Alors que la téléphonie traditionnelle constituait un environnement isolé, avec une infrastructure commune aux données, la téléphonie sur IP engendre bien des interrogations concernant la sécurité. « Les sociétés craignent que le système puisse être attaqué, donc faire défaut. Le téléphone est le nerf de la guerre dans les entreprises, et le sera encore longtemps », remarque Bruno Benard, responsable avant-vente chez Mitel Networks France.

« La menace la plus importante est le déni de service » , affirme Jeanne Bayerl, directeur du marketing produit au sein de la division des serveurs de communications chez Alcatel. En effet, une attaque de déni de service (ou DoS) prolongée saturera ou fera tomber le PABX-IP . « C'est à la fois l'attaque qui a le plus de répercussions et celle qui est la plus facile à réaliser. De plus, la téléphonie sur IP expose davantage à ce type de risque. C'est ainsi le sujet auquel les entreprises portent le plus leur attention » , renchérit Michel Cugnot, consultant chez Cisco Systems.

À cela s'ajoutent les craintes d'utilisation frauduleuse du système, les craintes d'écoute ou d'espionnage. « Le type de fraude qui, instinctivement, fait l'objet du plus grand nombre d'investigations de la part des fraudeurs est celui qui comporte un aspect lucratif, comme téléphoner aux frais de l'entreprise » , estime Guillaume Calot, responsable marketing en charge des solutions de téléphonie sur IP chez EADS Telecom. Les intrusions pourront aussi viser à écouter les communications, enregistrer les numéros appelés, subtiliser des informations (par exemple, un vol d'annuaire), ou encore modifier des informations.

Pour parer à toutes ces éventualités, nombre d'éléments de l'infrastructure de téléphonie sur IP sont à examiner. « Il faut prendre en considération l'infrastructure de communication, qu'il s'agisse du réseau local filaire ou sans fil, du réseau étendu, du réseau téléphonique commuté ou d'internet, ainsi que les applications hébergées par différents systèmes, et les terminaux eux-mêmes » , explique Michel Cugnot. Cela a des implications au niveau de l'architecture réseau, des dispositifs de sécurité non spécifiques à la téléphonie comme les pare-feu pour le filtrage, et au niveau des fonctions et des paramétrages des systèmes de téléphonie sur IP, serveurs comme terminaux.

Tous les fournisseurs de solutions de téléphonie sur IP s'accordent à dire qu'il faut absolument isoler les flux de téléphonie des flux concernant les données. Cela implique un environnement Ethernet commuté et non partagé, et la mise en place de réseaux locaux virtuels (ou VLan) dont un sera dédié à la voix, « avec des règles très rigoureuses pour passer d'un VLan à l'autre » ,ajoute Guillaume Calot. « De nombreuses entreprises qui n'utilisaient pas de VLan auparavant en déploient au moment où elles passent à la voix sur IP » , remarque Michel Cugnot.

Séparer les flux vocaux des flux de données est de toute façon conseillé pour assurer une meilleure qualité de service. La mise en place d'un VLan de niveau 2 pour la voix et un autre pour les données constitue un minimum. Un VLan par poste téléphonique IP avec routage de niveau 3 peut aussi être envisagé. On ajoutera un filtre en frontal des matériels et serveurs de téléphonie sur IP, par le biais d'un routeur ou d'un pare-feu. Les ports non concernés seront fermés, et on pourra, le cas échéant, ajouter des règles de filtrage applicatif. Les serveurs concernés par la téléphonie (tels le gestionnaire d'appels ou l'application de centre d'appels) seront ainsi isolés du réseau et ne pourront communiquer qu'entre eux.

