ven, 04/05/2012 - 14:30
La fraude téléphonique, ou encore appelée « phreaking », connaît une recrudescence depuis deux ans. Cette pratique consiste à tirer profit du système téléphonique d'une entreprise pour téléphoner gratuitement ou pour émettre des appels vers des numéros surtaxés. Quelles raisons expliquent cette hausse de la fraude téléphonique ? Et quelles sont les parades à mettre en place pour pallier les risques croissants ? David Remaud, Responsable Offre spécialisé dans la sécurité au sein de SPIE Communications, s’attache à répondre aux interrogations concrètes des entreprises confrontées à cette problématique.
Comment s’opèrent les fraudes téléphoniques ?
La cible privilégiée pour réaliser une fraude téléphonique est le système de messagerie vocale. Le but du pirate est d'activer les fonctions de renvoi d'appels ou de numérotation vers l'extérieur. Puis l’opération consiste à revendre le service d’appel ou à faire réaliser un nombre d’appels important par des automates, généralement en dehors des heures ouvrées. Les numéros composés sont principalement des numéros surtaxés, le plus souvent basés à l’étranger. Le pirate se rémunère sur la facture téléphonique de l’entreprise via l’opérateur télécom qui rétribue une partie de la surtaxe au détenteur de la ligne, le pirate. L’argent est donc détourné de façon indirecte. La répétition de l’action entraîne une surfacturation importante. La facture peut s’avérer exponentielle car plus l’entreprise détient de lignes téléphoniques, plus il y a de possibilité pour le pirate. Les fraudes téléphoniques peuvent alors représenter de 5 000 à plus de 200 000 euros de perte financière par entreprise.
Les entreprises impactées sont en majorité des PME car les grandes entreprises disposent de personnel dédié à la gestion de leur système de communication. Face au phénomène de fraudes téléphoniques, les PME demandent le plus souvent des actions palliatives car elles n’ont pas mis en place de suivi régulier et découvrent la fraude à la réception de la facture mensuelle de leur opérateur.
La fraude téléphonique a toujours existé, elle s’est amplifiée avec Internet. En plus, des documentations en ligne, les constructeurs informent davantage leurs partenaires et clients sur les vulnérabilités de leur système et leur indiquent quels sont les correctifs à mettre en place. En délivrant ces informations sur Internet, les équipementiers offrent de précieux indices aux pirates qui échangent leurs informations et expériences sur les blogs et forums.
La recrudescence de la fraude repose également sur des problèmes d’exploitation. L’optimisation de la configuration des systèmes de téléphonie est aussi importante que leur propre mise à jour. Les systèmes de téléphonie sur IP ne sont malheureusement pas à l’abri de ce type d’attaque. En effet, 40% des entreprises conduisant un projet de ToIP n’intègrent aucune approche de la sécurité. (Source : In-Stat).
Comment aborder les problématiques de la téléphonie dans un environnement unifié ?
Afin d’anticiper cette problématique de fraudes téléphoniques, il est recommandé d’agir sur différents axes :
- Renforcement de la stratégie d’accès au système de téléphonie
Pour obtenir une efficacité optimale, la politique de sécurité doit être mise en place sur l’intégralité du système de téléphonie. Une seule faille sur le réseau constitue un point d’accès facilité pour le pirate. Dans l’objectif de mettre en place une approche globale, le client et le prestataire de services doivent travailler ensemble afin de s’assurer de la sécurité du système.
- Filtrage des communications
Pour cela, il faut définir une politique de sécurité qui intègre la définition des autorisations à mettre en place au niveau des appels sortants sur les systèmes de téléphonie. Comme pour les pare-feux, il faut interdire toutes les communications par défaut et mettre en place des règles en fonction des utilisateurs et de leurs besoins. Par exemple, l’entreprise a tout intérêt à restreindre les appels à destination de l’étranger, ainsi que les fonctionnalités avancées de la messagerie vocale Sensibilisation des utilisateurs sur la confidentialité
Communiquer et informer sur les risques est primordial pour responsabiliser chacun des utilisateurs. Par exemple, il est nécessaire de ne pas divulguer son code de messagerie et de le changer régulièrement comme pour son compte d’ordinateur. Collaboration étroite avec des experts en sécurité
Afin de limiter les risques de piratage, un audit de sécurité du système de communication peut être confié à un expert. L’objectif est d’apporter des solutions en amont et d’éviter les soins palliatifs. L’audit de sécurité peut être réalisé à plusieurs reprises en fonction des mises à jour à effectuer sur le système de communication.
La sécurisation des systèmes de communications est de plus en plus complexe et doit être prise en compte par des experts Sécurité connaissant à la fois les problématiques des réseaux et de la téléphonie. En effet, la sécurité est une brique transversale qui doit être abordée précisément sur tout projet d’évolution du SI.
David Remaud, Responsable Offre spécialisé dans la sécurité au sein de SPIE Communications
A propos de l'auteur