Je profite toujours de mes vacances pour prendre le temps de lire des livres que je n'ai pas le temps de lire pendant le reste de l'année. Cette fois-ci, ma lecture, c'est "Hacking Exposed VoIP: Voice over IP Security secrets and solutions", paru chez Mc Graw Hill (ISBN-10: 0-07-226364-4).

Alors que suis à peu près la moitié du livre, je me disais combien il semblait simple de hacker un réseau VoIP ! Le livre expose non seulement les techniques de hacking de base (recherche sur google, identification des points d'entrée sur le réseau, des faiblesses avec les versions de système installé …) mais encore rentre dans les techniques pour durcir un réseau VOIP.

C'est une curieuse coïncidence que j'ai découvert ce soir en parcourant la revue de presse. Il y est fait mention de l'arrestation d'un hacker de réseau VOIP :

VoIP Hacker Talks: Service Provider Nets Easy Pickings
http://www.networkworld.com/news/2007/081007-voip-hacker.html

Il apparait clairement ici que les points d'entrée usuels ont été appliqués pour pénétrer sur le réseau ensuite, il l'attaque a été un jeu d'enfant. La cause principale est que le protocole SIP n'est pas protégé, de même le protocole RTP est transparent.

Alors que l'on voit converger rapidement les réseaux informatiques et téléphoniques dans les entreprises en ce moment, et vu l'importance qu'ont les moyens de communication actuellement, il devient de plus critique d'avoir un approche globale de la sécurité des réseaux informatiques.

L'approche prise par OCS 2007 est de ne pas faire confiance aux couches inférieures et donc d'imposer ce qui peut l'être. Les échanges entre le client Communicator et le serveur OCS ou entre les clients Communicator sont chiffrés par TLS (Transport Layer Security) sur IP. Cette approche, qui n'est pas imposée par toutes les solutions de voix sur IP, est contraignante mais il me semble qu'elle est indispensable en particulier au regard de ce qui est énoncé ci-dessus.

Au-delà du produit, il me paraissait important de mettre en lumière l'importance de la sécurité pour toutes les couches du système d'information avec l'arrivée de la voix sur IP dans les réseaux d'entreprise.