Sécurité et voix sur IP ADJIDO Idjiwa Master 2 RES Université Pierre et Marie Curie (Paris VI) Paris, France idjiwa.adjido@etu.upmc.fr
Résumé Le succès de la téléphonie sur IP dans le monde de l entreprise et dans les foyers impose la mise en place d une sécurisation efficace. Si des attaques peuvent être tolérées sur le réseau de données, l absence d un système de téléphonie pour une entreprise peut être lourd de conséquences. L importance des appels d urgence par exemple nécessite une garantie sur la disponibilité et l intégrité du réseau téléphonique. Les solutions existent, il est question de cloisonnement via une segmentation de flux, de filtrage IP (pare feu), de l utilisation de mécanismes comme IPSec, VPN, SSL, etc. Ces solutions restent complexes à mettre en œuvre. Il est également question de la sécurité au niveau des protocoles utilisés par la voix sur IP. Ces protocoles laissent entrevoir quelques failles de sécurité, la plupart du temps, dans leur implémentation. Les failles sont alors «patchés» par des extensions aux protocoles imparfaits ou de nouveaux protocoles sont proposés, dédiés à sécuriser la voix sur IP. Toute cette sécurisation devant tenir compte du problème de la qualité de service, critère important pour l utilisation de la voix sur IP. Mots clés : Sécurité, VoIP. Table des matières Résumé... 2 Introduction... 3 Contexte... 3 Limite du document... 3 VoIP... 4 La technique... 4 Les applications... 4 Sécurité de la VoIP... 5 Attaques... 5 Solutions et propositions sur le marché... 6 Thèmes de recherche... 6 Conclusion... 7 Références... 7 2
Introduction Contexte La VoIP est un sujet d actualité : 29% des entreprises y vont pour des questions d'économies, 23% pour disposer de nouveaux services, 25% par stratégie pure, 12% pour une gestion plus simple, et enfin 8% pour changer leur PaBX (étude Cesmo). La téléphonie sur IP représente en France 1,5 milliard de minutes de communication, soit 6% du trafic total pour le 1er trimestre 2005, et ce pour 1,5 million de clients estimés. En termes de revenus, cela se traduit par 165 millions d'euros de chiffre d'affaires en 2004 (étude Arcep). Ce chiffre d'affaires est d ailleurs en progression de + 53% par rapport à 2003 (source IDC, «Le marché français de la Téléphonie sur IP, 2004-2007»). Le besoin de passer à cette technologie n est pas ressenti uniquement par les grandes entreprises au territoire éclaté. Aussi, la migration vers cette technique ne concerne pas que les entreprises, la voix sur IP est également dans les foyers à travers des solutions comme skype 1, wengo, les différentes «box» fournies par les opérateurs, etc. Limite du document Vous ne trouverez ici ni nouveau protocole, ni nouvelle faille de sécurité. En revanche, vous finirez la lecture en étant conscient (nous l espérons) des principaux problèmes que peuvent engendrer une mise en oeuvre VoIP non sécurisée et des différentes solutions utilisées ou en cours d études. Nous commençons pour ce faire par rappeler comment fonctionne la VoIP à travers une succincte explication du fonctionnement de cette technique puis en étudiant par qui et pourquoi elle est utilisée ; nous abordons ensuite l aspect sécurité en pointant du doigt les dangers et ce qui existe pour les éviter ou les amoindrir. 1 Skype n a pas échappé aux chercheurs de vulnérabilités : http://secunia.com/advisories/17305/ bien qu un papier récent (18/10/2005) le présente comme particulièrement sûr. Tout en faisant ouvertement de la publicité pour l application, le papier présente quelques fonctionnements du logiciel propriétaire : http://www.skype.net/security/files/2005-031%20security%20evaluation.pdf 3
