Téléphonie d’entreprise : alerte aux pirates !

Êtes-vous sûr que personne n’utilise votre téléphone de bureau à votre insu? Passer des appels longue distance à vos frais est à la portée d’un hacker débutant. Apprenez à décourager ces parasites.

Lorsque, en novembre dernier, un employé de SFR a contacté Sophia, gestionnaire télécoms d’une agence média parisienne, la jeune femme n’a pas tout de suite compris la question. Un client à Cuba ? Non, bien sûr. Alors comment expliquer ces centaines d’appels passés au beau milieu de la nuit vers La Havane depuis le début de la semaine ?

Cela ne la consolera sans doute pas, mais la mésaventure vécue par la jeune femme n’a rien d’un cas isolé. Depuis 2010, la Brigade d’enquêtes sur les fraudes aux technologies de l’information (Befti) a enregistré près de 120 plaintes de sociétés victimes de «phreaking» (détournement de ligne téléphonique). Mais le nombre réel des victimes est sans doute beaucoup plus important, car ce service de la police nationale n’est pas saisi de tous les dossiers.

 «Beaucoup sont classés sans suite au niveau des commissariats de Paris et de la petite couronne en raison du faible préjudice, du peu de succès des investigations ou simplement parce que les magistrats ne connaissent pas notre compétence», explique Anne Souvira, commissaire divisionnaire et chef de la Befti.

La fraude téléphonique s’élevait à 4,96 milliards de dollars en 2011

Autrement dit, les fraudes répertoriées ne représentent que la partie visible de l’iceberg. D’ailleurs, la Communications Fraud ControlAssociation (CFCA, une association regroupant plusieurs centaines d’opérateurs téléphoniques dans le monde) estime que la fraude téléphonique globale s’élevait à 4,96 milliards de dollars en 2011. Pas étonnant lorsqu’on sait que les montants des appels frauduleux peuvent atteindre plusieurs centaines de milliers d’euros par entreprise. En France, la somme la plus souvent constatée par la police avoisine les 30000 euros.

«Ce n’est pas bon signe. Cela correspond au sixième des plaintes enregistrées sur toute l’année 2012», déplore-t-elle. Les entreprises se disent mal informées. Et la Befti reconnaît que les investigations sont complexes et ont peu de chances d’aboutir à l’arrestation des criminels. Dans la grande majorité des cas, les pirates sont à l’étranger et difficilement identifiables. Ils n’ont donc aucune raison de stopper leurs agissements.

Toutefois, la police nationale est parvenue a en arrêter deux en 2012: il s’agissait d’installateurs téléphoniques français véreux. Mais la Befti ne veut pas généraliser : aujourd’hui, il n’existe pas, selon elle, de profil type de pirate. Il peut aussi bien s’agir d’individus isolés, ayant mis au point une combine pour appeler gratuitement amis et famille, que de groupes organisés capables de détourner des appels vers leurs propres services surtaxés.

Mais pour Frédéric Decard, président de la commission télécoms de la fédération Eben (Entreprises du bureau et du numérique), il ne fait aucun doute que la fraude se professionnalise de plus en plus. «Nous devons désormais compter avec des réseaux mafieux des pays de l’Est et d’Asie», explique-t-il.

C’est justement de l’un de ces réseaux qu’un centre d’affaires parisien, souhaitant rester anonyme, a été victime le samedi 17 novembre 2012, à 1 heure du matin. Quatre de ses postes téléphoniques ont été détournés pour renvoyer 800 appels vers des numéros surtaxés en Bosnie.

«Nous avons été la cible d’une structure organisée qui a utilisé des outils informatiques adaptés. Les appels n’ont jamais discontinué, chacun durant cinq minutes. Le lundi suivant, à 7 heures du matin, la fraude a cessé », raconte l’attaché de direction de ce centre d’affaires. Montant du préjudice: 8000 euros. Après négociation avec son opérateur, le centre a tout de même dû s’acquitter d’une facture de 4000 euros, soit le quart du budget de ses communications téléphoniques pour l’année 2012.

