13


Sep

Votre PABX peut vous tuer

posté par Nicolas Zedde le 13 September 2016

Il s'agit d'un type de piratage vieux de 40 ans, appelé "phreaking", et pourtant toujours très à la mode.

En effet, pas plus tard qu'hier, un client me demandait comment des pirates pouvaient avoir généré 4000€ de frais de télécommunications via son PABX (standard téléphonique) sur un week-end.

Voici donc de quoi il retourne, comment s'en protéger, et que faire quand le mal est déjà fait...

1. La technique

La fonctionnalité recherchée par les pirates est toujours la même : le renvoi d'appels vers l'extérieur (et vers des numéros surtaxés le plus souvent).

Ils "scan" les plages de numéros de téléphone fixe des entreprises à la recherche de numéros vulnérables. Tous les types d'entreprises sont visés, de la TPE à la multinationale, et les factures peuvent se chiffrer en milliers, dizaines ou centaines de milliers d'euros dans les cas les plus extrêmes. Les attaques ont principalement lieu la nuit et le week-end, afin d'optimiser leur durée avant détection par l'opérateur.

Pourquoi ? L'argent bien entendu, via la revente de ces communications.

Comment ? Les pirates utilisent une méthode appelée "brute force" qui consiste à automatiser la saisie d'un très grand nombre de mots de passe jusqu'à tomber sur le bon et pénétrer le système attaqué.

Ils tentent habituellement de s'introduire par les biais suivants :

- Les messageries vocales configurables à distance à l'aide d'un code à 4 chiffres trop simple

- L'interface d'administration du PABX (encore une fois avec le mot de passe par défaut)

- Le pare-feu d'un IPBX mal configuré et permettant les connexions depuis n'importe où

2. Comment s'en protéger

Les prestataires intégrateurs de solutions de téléphonie fixe ont une immense responsabilité dans ce fléau qu'est le phreaking.

En effet, nombre d'entre eux ont installé pendant des années, et parfois installent encore aujourd'hui, des standard téléphoniques en occultant complètement l'aspect sécurité.

Voici les paramètres à absolument mettre en place pour protéger efficacement son installation :

- Mettre en place des mots de passe de messagerie vocale complexes (pas de 0000, 1234, 8888...)

- Configurer le PABX pour bloquer l'accès après X mauvaises tentatives de mot de passe (à la fois sur les messageries et sur la console d'administration)

- Supprimer l'option renvoi d'appel pour toutes les lignes n'en ayant pas l'usage

- Limiter la capacité à numéroter vers l'international et les numéros surtaxés pour toutes les lignes où ce n'est pas strictement nécessaire

- Protéger l'accès à la console d'administration pour n'autoriser l'accès que depuis le réseau local et le bureau de votre prestataire

- Mettre à jour le logiciel de son PABX régulièrement pour intégrer les dernières mises à jour de sécurité

Vous pouvez demander à faire vérifier ces points à votre intégrateur à tout moment.

3 Que faire après un piratage de PABX ?

La première chose à faire est de s'assurer auprès de son intégrateur que la faille exploitée est comblée.

Ensuite pour ce qui est des conséquences financières parfois très lourdes du piratage, le défaut de sécurisation des mots de passe à l'origine du problème est de la responsabilité du client final.

Cependant, et c'est là tout le drame, encore faudrait-il que le client ait été suffisamment informé de l'importance de ces mots de passe et des risques auxquels il est exposé si rien n'est fait.

La plupart du temps, et malgré le fait que les prestataires d'intégration téléphonique fassent payer une maintenance annuelle avec une soi-disante visite de maintenance préventive, vous n'aurez probablement que vos yeux pour pleurer. Une lecture attentive de votre contrat de maintenance (que vous n'aurez probablement pas épluché avant ce stade) montrera à coup sûr une ligne écrite en tout petit mentionnant que les mots de passe sont de votre ressort et que vous reconnaissez en avoir été informé.

Si toutefois tel n'était pas le cas, alors il vous reste l'option de vous retourner contre votre intégrateur, car il a un devoir d'information et de mise en garde. Mais même dans ce cas, la jurisprudence n'est pas encore très claire...

Inutile ici d'aller voir l'opérateur (Orange, SFR, Bouygues...), qui ne sont que des fournisseurs d'accès et n'ont pas en charge la sécurisation de vos installations (hormis s'ils les ont installées eux-mêmes, bien entendu). Ils peuvent et doivent cependant vous prévenir d'un usage anormal de vos lignes.

Concernant les assurances, ce qui figure ci-dessus s'applique de la même façon concernant la responsabilité du client.

4 Pour aller plus loin

Article de l'AFUTT expliquant le problème en détail :

https://www.afutt.org/CRESTEL/actualites/alerte-vigilance.html

Article d'Alain Bensoussan montrant les conséquences juridiques :

https://www.alain-bensoussan.com/piratage-prestataire-maintenance/2014/08/01/

Manaps vous accompagne dans toutes vos problématiques d'informatique d'entreprise, en infogérance, conseil, intégration matériel et logiciel, cloud.

Contactez-nous.

catégories :

A propos de Manaps

Manaps est spécialisée dans l'informatique d'entreprise et particulièrement les services managés (infogérance proactive). Nous sommes basés à Amiens en Picardie et intervenons sur toute la région Hauts de France, ainsi que le nord de la région parisienne.

Contactez-nous

contact@manaps.com

03 22 42 81 00

MANAPS SARL
45 Rue André Grillon
80000 Amiens