc.

La sécurité de la téléphonie IP

Bien qu’elle puisse recevoir des attaques externes, la sécurité de la téléphonie IP peut être assurée. Il existe un certain nombre de contrôles de sécurité qui devraient être essentiels ainsi que des mesures susceptibles de réduire la plupart des risques et attaques externes.

Maintenir les systèmes à jour : il doit y avoir un contrôle des systèmes et l’administrateur réseau doit être au courant des nouvelles mises à jour et de leurs applications dans ces systèmes.

Disposer d’une infrastructure réseau sécurisée : il est recommandé de disposer d’un antivirus sur le réseau pour protéger d’éventuelles attaques externes. De nombreuses attaques peuvent être détectées grâce à l’installation de systèmes de détection et de prévention comme IDS (Intrusion Detection System) et IPS (Intrusion Prevention System). Ces systèmes examinent et analysent les paquets à la recherche de données suspectes. 

Authentification, autorisation et cryptage : comme mentionné ci-dessus, il est recommandé de configurer les appareils pour utiliser plus d’une étape lors de l’activation du compte. Et les appareils pourraient également avoir une limitation sur les adresses IP à partir desquelles ils peuvent recevoir du trafic. Une configuration correcte peut réduire considérablement les attaques externes. Le chiffrement peut résoudre la plupart des problèmes de gestion et de relecture des messages échangés.

Le protocole de transport sécurisé en temps réel (ou SRTP) : un profil qui assure l’authentification et la protection lors de l’envoi de données. L’utilisation de ces types de profils comme sécurité supplémentaire est fortement recommandée et vous pouvez activer ou désactiver les protocoles qu’il présente, afin de pouvoir personnaliser les paramètres de cryptage et de profil selon ce qui vous convient le mieux. 

La sécurité de la téléphonie IP est une question importante qui peut soulever de nombreux doutes, mais il faut lui accorder une grande importance. La téléphonie IP n’est pas infaillible, mais avec une formation adéquate et des systèmes à jour, elle ne devrait inquiéter personne.

securite-telephonie-ip-webrtc

La téléphonie IP et la WebRTC 

La “Web Real Time Communication » (WebRTC) est une norme ouverte qui fournit des fonctionnalités VoIP aux pages Web. Lorsqu’une entreprise décide d’utiliser la téléphonie IP, et dispose de systèmes de communication comme le standard virtuel ou le centre d’appels, si elle opte pour le WebRTC, elle peut utiliser des navigateurs tels que Chrome pour communiquer (appels, messagerie, visioconférences …) sans avoir besoin de plugins ou d’appareils externes.

En d’autres termes, la WebRTC est un moyen simple d’obtenir un système de communication VoIP via le Web. Alors, que pouvons-nous attendre de la sécurité de la téléphonie IP dans ce cas?

Quel type de sécurité offre la WebRTC?

Dans le cas du WebRTC, la transmission des données est effectuée via le protocole SRTP (Secure Real-Time Transport Protocol), la communication est donc directe, de navigateur à navigateur et ne nécessite pas de serveur de streaming. De plus, les mêmes navigateurs incluent des correctifs de sécurité qui sont généralement mis à jour périodiquement.

Le fait que cette technologie n’utilise pas de composants matériels ou d’applications logicielles signifie un risque en moins à craindre. Chaque nouveau matériel ou application externe est une porte qui s’ouvre aux pirates. Sans ces systèmes externes, la technologie Web est plus sécurisée que tout autre système de communication qui en a besoin.

Le cryptage sécurisé avec WebRTC est également garanti via les protocoles DTLS (Datagram Transport Layer Security) qui assurent la confidentialité.

Par conséquent, la sécurité de la téléphonie IP est incontestablement améliorée lorsqu’elle est appliquée avec une technologie telle que WebRTC qui offre flexibilité, qualité et rapidité.