Sécuriser les flux VoIP sous le protocole SIP n'est pas une mince affaire. Ce dernier est un standard ouvert et transparent, similaire au HTTP. Il est donc relativement facile pour les phreakers - ces hackers spécialisés dans les systèmes téléphoniques - de le détourner dans le but de faire des tentatives d'intrusion, de générer des dénis de service, d'usurper des identités ou de provoquer des terminaisons et des redirections d'appel.

Pour remédier à ce problème, la jeune pousse française CheckPhone vient de présenter, à l'occasion du salon IP Convergence, une appliance de sécurité dédiée aux applications SIP, baptisée SIPdefense. Créée en 2005 , la société proposait déjà une suite de sécurité pour les PABX et les IPBX d'entreprise.

« SIP se développe de plus en plus dans les entreprises, notamment grâce aux raccordements SIP qui, proposés par les opérateurs alternatifs, permettent de remplacer leurs lignes TDM classiques. Nous leur proposons une solution complète permettant de sécuriser l'ensemble de leurs sites », explique Arnaud Lemoine, chef produits de CheckPhone.

Ainsi, SIPdefense regroupe plusieurs fonctions en même temps. Il incorpore un proxy SIP et un proxy RTP pour le traitement, respectivement, de la signalisation et des paquets. Il intègre l'analyse protocolaire et autorise un filtrage stateful inspection, c'est-à-dire relatif aux données de session. Il propose également la traduction NAT permettant de traverser les routeurs et les pare-feu existants, ainsi que le chiffrement de la signalisation et (bientôt) des paquets.

L'authentification et le support Radius font également partie des principales fonctions de ce serveur, que la société commercialise à partir de 3 500 € HT pour 25 utilisateurs.

Ce type de solution n'est pas nouveau. En 2005, le canadien Borderware proposait déjà un pare-feu applicatif dédié aux communications SIP. CheckPhone a néanmoins l'avantage d'être distribué par des intégrateurs puissants, comme Orange Business Services, NextiraOne ou AmecSpie.

Les autres grands concurrents de l'offre SIPdefense, de CheckPhone, sont les constructeurs d'IPBX, qui intègrent directement des fonctions de sécurité dans leurs équipements et qui prêchent pour leur paroisse. « Nos systèmes utilisent nativement le cryptage des communications : AES 128 bits pour les paquets et SSL pour la signalisation, explique Lionel Hovsepian, directeur commercial Europe de Mitel. Notre offre supporte, par ailleurs, l'authentification selon le standard 802.1x, ce qui permet alors d'obtenir une sécurité optimale et suffisante. »

Au sein de la communauté Asterisk, l'arrivée d'équipements dédiés à la sécurité SIP est plutôt bien accueillie, cette plate-forme open source n'étant pas sécurisée d'office. « L'utilisation d'un pare-feu avec un filtrage stateful permettrait, en particulier, de ne pas dégrader la qualité de service des communications vocales », estime Serge Carpentier, fondateur d'Asterisk France.

Voir notre dossier : La téléphonie IP à l'honneur au salon Convention VoIP