VoIP Une confusion courante est faite entre la téléphonie sur IP (ToIP) et la voix sur IP (VoIP). Nous tenions donc à préciser le point suivant : la ToIP est un ensemble de techniques qui permettent la mise en place de services téléphoniques sur un réseau IP. La VoIP est une des techniques utilisée pour réaliser la mise en place de ce type de service. La technique La VoIP est une technique qui permet de transmettre de la voix en utilisant les paquets des réseaux de données IP 2. Elle peut dont être utilisée pour des réseaux différents : VoIP wifi, VoIP 3G, etc. L implémentation de cette technique n est pas encore mature, plusieurs protocoles se font concurrence. Le procédé reste cependant le même : la voix est échantillonnée numériquement ; ces échantillons sont compressés 3 à l aide de codeur/décodeurs (codec) puis empaquetés. Les deux protocoles (non propriétaires) les plus répandus actuellement sur le marché sont H323 et SIP (Session initiation protocol, rfc 3261). H323 à l expérience pour lui : cinq versions ont déjà vu le jour. Le protocole a été créé à l origine pour des sessions multimédias sur des réseaux locaux avant d être étendu à la VoIP. C est en même temps qu un protocole, une architecture entière, comprenant une famille de protocoles et de normes. Contrairement à H323 qui s inspire des circuits télécoms, SIP est un système de signalisation conçu en respectant la philosophie IP. C est pour cette raison que, malgré le fait qu il soit moins riche en services fournis que son concurrent direct, il suscite un grand intérêt dans la communauté Internet et télécom. Il faut également noter la présence de RTP (real time protocol, rfc 3550), un protocole conçu pour les applications audio et vidéo temps réels sur les réseaux IP. Les applications De nombreux avantages sont énoncés au sujet de cette technique en plein essor qui mûrit depuis plus d une dizaine d années. Nous pouvons citer entre autres : La réduction des coûts de communications : les coûts de bandes passantes représente à terme moins de la moitié de la facture téléphonique traditionnelle ; Une administration centralisée qui simplifie les opérations de maintenance : il y a avait besoin d un prestataire ou d un spécialiste pour le moindre déplacement de poste, ce n est plus le cas ; La simplification des infrastructures due à l utilisation d un même réseau. Par exemple, une seule prise Ethernet par utilisateur : les postes hardphones sont équipés d un hub passif sur lequel se branche l ordinateur ; La sophistication des applications : le standard humain ou les commutations nécessitant de taper ou de dire «1» pour tel service, «2» pour tel autre, etc. ne sauront plus d actualité ; la référence du client pouvant être interprété plus aisément, le client pourra être redirigé (ou non) directement sur le responsable adéquat. 2 Remarquez qu il existe aussi VoFR (frame relay), VoATM, mais IP ayant le monopole ces techniques n ont pas atteintes une grande échelle. 3 Les silences d une conversation peuvent être supprimés ou mieux, remplacés par des «bruits blancs». 4
VoIP est une technique d avenir. Elle permet de diminuer l effectif en charge des télécoms dans les entreprises, une plus grande flexibilité dans les déplacements inter entreprises. La possibilité de tracer les appels (utile en hotline), d optimiser le temps de travail (travail à domicile), etc. sont autant d arguments favorable à sa bonne expansion. Les prises en charges avec via les offres Centrex permettent aux petites entreprises de déléguer au niveau opérateur la gestion de leur téléphonie ; cette délocalisation permet même de faire jusqu à 30% d économie par rapport à une solution interne fondée sur IPBX, selon les offres. Sécurité de la VoIP La technique VoIP utilisant le même réseau que celui de donnée devient sujet aux mêmes types de menaces que celles que nous connaissons. Cela fait donc une source de vulnérabilité supplémentaire pour l entreprise. Nous pouvons nous interroger sur l impact de l absence de téléphonie dans une entreprise de nos jours. Attaques Pour attaquer les réseaux téléphoniques traditionnels, il fallait se trouver physiquement au bon endroit avec les pinces alligators et trouver les bons câbles, ce