Le sésame : le mot de passe de la messagerie vocale

Les systèmes téléphoniques d’entreprise présentent deux types de failles dans lesquelles s’engouffrent les hackers. Le plus souvent, ils détournent un ou plusieurs téléphones du bureau. Le fraudeur teste plusieurs numéros de téléphone d’une société jusqu’à ce qu’il tombe sur une messagerie vocale. Il saisit ensuite le sésame activant l’assistant vocal interactif. Or, les collaborateurs choisissent généralement des mots de passe simples, récurrents, voire conservent ceux qui leur ont été attribués par défaut (0000 ou 1234).

Il existe un second procédé, réclamant plus de connaissances techniques, qui consiste à s’attaquer au système de gestion de la téléphonie de l’entreprise (c’est-à-dire à l’autocommutateur connecté au Web, baptisé IPBX). Equipés d’outils logiciels adaptés, les fraudeurs scannent le réseau Web à la recherche d’autocommutateurs vulnérables. Ceux-ci sont identifiables car leur connexion avec Internet est ouverte. Une fois leur cible détectée, ils cassent ses mots de passe pour en prendre le contrôle.

Comme avec les téléphones, les entreprises modifient rarement les codes secrets des systèmes. Et même lorsque c’est le cas, d’autres logiciels permettent de les trouver en quelques minutes. Dès lors, les pirates ont tout loisir de profiter des lignes téléphoniques pour appeler des services surtaxés (des jeux, notamment).

Depuis un autocommutateur connecté à Internet, la fraude est très lucrative. Il est en effet possible de passer des dizaines d’appels simultanés à partir d’une seule ligne. En multipliant les postes, les montants détournés atteignent parfois plusieurs  centaines de milliers d’euros en un week-end. Dur à avaler pour un grand compte, une intrusion peut se révéler fatale pour une PME. Mais il y a pire. En effet, à partir de l’IPBX, les pirates ont la possibilité d’accéder au reste du système d’information de l’organisation et de siphonner les données à caractère personnel ou les informations sensibles.

Alcatel a la faveur des pirates

«Parmi les différents IPBX du marché, Alcatel, Cisco et Avaya sont, dans cet ordre, les systèmes les plus attaqués », rapporte Silvano Trotta, président de Resom, un groupement d’entreprises du secteur IT. La prédominance d’Alcatel sur le marché hexagonal n’explique pas, à lui seul, pourquoi le système français est le plus piraté. Selon Silvano Trotta, 90% des attaques se font sur ces appareils, alors qu’ils représentent 47% du parc d’IPBX installés. Configuration initiale, simplicité d’accès aux systèmes, codes d’accès disponibles sur Internet ou maintenance négligée ?

Difficile d’expliquer pourquoi l’équipementier télécoms a la faveur des pirates. «Nous avons découvert qu’aucune mise à jour de notre système de téléphonie Alcatel n’avait été faite sur la période des cinq années de contrat, alors qu’une maintenance est incluse dans nos redevances mensuelles», indique, amer, l’attaché de direction du centre d’affaires parisien récemment attaqué.

Les gestionnaires télécoms ont, en plus, la possibilité de limiter l’utilisation des téléphones en désactivant toutes les options peu ou pas exploitées, quitte à les activer ponctuellement et à la demande. «Nous avons ainsi bloqué la fonction de rappel automatique des 800 postes de la société», illustre Sophia, la cadre de l’agence média.

C’est cette fonction précise qui a permis chez elle de transformer deux téléphones en relais vers Cuba. Les organisations doivent appliquer à leur téléphonie les mêmes règles de sécurité que pour leur informatique. Les pare-feu sont les premiers remparts numériques à protéger les systèmes téléphoniques sur IP des nombreuses attaques. «Nous constatons près de 200000 tentatives de piratage par jour sur notre réseau», indique Laurent Silvestri, directeur associé d’OpenIP, un opérateur télécoms.

