Que faire contre les attaques pirates de systèmes SIP ou H.323 ?

Depuis quelques années, les utilisateurs de systèmes de visioconférence professionnels utilisant les protocoles H.323 et SIP doivent faire face à des attaques pirates se caractérisant par des appels intempestifs. Cette pratique, qu’on peut comparer à du spam, peut se révéler très gênante car les systèmes visés reçoivent des dizaines d’appels par jour, voir plus. Ceux-ci ne durent souvent que quelques secondes. Généralement, les appels arrivent avec comme destinataire des URI de types « unknow@88.198.217.213 », « 100@92.60.254.87 » ou encore tout simplement « cisco » :

spam_cisco

Mais alors d’où viennent ses attaques ? est-ce dangereux ? quel est leur but ?

Il faut déjà savoir que tous les équipements de visioconférence sont touchés (Tandberg, Cisco, Polycom, Huawei, Lifesize, Ravision, Avaya… ).
Ces attaques émanent de robots programmés pour scanner le maximum d’adresses IP possibles afin de trouver des systèmes utilisant des lignes téléphoniques ou une passerelle ISDN/RNIS ou PSTN pour passer des appels audio frauduleux sur de longue distance. Outre le fait que ces appels sont vite désagréables pour les utilisateurs, le but premier de ces attaques est de générer des coûts de communication très élevés pour en récupérer les bénéfices. Ce risque est présent si votre système possède une adresse IP publique et si vous utilisez les protocoles SIP ou H323 et ISDN/RNIS et PSTN.

Ces attaques sont à prendre bien au sérieux surtout lorsqu’on sait que certaines entreprises ont dû faire face à des arnaques représentants un coût de plusieurs centaines de milliers d’euros. D’ailleurs, si cet article se concentre sur les systèmes de visioconférence, les attaques se dirigent vers tout ce qui utilisent les protocoles précédemment cités comme les IPBX.

Alors comment se protéger ?

  • Changer les mots de passe par défaut des différents accès (administration, telnet, ssh …).
  • Désactiver les services non utilisés (H.323, SIP, H.320, SNMP …).
  • Renforcer la sécurité sur internet via un firewall n’autorisant que les appels d’adresses IP identifiées.
  • Si possible, n’autoriser que les appels sortants depuis votre équipement.
  • Désactiver la réponse automatique en point à point et multipoints.
  • Si le système de visioconférence est configuré pour effectuer des appels audio (via RTC, RNIS ou IPBX), assurez-vous le préfixe utilisé pour placer ces appels est différent de 0 ou 9. En effet, les robots d’attaque essaient en priorité des préfixes communs.
  • Utiliser la fonction « ne pas déranger » dès que l’on ne se sert plus de la visioconférence ou que l’on est en conférence et que l’on ne veut pas avoir d’autre appel.

Une autre solution consiste à s’enregistrer auprès d’un fournisseur de services qui garanti la sécurité de votre équipement. Dans tous les cas, le mieux est de vous rapprocher du constructeur ou de l’intégrateur du système.

Pour finir je vous conseille ce podcast de spécialistes, dont le CEO de Starleaf qui évoquent le sujet :

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *