Depuis le 1er septembre, le site web star38.com permet à ses clients américains de téléphoner en affichant un faux numéro d’appel. Un service peu scrupuleux, qui tire parti des faiblesses des réseaux voix sur IP.
Appeler un correspondant en apparaissant sous le faux numéro de son choix. Qui n’a jamais été tenté d’utiliser un tel subterfuge ? La technique serait aujourd’hui à la portée d’entreprises peu scrupuleuses ou d’internautes très bien informés. Elle repose sur les faiblesses du protocole IP (Internet Protocol), de plus en plus utilisé dans les réseaux téléphoniques.
Aux Etats-Unis, une start-up du nom de Star38 a même franchi une étape supplémentaire en lançant un service commercial à destination des sociétés de recouvrement et des détectives privés. Elle propose à ses clients de passer leurs appels en truquant le numéro de téléphone qui s’affichera sur le poste de leur correspondant. L’intérêt est évident pour une société chargée de contacter des mauvais payeurs ou pour une entreprise de télémarketing.
Lancé ce 1 er septembre, le service de Star38.com exploite un principe assez simple. Deux numéros coexistent en effet dans tous les réseaux de téléphonie : le premier ( Calling party number, ou NDI en France, pour numéro de désignation d’installation) correspond au numéro réel du poste appelant. Ce numéro, attribué par l’opérateur, est celui utilisé par le grand public.
Le second (Caller ID ou NDS – numéro de désignation secondaire) sert à gérer les lignes directes dans le cas d’entreprises ou d’administrations équipées d’autocommutateurs téléphoniques. Ces numéros sont alors déterminés par l’installateur sur les recommandations de son client.
Et c’est justement ce numéro secondaire que Star38.com compte substituer à la demande pour ses futurs clients, comme l’explique SecurityFocus . Le correspondant serait ainsi leurré sur la provenance réelle de l’appel.
Concrètement, les clients utilisent une interface Web pour remplir un formulaire où ils indiquent leur numéro d’appel réel, le numéro de leur correspondant et enfin le numéro d’usurpation choisi. Quelques secondes plus tard, ils sont rappelés par le serveur IP de Star38.com, qui les met alors en relation avec le destinataire, sous le faux numéro indiqué.
Une manipulation qui passe par un opérateur IP
L’outil d’usurpation des numéros aurait été développé à l’aide d’un autocommutateur logiciel open source, dénommé Asterik. Les appels émis par le biais de ce site devraient être facturés 25 cents de dollar par appel, puis 7 à 14 cents par minute pour l’utilisation de ce service. Mais, pour cela, encore faut-il que Star38.com s’associe, pour acheminer ses appels téléphoniques, à des opérateurs de voix sur IP peu scrupuleux également.
En effet, comme l’explique Christophe Bach, directeur général de l’opérateur de téléphonie IP Altevia, « Les opérateurs sont en mesure de contrôler les NDI et les NDS dans les paquets d’appel IP qu’ils acheminent, et de rétablir le numéro réel dans le cas où un client utiliserait un NDS par trop `farfelu’ » .
Mais si le fournisseur de VoIP n’est pas trop regardant sur l’usage que ses clients font des numéros d’identification primaire et secondaire, c’est clairement la porte ouverte à des abus.
D’autres « passe-droits » existent. Des communautés d’utilisateurs se dotant d’un autocommutateur logiciel de VoIP n’appliqueraient évidemment pas les mêmes règles que des opérateurs officiels, contrôlés par des autorités de régulation. De même, des appels déclenchés depuis des FAI ou des opérateurs à l’étranger sont difficiles à superviser de bout en bout.
« En tant qu’opérateur, nous avons l’obligation d’acheminer tout appel téléphonique. Or, quand celui-ci provient d’autres pays ou continents et est déjà passé par plusieurs `telcos’, il devient très difficile d’identifier avec certitude le NDI et le NDS » , reconnaît Christophe Bach.
En revanche, il semble que la manipulation soit plus difficilement à la portée des particuliers abonnés aux services de téléphonie sur ADSL, tel celui de Free. Selon Christophe Bach, le protocole MGCP (Media gateway control protocol) utilisé dans des décodeurs du type de la FreeBox ou de la Livebox (Wanadoo) interdit de telles dérives, puisque dans ce cas l’opérateur de VoIP attribue directement les numéros d’identification, sans intervention possible de l’utilisateur.
Le problème de l’usurpation n’est de toute façon ni nouveau ni cantonné au monde Internet, puisque les autocommutateurs numériques (RNIS en France) permettaient déjà à des personnes averties de faire apparaître leur appel sous la numérotation de leur choix.
Des failles dénoncées depuis plusieurs années
Consultant en sécurité et dirigeant du cabinet qui porte son nom, Hervé Schauer tonne depuis trois ans, avec ses confrères, contre la VoIP : « La voix sur IP, c’est le paradis de la malveillance. Pour des questions de concurrence et de rapidité de mise sur le marché, les protocoles H323 et SIP ont été développés à la hâte, par des entreprises soucieuses de leurs seuls intérêts commerciaux, avec comme conséquence des résultats catastrophiques pour tout ce qui touche à la sécurité » , dénonce-t-il.
Selon lui, la tendance évoluerait un peu ces derniers temps avec, pour la première fois, un équipementier venu solliciter les services de son cabinet afin de faire tester les failles de sécurité d’un autocommutateur de voix sur IP.
[source – 01net.com] Laurent Campagnolle