Les professionnels du secteur recommandent également de séparer les flux d’informations, voix et données, en mettant en place des réseaux privés virtuels dédiés, ou bien en réservant deux liens distincts pour chacun d’entre eux. Au-delà de ces considérations techniques, les entreprises ont tout intérêt à nouer des contrats d’achat et de maintenance précis et exhaustifs.

Ceux-ci délimitent les responsabilités entre le constructeur, l’installateur et l’utilisateur final, informent sur les risques encourus ainsi que sur la configuration du système et de ses fonctionnalités. Une rigueur qui permettra d’éviter que les coups de fil ne se transforment en coups de fusil.

Les trois précautions à prendre avec son installateur

Les installateurs téléphoniques connaissent le phénomène du piratage. Mais beaucoup d’entre eux ne prennent pas les mesures minimales pour limiter le risque de fraude. Voici trois points à aborder avec eux lors de la négociation du contrat :

– Choisir un installateur agréé. Certaines entreprises s’improvisent installateurs téléphoniques, alors qu’elles ne maîtrisent pas les technologies qu’elles vendent. L’agrément d’un constructeur (Alcatel-Lucent, Cisco, Aastra…) garantit, en partie, le professionnalisme de l’installateur. En cas de piratage, il est alors en mesure d’agir rapidement sur le système pour bloquer l’attaque.

– Désactiver les options inutiles. Par défaut, toutes les fonctionnalités (renvoi d’appel, transfert d’appel, international…) des systèmes téléphoniques sont disponibles. L’installateur peut désactiver les options inutiles et bloquer les destinations internationales qui ne seront jamais jointes, réduisant les risques de détournement des lignes téléphoniques.

– Conserver les traces des communications. En cas de piratage, la police ne pourra investiguer qu’à condition d’être capable de remonter la piste des hackers. Il est pour cela primordial que l’installateur active l’option de sauvegarde des échanges entre le système de téléphonie et le monde extérieur. Dans le cas contraire, l’affaire sera classée.

Comment s’assurer face à ce risque

Dans la grande majorité des cas, les entreprises victimes de piratage téléphonique sont tenues de s’acquitter des montants facturés. Si certaines arrivent à négocier une réduction des sommes dues, une partie reste tout de même à leur charge. L’importance des montants (plusieurs milliers, voire centaines de milliers d’euros) peut mettre l’activité en péril. Un risque très peu couvert.

Fort de ce constat, Axelliance, un cabinet de courtage, a développé une garantie couvrant la perte financière causée par une fraude téléphonique. Les installateurs en sont les principaux cocontractants. «Nous les accompagnons dans la mise en place d’une politique de sécurisation de leurs produits pour réduire le risque de piratage de leurs clients, les sociétés », explique Lydie Thavaux (photo), responsable commerciale chez Axelliance.

Objectif : dégager la responsabilité de l’installateur en cas d’attaque. Si, malgré cela, une fraude survient, l’entreprise doit dans un premier temps déclarer le sinistre auprès de sa compagnie d’assurances. «Puis, nous mandatons un prestataire qui auditera la sécurité du système de téléphonie et vérifiera que nos préconisations ont été respectées», détaille Lydie Thavaux.

Si la société a suivi à la lettre ces recommandations, Axelliance prend en charge les communications frauduleuses. Quant aux prix d’une telle assurance pour le client final, l’installateur a deux possibilités : soit il le répercute sur le prix de son service de téléphonie, soit il le prend à sa charge, valorisant ainsi son produit. «Le montant de l’assurance dépend du prix de vente et du nombre de systèmes de téléphonie commercialisés par l’installateur», explique Lydie Thavaux. Les assureurs positionnés sur ce créneau sont rares. Mais vu l’évolution du phénomène, les garanties devraient se multiplier dans les prochains mois.

Abonnez-vous à la newsletter hebdo d'IT for Business !

Rejoignez notre liste de diffusion pour recevoir toutes les semaines une sélection d'articles et quelques autres surprises préparées spécialement pour vous par notre rédaction.

ABONNEZ-VOUS !

Nous vous envoyons un e-mail de validation !