Alcatel utilise pour cela TCP Wrapper (logiciel du domaine public fournissant des fonctions de pare-feu aux serveurs Unix). « Nous offrons une documentation qui indique les paramétrages à appliquer en matière de filtrage de flux. L'architecture type implique une zone démilitarisée spécifique à la téléphonie, explique Guillaume Calot. Les obstacles se situent au niveau des réseaux complexes, non pas en termes de faisabilité technique, mais plutôt en raison de la difficulté à avoir une vue d'ensemble ou à faire communiquer différents projets informatiques, d'autant qu'un réseau évolue dans le temps. »

Pour les utilisateurs distants, la mise en place d'un réseau privé virtuel (ou VPN), généralement basé sur le protocole IPSec, s'impose. « Il faut aussi un accès internet pour la voix et un autre réservé aux données, ainsi que des pare-feu dédiés. Le télétravailleur requiert lui aussi une connexion internet dédiée et un pare-feu spécifique » , estime Bruno Benard.

Au-delà des restrictions au niveau du réseau pour délimiter la zone concernée par la téléphonie, il est important de rendre le serveur de communication le plus hermétique possible, pour ne donner aucune chance aux attaques de virus ou aux DoS. Pour ce faire, on procède au « durcissement » du système d'exploitation. « On enlève tous les services qui ne sont pas nécessaires, par exemple Telnet pour les accès distants ou FTP pour les transferts de fichiers » , explique Didier Finance, responsable des services voix chez Nortel Networks France. Chez Alcatel, tous les services sont fermés par défaut ; il faudra activer ceux que l'on souhaite utiliser. Sur ce point, Mitel ne transige pas : « Certains constructeurs incluent des fonctions de routage, de VPN, de pare-feu, de serveur de fichiers ou autres, en plus des fonctions de PABX-IP. Notre plate-forme, elle, ne fait que de la téléphonie sur IP » , affirme Bruno Benard.

Le système d'exploitation retenu a aussi une influence sur le niveau de risque. Ainsi, Alcatel montre du doigt les fournisseurs qui ont recours aux systèmes Windows NT ou Windows 2000, des plates-formes qui sont exposées à de nombreux virus. « Nous utilisons Linux, également ouvert, mais beaucoup moins visé par les virus car moins répandu, affirme Jeanne Bayerl. Il est certes possible de sécuriser Windows mais il est difficile de rester à jour. Or, une coupure de téléphone a des conséquences bien plus dramatiques, pour une entreprise, qu'un arrêt de messagerie. »

EADS Telecom, qui utilise Windows 2000 pour son serveur de gestion des appels NeXspan (dans la version où PABX et serveur d'appels sont séparés), juge que le système d'exploitation ne présente pas de problème spécifique de sécurité, dans la mesure où il s'agit d'un usage dédié. « Nous préconisons de ne laisser ouverts que les ports de communication utiles, et pour tous ceux qui sont ouverts, nous proposons des fonctions de sauvegarde de journaux. Étant donné qu'une protection à 100 % est impossible, il est important de pouvoir réaliser des audits pour analyser les communications après un problème et réagir en conséquence » , note Guillaume Calot.

Dans sa nouvelle gamme NeX-span, EADS propose d'ailleurs une version de son PABX-IP intégrant tous les services, qui, grâce à une architecture et un système d'exploitation interne plus fermés, est moins vulnérable que la version avec un serveur Windows distinct. Nortel, lui, n'utilise Windows que sur sa gamme de PABX-IP pour PME (BCM 200 et 400), obligeant à des précautions particulières. Mitel, en revanche, n'emploie aucune brique logicielle sous Windows mais le système d'exploitation en temps réel VxWorks, beaucoup moins vulnérable aux attaques. Les informations de configuration sont, en plus, échangées en utilisant MiNET, son protocole propriétaire.

Les serveurs de communication comportent également des mécanismes de détection des attaques DoS. « Nous embarquons un mécanisme qui identifie le début d'une attaque et arrête de répondre aux requêtes correspondantes » ,indique Jeanne Bayerl. Mitel intègre aussi une protection contre les attaques DoS. Chez Cisco, c'est le logiciel Cisco Secure Agent (CSA) qui protège des attaques par analyse comportementale. Ce qui ne dispense pas d'installer un antivirus : le gestionnaire d'appels protégé par CSA pourra être porteur sain et autoriser la propagation d'un virus. « Mais si l'antivirus n'est pas tout à fait à jour, ce ne sera pas très grave » , note Michel Cugnot.

