0

Piratage téléphonique : que faire pour protéger votre entreprise ?

La sécurité des systèmes télécoms est un enjeu majeur pour les entreprises de toute taille. Aucun professionnel n’est à l’abri d’une attaque de pirate, et les offensives sont plus nombreuses que jamais. Dès lors, comment protéger ses installations téléphoniques et se prémunir des risques ?

En France, des milliers d’entreprises sont touchés chaque année par la fraude téléphonique. Les pertes sont multiples : revenus, clients, prospects… Le détournement des communications peut vite devenir un calvaire.

Arrivés au début des années 70, les « phreakers » – le nom de ces pirates – agissaient surtout au niveau local. Mais, depuis dix ans, les attaques de masse sont devenues internationales. En 2011, on estimait à près de 5 milliards de dollars les pertes dues à la fraude téléphonique. Aujourd’hui le chiffre dépasse les 33 milliards, soit 2 % du revenu global des télécoms.* Pour les professionnels, les conséquences sont parfois lourdes. Pour les pirates, c’est un business très lucratif : en un week-end, une société peut perdre jusqu’à des dizaines de milliers d’euros.

Quelles sont les méthodes employées par les phreakers ? Quelles sont les conséquences pour votre entreprise ? Mais surtout, que faire pour se protéger des attaques ?

PABX, le cœur de votre système de communication

Le PABX, ou Private Automatic Branch eXchange, est plus communément appelé autocommutateur. Derrière ce vocable de science-fiction se cache le cœur de votre système de communication.

Le PABX permet de relier les postes téléphoniques d’un même établissement avec le réseau public. Autrement dit, ce « cerveau des opérations » connecte les lignes internes aux lignes externes et assure le transit des unes aux autres.

Le PABX fonctionne sur le même principe qu’un serveur informatique avec son propre système d’exploitation. Il est donc soumis aux mêmes failles, et aux mêmes risques de fraude

Piratage téléphonique – le fléau des télécoms

Le phreaking consiste à détourner le trafic téléphonique en prenant le contrôle à distance de l’autocommutateur. Suivant l’âge ou la marque, il arrive que certains PABX soient moins touchés… Cependant, le risque zéro n’existe pas.

Les attaques ont lieu le week-end, en pleine nuit ou durant les périodes de congés : les pirates réduisent ainsi les risques de se faire repérer ou qu’une intervention manuelle ne vienne ralentir leurs opérations.

Pour pouvoir détourner vos lignes, les pirates récoltent d’abord des informations sur votre PABX grâce à des logiciels de « War Dialing ». Avec leur aide, ils scannent les plages de numéros de téléphone, analysent la fréquence des réponses…

Une fois la machine identifiée, il leur suffit de découvrir leur mot de passe, une tâche simple pour les fraudeurs : beaucoup de clients conservent en effet les données de sécurité par défaut du constructeur. Une ou deux recherches suffisent pour retrouver les authentifiants.

Les phreakers ont alors accès aux fonctions de base du PABX : messagerie vocale, transfert d’appel en cas de non réponse, écoute des conversations, arrêts de services… De la perte d’argent à l’espionnage industriel, les risques sont multiples.

Comme tous les pirates, leur objectif final est un trésor. Ils peuvent appeler des numéros surtaxés à l’étranger – et vous laisser découvrir la facture à la fin du mois – ou bien revendre vos capacités de communication à des opérateurs, souvent ignorants de l’origine frauduleuses de ces transmissions.

Se protéger du piratage – les conseils des pros

Les conséquences sont immédiates : surfacturation et dégradation de votre image. Imaginez en effet des clients appelant une entreprise familière et tombant sur une voix robotique en train de leur vendre des prestations farfelues, et parfois, beaucoup plus gênantes.

Pour éviter de perdre de l’argent, des clients et de faire fuir vos prospects, voici les solutions pour limiter le risque de fraude sur vos installations téléphoniques :

Les solutions techniques et sécurisées :

  • Les mots de passe de boîte vocale ne sont composés que de quatre chiffres, ils sont donc très faciles à trouver. Pour donner du fil à retordre aux pirates des ondes téléphoniques, changez de mot de passe, et ne le faites pas qu’une seule fois. Évitez les formules trop simples (0000, 1234…) et vous bénéficierez déjà d’une certaine protection.
  • Pour le mot de passe de votre système d’exploitation, tournez-vous vers des formules plus complexes contenant minuscules, majuscules, symboles et chiffres.
  • Installez une solution d’analyse et d’observation de votre trafic. Un œil sera ainsi toujours ouvert pour surveiller vos communications. Vous bénéficierez d’une bonne traçabilité des événements et serez alerté à la moindre anomalie.
  • Si vous utilisez un PABX IP, installez un pare-feu capable de filtrer les adresses IP entrantes. Vous pouvez aussi utiliser un logiciel pour blacklister ces adresses. N’hésitez pas à demander de l’aide à votre installateur.

Les bonnes pratiques des experts :

  • Mettez régulièrement à jour le software de vos équipements télécoms. Changer de version logicielle permet de limiter les failles de sécurité, que le constructeur découvre au fur et à mesure.
  • Définissez un seuil de consommation maximale. Au dépassement, vous serez immédiatement alerté, et non pas prévenu en fin de mois, par le détail de votre facture.
  • Sensibilisez vos collaborateurs et vos employés à adopter les bons gestes. Vous pouvez par exemple inclure la téléphonie dans la politique de sécurité du système d’information.
  • Verrouillez votre système téléphonique en dehors des heures de bureau.
  • Les appels détournés transitent souvent en direction de la Corée du Nord, d’Érythrée, de Cuba ou des pays baltes. Si vos activités ne vous amènent pas à passer des appels vers ces pays, vous pouvez demander à votre installateur de supprimer leur accès.
  • Confiez l’audit régulier de votre téléphonie à un partenaire de confiance, avec une connaissance pointue de vos systèmes télécoms – les anges gardiens de votre PABX.
  • Souscrivez à une assurance pour contrer la perte financière en cas d’attaque téléphonique.

La prévoyance est donc reine dans la guerre contre le piratage. Mais en cas d’attaques, ou même sur la base d’un simple doute, le plus sûr reste encore de faire appel à des professionnels, aptes à évaluer les risques et trouver des solutions rapides et adaptées. 

*Source : Communications Fraud Control Association