A l’occasion du récent Forum dédié à l’interopérabilité des Communications Unifiées, Michael Finneran, directeur du bureau "dBrn Associates" s’interroge sur l’intérêt réel que portent les exploitants de réseau mobile au protocole SIP (Session Internet Protocole). Le forum ouvert à ce propos sur la Toile semble indiquer que l’IETF devrait être sollicitée pour la normalisation des processus de communication de façon à apporter plus de sécurité dans les relations des entreprises.
SIP Trunking et Communications Unifiées
D’une façon générale, l’usage du protocole SIP à distance (SIP Trunking) dans le cadre des connexions effectuées par les entreprises et du déploiement des communications unifiées (UC), demeure encore un sujet un peu ignoré et mal traité. Les exploitants de réseau mobile se tiennent prudemment à l’écart de ce sujet brûlant, d’autant plus que dans tous les cas, le traitement de l’identification de l’appelant (numéro d’appel du terminal qui sollicite une connexion, ou "caller ID") pose encore de graves problèmes aux exploitants de réseau et à leur clientèle professionnelle. Pourtant, les réseaux d’entreprise ont besoin de connexions externes dont certaines sont portées par les réseaux mobiles et c’est justement par cette voie que peuvent pénétrer les intrus, les trublions ou les fraudeurs potentiels. D’autre part, les entreprises ne peuvent pas interdire les avantages apportés par l’ensemble des communications unifiées à leurs employés en situation de mobilité (travail collaboratif, messagerie unifiée, etc., et bientôt, avec la mise en œuvre des réseaux 4G, les communications en vidéo.
Incertitudes sur l’identité de l’appelant et le protocole SIMPLE
La connexion établie par un employé en situation de mobilité est complexe par nature, puisqu’elle est extérieure au réseau privé de communication de l’entreprise. La seule façon de savoir s’il s’agit d’une connexion établie par un ami ou par un intrus consisterait à pouvoir lire le numéro d’appel de l’appelant réel (CLIP). Ce qui était possible autrefois, avec une tarification basée sur l’identification de l’appelant, ne l’est plus aujourd’hui avec le régime des forfaits et des numéros "gratuits". Certains experts estiment que le renforcement de l’interface fournie par SIP avec l’adjonction du protocole SIMPLE (SIP with IM and Presence Leveraging Extensions) pourrait fournir des informations complémentaires sur la situation géographique (soit par le GPS, soit par identification de la cellule d’appel) et sur la présence de l’appelant mobile en temps réel. Ces informations pourraient être rendues disponibles même en cas d’extinction de la batterie du terminal. Pourtant, l’évocation de ces potentialités laisse les exploitants sans réaction. A l’exception de Sprint qui propose des options intéressantes à l’intention des entreprises, les exploitants peuvent laisser croire qu’ils estiment que leurs clientèles professionnelles et résidentielles doivent partager les mêmes critères d’usages et de sécurité. Le frein majeur à une approche plus professionnelle de la sécurité est représenté par la diversité des parcs d’autocommutateurs privés et des réseaux d’entreprise. La normalisation a encore un gros effort à fournir afin de permettre aux entreprises de bénéficier d’un ensemble sécurisé de communications unifiées pour tous les contacts à établir et pour toutes les applications qui leur sont nécessaires.
Les commentaires du FBI à propos de VoIP
Mais le débat sur l’identification de l’appelant fait bondir d’anciens agents du FBI qui tiennent à apporter leur pierre aux débats. Ils font remarquer que les attaquants sont supposés utiliser des programmes de numérotation automatique à partir de comptes multiples de façon à saturer d’appels toute la région et les lignes téléphoniques de leurs victimes en lançant des milliers d’appels. Cette pratique est appelée SPIT (Spam Over Internet Telephony). Mise en œuvre par des robots de réseaux (botnets), elle met en danger le trafic de millions d’utilisateurs de systèmes VoIP. Si l’un des destinataires a la mauvaise idée de répondre, il n’entend rien du tout, ou bien il doit écouter un message préenregistré sans signification, une publicité ou une offre pour un service licencieux. Ces appels sont en général de courte durée, mais ils deviennent si nombreux qu’en général, pour faire cesser l’engorgement du trafic d’arrivée, les victimes sont amenées à changer de numéro d’appel. Les recherches effectuées par les techniciens montrent qu’en général, ces attaques sont perpétrées à partir de faux numéros d’appel dont la structure est extraite du plan général de numérotage et que l’on ne peut pas parvenir à localiser. Il s’agit donc ici "d’imitation de numéro du demandeur" (Caller-ID spoofing). En conséquence, lorsqu’un service administratif appelle un citoyen pour s’assurer de la véracité des informations liées, par exemple, à un transfert bancaire, ce n’est pas une bonne idée, car rien ne prouve l’identité réelle de l’appelant.
Une identification de l’appelant réellement fragile
En fait, l’identification de l’appelant est en elle-même fragile, car comme elle n’est enregistrée nulle part que sur le réseau, il est possible de la modifier à son gré. Il est possible de se créer de façon temporaire un numéro d’appel dans la liste des extensions possibles d’une grande entreprise et utiliser celui-ci comme numéro d’identification. L’en-tête du message SIP peut elle-même être modifiée, cryptée, manipulée, masquée et les réseaux radioélectriques traversés par le message ne remarquent souvent rien du tout. D’ailleurs, les plaintes transmises aux réseaux de transit n’aboutissent jamais, car aucune trace n’est conservée la plupart du temps et la recherche approfondie montre que le réseau de transit a laissé passer un message dont l’adresse de départ est vide. Ainsi, les appels anonymes sont possibles en VoIP puisque cette technologie comporte trop de variables, en particulier dans le transfert vers les réseaux radio cellulaires. Le problème ne semble pouvoir être résolu qu’avec le concours d’une entité de normalisation ayant la gestion des adresses du monde IP dans son domaine de compétence. Il est possible que l’IETF se saisisse de cette question.
Vocabulaire associé
DID : Direct Inward Dialing (numérotation directe du numéro du demandeur) CLIP : Calling Line Identity Presentation (présentation du numéro de la ligne appelante) SIMPLE : SIP with IM and Presence Leveraging Extensions (protocole SIP avec extension de fonctions) SPIT : Spam Over Internet Telephony.
Salon INTERNET WORLD , Du 24 au 26 Avril 2012 à Londres, INTERNET WORLD : l’évènement ... [suite]
Séminaire IPv6, Le 11 Avril 2012, à Telecom ParisTech., Le G6 organise un séminaire ... [suite]
