La sécurité informatique est au coeur de tous les sujets. Dans ce contexte, il semble important de donner l'alerte sur celle des systèmes téléphoniques. Les professionnels ne sont pas à l'abri des attaques téléphoniques. Quid pour protéger les installations téléphoniques de votre entreprise.

Comprendre le fonctionnement d'un PABX

On appelle Private Automatic Branch eXchange (PABX), ou autocommutateur téléphonique privé, un système permettant de relier des postes téléphoniques d'un établissement (lignes internes) avec un réseau téléphonique public (lignes externes).

Les PABX fonctionnent comme un serveur informatique sur des systèmes d'exploitation connus, avec une application de téléphonie en plus. Ils héritent donc des mêmes vulnérabilités que tout autre serveur. De plus, ils subissent également les problématiques spécifiques à la téléphonie.

Détournement de trafic téléphonique, un fléau international

Autrefois les fraudes téléphoniques étaient surtout connues en local. De nos jours, on compte des attaques en masse et internationales. Un phénomène mondial calamiteux estimé à 4,96 milliards de dollars, en 2011.

En France, l'intrusion dans le système téléphonique d'une entreprise lui coûte plusieurs milliers d'euros. On compte des milliers d'entreprises françaises touchées tous les ans.

Comment les pirates détournent-ils votre installation téléphonique (PABX) ?

Vos postes téléphoniques en entreprise sont installés via le PABX. Les pirates parviennent à les contrôler à distance en exploitant une faille dans votre système. Ainsi, ils peuvent passer des appels, les transférer et les rediriger vers des numéros internationaux ou surtaxés, à vos frais. Ils peuvent également écouter vos conversations, provoquer des dysfonctionnements graves ou des arrêts de service, détourner et détruire des télécopies, etc.

Pour réussir leur coup, ces pirates opèrent très souvent la nuit, les week-ends ou durant les périodes de congé. Ils ciblent les moments où aucun personnel ne se trouve au bureau afin qu'aucune intervention de la part de la victime ne puisse aboutir rapidement.

Les conséquences d'une fraude téléphonique

La première est bien sûr la surfacturation. Ensuite, une telle mésaventure n'est pas sans conséquence pour l'image de l'entreprise victime de l'attaque. Elle peut perdre des clients et toute crédibilité auprès de ses prospects.

Comment limiter les risques de fraude sur vos installations téléphoniques ?

La prévoyance est la meilleure défense contre ce type d'attaque ! Pour protéger au maximum votre infrastructure téléphonique, vous devez :

  • Changer le mot de passe par défaut fourni par votre opérateur par un autre beaucoup plus complexe et dont vous êtes le seul à connaître. Programmez un changement régulier de tous vos mots de passe. N'oubliez pas la bonne pratique du mot de passe sécurisé : majuscules, minuscules, symboles et chiffres confondus.
  • Interdire les appels dans certains pays où vous ne faites pas affaire.
  • Demander à votre prestataire de maintenance d'effectuer régulièrement les mises à jour nécessaires pour vos équipements.
  • Faire un audit régulier de votre téléphonie. Ce qui permettra de vérifier sa configuration et son niveau de sécurité.
  • Inciter vos collaborateurs à adopter les bons gestes en incluant la téléphonie dans la politique de sécurité du système d'information.
  • Définir un seuil de consommation maximal. Si vous approchez ce seuil, vous serez alors alerté.
  • Installer un pare-feu devant l'autocommutateur pour filtrer les adresses IP entrantes.
  • Activer uniquement les services dont vous avez besoin pour vos activités professionnelles.
  • Verrouiller votre poste téléphonique durant vos absences du bureau.
  • Souscrire à une assurance contre la perte financière causée par une fraude téléphonique.