qui limitait le nombre d interventions. Maintenant, être à l autre du bout du monde derrière son ordinateur n empêche en rien de faire la même chose, voire plus : on peut également accéder au réseau de données. La plupart des entreprises craignent pour la confidentialité des communications ; elles craignent également les manœuvres permettant aux attaquants (alors appelés phreakers) de se servir de leur réseau pour passer des appels gratuits ou encore d être la cible des attaques de spammeurs : on parle alors de Voice spam ou SPIT (spam over internet telephony). Nous pouvons imaginer le degré d enthousiasme qu aurait une entreprise si, durant ces appels, elle reçoit un message publicitaire toute les trente secondes lui indiquant l adresse d un site indélicat. Le réseau VoIP peut être attaqué via des outils classiques d écoute de trafic, d injection de trafic IP, etc ; mais nous pouvons aussi citer des outils propres à la voix comme Voice Over Misconfigured Internet Telephones 4 (VOMIT) qui permet de déchiffrer une conversation sur un réseau local ou VoIPONG 5 qui détecte les communications VoIP (supporte H.323, SIP et RTP/RTCP entre autres) sans avoir besoin de connaissances avancées dans le domaine ; SiVuS (SIP Vulnerability Scanner) en revanche nécessite de connaître un minimum le protocole SIP pour pouvoir être utilisé avec efficacité 6 afin détecter les vulnérabilités des composants SIP. Le nécessaire existe donc pour sniffer les appels, les enregistrer, les modifier. Naturellement, les protocoles les plus utilisés comme SIP ou H.323 comportent des failles de sécurité 7, la plupart du temps, dans leur implémentation. Une consultation de la taxonomie de la VoIP security alliance 8 permettra d avoir une vision plus exhaustive de ce qui existe en terme d attaques. 4 http://vomit.xtdnet.nl/ 5 http://www.enderunix.org/voipong/ 6 http://www.vopsecurity.org/sivus-user-doc.pdf 7 http://www.cert.org/advisories/ca-2004-01.html, http://www.frsirt.com/bulletins/34, http://www.cisco.com/warp/public/707/cisco-sa-20040113-h323.shtml, http://pentest.tele-consulting.com/advisories/05_07_06_voip-phones.txt, etc. 8 http://www.voipsa.org/activities/voipsa_threat_taxonomy_0.1.pdf, du 24 octobre 2005 5
Solutions et propositions sur le marché Comment sécuriser cette nouvelle technique? La solution «miracle» du VPN (virtual private network) n est pas adaptée aux réseaux locaux, elle sert réellement pour l établissement de tunnel à travers l Internet. Une solution peut être également la segmentation de flux de téléphonie au niveau du réseau local, mais cela peut parfois poser des problèmes lorsque certaines adresses ont besoin d être rendues publiques. Il faudrait alors séparer le réseau de données de celui de la téléphonie pour être plus «tranquille» : nous perdrions alors l un des avantages de cette technique qui est d utiliser un réseau et un seul pour les données et la voix. Certains protocoles dédiés à la sécurisation de la VoIP sont en cours d optimisation. Nous pensons notamment à la tentative timide (à ce jour) de Carole BASSIL via le voice security protocol draft version 1.0 (23/05/2005) ou aux versions plus abouties de la NSA qui sont FNBDT (futur narrow band digital terminal) et SCIP (Secure Communications Interoperability Protocol, le successeur de FNBDT). Des solutions existent également pour sécuriser les principaux protocoles utilisés : SIP, H.323 ou RTP/RTCP. En guise d illustration, nous pouvons citer respectivement les fonctionnalités décrites dans la RFCs 3261 et 3329, à H.235 (v3) ou à SRTP/SRTCP (RFC 3711). Bien entendu, face à ces problèmes certaines solutions ont vu le jour, parfois même certaines entreprises! C est le cas, entre autres, de la start up NeoTIP 9. La société part du constat que les pare feu ne sont pas adaptés à la sécurisation de la VoIP qui nécessite l utilisation de nombreux ports dynamiques ; les failles proviennent alors de l obligation pour les pare