CheckPhone : Le piratage téléphonique concerne aussi les PME
Dans un contexte de recrudescence du piratage électronique, les menaces liées aux réseaux voix se multiplient. Le point avec Stéphane Choquet, directeur de CheckPhone Technologies, fournisseur de solutions de protection des systèmes téléphoniques.
Dans un contexte de recrudescence du piratage électronique, les menaces liées aux réseaux voix gagnent en fréquence et en virulence.
Cette exploitation des systèmes téléphoniques (TDM ou VoIP) peut prendre deux formes : la fraude et le déni de service, avec dans les deux cas des conséquences financières, opérationnelles et juridiques.
Quelle que soit la méthode, l’impact immédiat est significatif : le préjudice peut s’échelonner de quelques dizaines à plusieurs centaines de milliers d’euros.
Basé en région parisienne, CheckPhone Technologies délivre des solutions de protection des réseaux téléphoniques, sous la forme de pare-feu applicatifs.
Son directeur Stéphane Choquet fait le point sur l’évolution des tendances en la matière.
Son propos se porte instantanément sur la fraude, qui consiste à utiliser le service téléphonique d’une entreprise pour passer des appels à grande échelle, vers des numéros étrangers, surtaxés…
Le phénomène peut toucher des sociétés de toutes tailles. « A partir d’une dizaine de postes, les dégâts peuvent déjà être conséquents. »
Les attaques ont souvent lieu à des heures stratégiques (nuit, week-end) durant lesquelles la victime est susceptible de ne pas exercer son activité professionnelle.
Principal vecteur d’intrusion, les fonctions natives du PABX (standard téléphonique) : manuellement ou grâce à des robots, les pirates accèdent à la messagerie ou aux modems de télémaintenance.
Les hackers – qui vendent de plus en plus systématiquement leurs services à des tiers – détectent au préalable les installations vulnérables via des outils de « war-dialing ».
Typiquement, ils pénètrent dans le système téléphonique de la société visée en cassant le mot de passe de la messagerie, employant souvent des techniques de force brute.
L’accès direct au commutateur s’obtient généralement en quelques tentatives, les administrateurs ne modifiant que rarement la configuration d’usine.
Reste alors à programmer la redirection des appels vers l’étranger et/ou des numéros surtaxés.
En 2011, cette fraude aux PBX et messageries vocales a généré un préjudice de 5 milliards de dollars, touchant plus de 300 opérateurs dans le monde.
Au sein des grands comptes, la facture peut dépasser le milliard d’euros.
Dans les petites et moyennes entreprises, elle varie plutôt, statistiquement, entre 30 000 et 150 000 euros. Tout dépend surtout de la taille des tuyaux, de la fréquence des appels, de la durée de communication, etc.
Il est, pour la victime, impossible de se retourner contre l’installateur téléphonique ou l’opérateur. Et il est difficile de cerner les origines de l’attaque.
Selon Stéphane Choquet, 5% des PME françaises ont déjà subi un piratage de leur(s) ligne(s) téléphonique, mais « face à la complexité des procédures de recours, 90% d’entre elles ne s’engagent pas sur la voie juridique. »
En outre, la loi ne les obligeant pas à déclarer des attaques de leur réseau, nombre d’entre elles préfèrent classer le dossier, souvent pour préserver leur réputation.
Même logique avec le déni de service (TDOS), plus rare dans les PME, et qui consiste à saturer, depuis l’extérieur, un numéro ou l’ensemble des canaux de communication de l’entreprise, y compris la messagerie.
L’une des méthodes les plus répandues fait appel à des téléphones portables équipés de cartes prépayées et qui envoient des textos vers une passerelle qui les retranscrit sous la forme de messages vocaux acheminés vers le numéro de téléphone de la victime : c’est le « SMS bombing ».
Les pirates réclament généralement une rançon, mais les enjeux se révèlent parfois autrement plus importants, tout particulièrement lorsque des services d’urgence sont touchés.
Le montant des préjudices cumulés en France et au Royaume-Uni avoisinerait le milliard de dollars pour la seule année 2011.
(lire la fin de l’article en page 2)