La passerelle, qui permet de connecter le réseau IP au réseau public RTC, peut être perçue comme une porte d'entrée potentielle, mais ne doit pas être l'objet d'inquiétudes. « Cet équipement très spécialisé ne sait que convertir un signal téléphonique en communication IP et vice-versa » , indique Guillaume Calot. « Il communique avec le serveur de communication via un protocole propriétaire et n'est même pas visible sur le réseau » ,ajoute Jeanne Bayerl. Il faut encore noter que la mise en place d'un PABX-IP redondant, localement ou sur un site distant, est particulièrement importante : puisqu'un matériel central est capable de desservir plusieurs sites, en cas de problème, le téléphone sera coupé pour l'ensemble des sites.

Autre aspect à examiner au niveau du gestionnaire d'appels : les fonctions d'administration. S'il comporte un serveur Web pour la gestion à distance, il faut y accéder par l'intermédiaire d'un protocole sécurisé tel que HTTPS. « Il faut aussi authentifier l'utilisateur via un serveur LDAP ou Radius » , ajoute Michel Cugnot. Il est bien évidemment indispensable de gérer finement les droits d'accès des administrateurs, et de réduire au besoin les droits d'une personne donnée à un site, une zone ou des fonctions d'administration spécifiques.

Par ailleurs, pour reproduire les possibilités offertes par les systèmes de téléphonie classique, certaines solutions de téléphonie sur IP autorisent les administrateurs à se connecter directement au matériel via le réseau RTC ou RNIS. « Chez Mitel, nous avons choisi de ne pas offrir cette possibilité, jugée trop risquée, affirme Bruno Benard. L'accès à distance se fait uniquement en IP : nous utilisons des tunnels IPSec ou PPTP. Et, si l'entreprise ne dispose pas de ce type de système, un module de télémaintenance permet, via un serveur d'accès distant, de se connecter au réseau IP via RTC » . En septembre 2004, Alcatel va ajouter, dans sa gamme OmniPCX, les protocoles SSL et SSH pour sécuriser la communication entre l'administrateur et le serveur de communication qui lui font défaut aujourd'hui.

Le serveur de communication et les terminaux IP échangent trois types de flux. « Le premier permet le téléchargement d'une image, qui apporte le firmware . Le deuxième fournit les informations de configuration, qui personnalisent le poste d'un utilisateur. Le troisième concerne la communication téléphonique. Les trois peuvent comporter des brèches s'ils ne sont pas convenablement sécurisés » ,explique Michel Cugnot. Cisco signe numériquement l'image système et la configuration pour en assurer l'intégrité, et les échanges de signalisation entre le serveur de communication et le téléphone sont chiffrés.

Une fois le téléphone configuré, l'adresse IP ne suffira pas à l'identifier - il serait alors facile d'usurper son identité. Nortel authentifie un téléphone par une signature chargée lors de son installation, et Mitel identifie le poste par son adresse MAC via une signalisation propriétaire. Le téléphone démarre avec une adresse IP statique ou dynamique, auquel cas il devra récupérer une option spécifique auprès du serveur DHCP, ce qui signifie que le serveur est configuré pour la téléphonie sur IP Mitel.

Optionnellement, Cisco et Mitel proposent de chiffrer la voix elle-même, via le protocole SRTP (Secure real-time transport protocol) . « Ce mécanisme est généralement réservé aux télétravailleurs, et n'est à ma connaissance pas utilisé dans les réseaux locaux d'entreprise, affirme Bruno Benard. Pour intercepter les flux dans le réseau local, il faut s'y trouver physiquement, disposer d'un sniffer , accéder à un commutateur Ethernet et lui indiquer de copier les trames vers le port auquel est connecté le sniffer .On peut éviter ce risque minime en limitant les accès d'administration des matériels d'interconnexion et en leur interdisant le mirroring de port. »