feu de prévoir statiquement de larges plages de ports ouverts. Leur solution principale agit donc comme tiers de confiance avec les pare feu classiques. Une variante utilisée par checkpoint, cisco ou encore netscreen est d intégrer directement les protocoles comme H.323 à leur pare feu 10. En plus des pare feu, des organismes comme l ISS (Internet security system) recommandent l utilisation de solutions NIPS, HIPS (Network/Host intrusion prevention system) et suggèrent quelques conseils de base 11 tel qu en plus d une segmentation de flux, une séparation des serveurs DHCP (dynamic host control protocol), une authentification forte et un contrôle d accès au niveau des passerelles VoIP en passant par l utilisation d IPSec. Le NIST (national institut of standard and technology) propose également des recommandations qui vont dans ce sens. Thèmes de recherche Il nous est impossible de faire une liste exhaustive de tous les thèmes précis de recherches dédiés à la sécurité de la voix sur IP. Cependant, actuellement, un sujet «tendance» est l étude des menaces et vulnérabilités associées aux technologies NGN/VoP 12 (protocoles et architectures). C est par exemple de ce que se propose d étudier le VoSIL 13 (Voice Security Internet Lab, une collection de laboratoire de recherche). Une autre étude a pour objectif de résoudre le problème posé par les pare feu, c est ce que se propose de faire cisco et microsoft ensemble. Enfin, une dernière optique : sécuriser la voix sur IP utilisée sur des liaisons sans fils. Une source d articles 14, de livres blancs, etc. est mise à jour régulièrement par la VoIPSA (VoIP Security Alliance) qui se propose justement de participer à la recherche sur la sécurité de la VoIP. 9 http://www.neotip.com/ 10 Dans les cas d un nombre de composants H.323 restreints, il est conseillé de les mettre dans une DMZ. 11 http://documents.iss.net/whitepapers/iss_voip_protection_white_paper.pdf 12 http://www.vopsecurity.org/ngn_security.pdf 13 http://www.vopsecurity.org/html/research_-_the_vosil_lab.html 14 http://www.voipsa.org/resources/articles.php 6
Conclusion La téléphonie IP à visiblement de grands jours devant elle, même si il est évident qu elle a encore à gagner en maturité. La voix sur IP doit faire face à deux grands problèmes d actualités : la qualité de service et la sécurité. Ce sont malheureusement deux objectifs n allant pas dans le même sens. La sécurité de la technique VoIP doit, pour résumer, consister en la protection des protocoles VoIP, la protection des systèmes d exploitation sur lesquels les solutions VoIP sont basées (buffer overflows et vulnérabilités diverses ), la protection des couches réseaux contre les attaques de type DoS, la protection de la bande passante dédiée à la voix sur le réseau. Toute sécurité impose des contraintes nécessaires, certes ; mais la question est de savoir, à quel point peut on sécuriser sans dégrader la qualité de la voix sur le réseau. C est dans ce sens qu argumentent les partisans du VoP pour Voice over packet associés au NGN (next generations network) et donc déjà concurrente de la VoIP avant même que cette dernière soit bien en place. Mais là encore, les vulnérabilités sont déjà annoncées. Références http://csrc.nist.gov/publications/nistpubs/800-58/sp800-58-final.pdf Un document très instructif de la NIST : «Security considerations for Voice over IP Systems». Il présente les vulnérabilités (en général et sur les principaux protocoles utilisés) et exposes également des solutions à mettre en place. http://www.voipsa.org Le site de la VoIP Security Alliance http://www.voip-info.org Un wiki référençant tout ce qui trouve sur la Voix sur IP. http://www.vopsecurity.org/ Un concurrent direct de la Voix sur IP http://www.secqos.org Un workshop sur la sécurité (et la QoS) http://www.iss.net/resources/voip.php Accès aux questions de la protection de la voix sur IP au moyen de technologies de prévention d intrusion. 7