Piratage téléphonique : Pourquoi, comment ?
Devant la recrudescence du piratage téléphonique sur les autocommutateurs (ou PABX) ces derniers mois, j’ai décidé de rédiger un article complémentaire sur la façon dont procèdent les « pirates » pour trouver et identifier les équipements.
Ce qui vous permettra de mieux assimiler les protections à mettre en place.
Comment s’appelle cette pratique ? D’où vient-elle ?
Le piratage téléphonique appelé Phreaking est une pratique qui existe depuis de nombreuses années (environ depuis 1970). Elle consiste à exploiter ou détourner les capacités des centraux téléphoniques.
Les informations concernant le phreaking sont de plus en plus diffusées et accessibles de plus en plus facilement par internet.
Les documentations constructeurs et leurs mots de passe d’origine sont également largement diffusés et utilisés par les pirates.
Qui est concerné ?
Certains PABX sont moins touchés que d’autres, mais le risque zéro n’existe pas.
L’ensemble des marques peuvent donc être touché, que votre équipement soit récent, ou non.
Quand font ils ces détournements ?
Cela se passe très souvent le week end (ou en pleine nuit), pour éviter les possibles interventions manuelles des opérateurs qui leur ferait perdre du temps, ou pire, se faire repérer.
Comment trouvent-ils les PABX ?
C’est assez simple, par Internet, ils listent les entreprises et leurs séquences SDA qui traînent parfois sur le web. Plus ils récoltent d’informations mieux c’est.
Dans l’univers des PABX IP (SIP), c’est encore plus simple, car les ports ouverts sont visibles de l’extérieur, il leur suffit alors de se connecter et de lancer un logiciel de Bruteforce pour trouver le mot de passe (trouvable bien sur, si celui ci est simple et pas très long)
Pour choisir un mot de passe : Lisez cet article.
Que fonts-ils une fois qu’ils ont trouvé ?
Une fois qu’ils ont la marque de votre PABX, ils utilisent les documentations constructeurs qui leur permettent d’essayer les fonctions de base avec les mots de passe d’origine.
Comme avec la messagerie vocale des postes qui permet de transférer les appels directement (menu renvoi si non réponse par exemple).
Ex : on appelle sur le SDA d’un utilisateur ; l’autocom renvoie alors l’appel vers la destination qu’ils ont préalablement programmée.
Ces mots de passe de boite vocale ne font généralement que 4 chiffres. Je reviens sur les logiciels de « Bruteforce » permettant également de tester rapidement toutes les combinaisons possibles sur des boites vocales. Les mots de passe de boite vocale doivent donc être régulièrement changés.
Ils peuvent également utiliser des failles beaucoup plus importantes au niveau software du PABX qu’ils ont précédemment testées/listées. (D’où l’importance des mises à jour).
Et que font-ils des ces communications ?
Ils les revendent !
Ces grosses capacités de communication détournées sont généralement revendues à des opérateurs. (il se peut que l’opérateur ne soit même pas au courant que leurs appels sont transités par des pirates).
Ces communications peuvent également être utilisées pour appeler des numéros surtaxés à l’étranger.
Comment se protéger efficacement ?
Nous avons remarqué que les appels les plus détournés sont souvent en direction de la Corée du Nord, Cuba, l’Afrique et les pays baltes. Si vous n’avez pas besoin d’appeler vers ces destinations, demandez à votre installateur de supprimer l’accès à celles-ci.
Demandez à vos collaborateurs qui ont besoin de la messagerie vocale de changer régulièrement leur mot de passe à quatre chiffres et de ne pas choisir des mots de passe simples (1234, 0000, 8888, etc.. sont à proscrire !).
Évidemment, si certains de vos collaborateurs (ou tous) n’ont pas besoin du transfert d’appel, supprimer l’autorisation de renvoi d’appel.
Il faut également que vous demandiez à votre installateur de faire les mises à jour régulières de vos équipements. En effet, ces mises à jour bloquent les failles de sécurité au fur et à mesure qu’elles sont découvertes par le contructeur.
Pour les pabx IP :
C’est un peu plus technique, il faut installer un firewall (ou pare-feu) qui filtrera les adresses ip entrantes sur le port SIP 5060.
Mettez en place également un logiciel de Blacklistage des adresses IP sur tentative de Bruteforce, avec le logiciel Fail2ban par exemple.
Afin de réduire tous les risques, la téléphonie doit maintenant faire partie de votre politique sécurité.