La VOIP fragile

Notre confrère Vulnerabilite.com a mis en ligne cette nuit un avertissement concernant une alerte de sécurité sur les installations de téléphonie par IP publiée par une newsletter américaine.
L’annonce, datée d’hier, parle d’une possibilité de téléphoner gratuitement à travers un service de VOIP originellement payant.

Le risque n’est donc pas pour l’instant de l’ordre de la sécurité, mais la vigilance n’est jamais de trop sur Internet...

Une faille qui permet la gratuité

Si la communication par VOIP entre deux ordinateurs est gratuite, cela peut généralement être différent vers un poste fixe ou vers l’étranger puisque la communication sort du réseaux VOIP de l’opérateur vous fournissant le service.
C’est ce genre de communications qu’une bande de pirate a réussi à s’éviter de payer en exploitant une faille découverte dans les flux VOIP.
Ils manipulent ainsi les trames IP qu’ils envoient afin de détourner les appels longues distance qu’ils passent.
Le principe est simple et a été exploité il y a déjà des années avec le téléphone classique : faire croire au système de taxation que l’appel n’a pas abouti et qu’il n’est pas nécessaire de faire payer celui-ci.
Notons que le CallManager de Cisco et la solution OpenSource Asterisk auraient pour l’instant été déclarées vulnérables.

Vulnerabilite

Si on paye rien à la sortie, c'est as bien grave