L'essor de la téléphonie via Internet, technologie baptisée voix sur IP (VoIP), pourrait aiguiser en 2007 l'imagination des criminels informatiques, toujours à la recherche d'attaques diversifiées, préviennent des spécialistes de sécurité informatique.
L'essor de la téléphonie via Internet, technologie baptisée voix sur IP (VoIP), pourrait aiguiser en 2007 l'imagination des criminels informatiques, toujours à la recherche d'attaques diversifiées, préviennent des spécialistes de sécurité informatique.
Alors que les virus sur téléphones mobiles commencent à apparaître, avec le développement des appareils 3G, la téléphonie sur IP permet de numériser la voix, qui circule avec d'autres données sur un même réseau, ce qui l'expose potentiellement à des risques informatiques.
Selon l'Autorité de régulation des communications électroniques et des postes (Arcep), la France comptait fin juin plus de 4,8 millions d'abonnements à la téléphonie sur IP.
«Par essence, la téléphonie sur IP est ouverte et donc plus vulnérable» que la téléphonie traditionnelle, estime Eric Domage, spécialiste sécurité du cabinet d'études IDC.
Pour les entreprises, des attaques d'atteinte à la confidentialité et de déni de service (saturation malveillante d'un serveur) sont envisageables, puisque tout est réuni sur le réseau de l'entreprise.
Les postes téléphoniques d'entreprise «deviennent des ordinateurs» et doivent être protégés comme tels, affirme M. Domage.
«Toute nouvelle technologie va toujours générer un emploi malveillant et un risque spécifique», estime Pascal Lointier, président du Club de la sécurité de l'information français (Clusif). Cependant, il ne faut s'attendre à «rien de neuf» du point de vue des méthodes de piratage, ajoute-t-il.
Si les conversations entre particuliers ont peu d'intérêt pour les pirates informatiques, le pourriel et l'hameçonnage (fraude exploitant la naïveté des internautes en les incitant à communiquer des données personnelles), ont déjà trouvé leur adaptation en voix sur IP, les fraudeurs pouvant une nouvelle fois jouer sur la crédulité des victimes.
Ces nouvelles arnaques ont déjà été baptisées: le «spit» (spam over IP Telephony) et le «vishing» (voice-phishing).
Sur le même principe que le «pourriel», le spit est un coup de téléphone non désiré par le receveur, à qui on proposera des produits contrefaits ou l'achat d'actions, très en vogue dans les spams écrits.
Les objectifs sont identiques: saturer les messageries, faire perdre du temps aux victimes et attendre que quelques-unes tombent dans le panneau de l'arnaque.
La voix sur IP permet de générer un plus grand volume de communications pour un moindre coût. Selon des essais réalisés par une société spécialisée, 1000 appels d'une durée de trente secondes peuvent être envoyés en cinq secondes, indiquait récemment Vincent Maret, consultant sécurité chez Ernst & Young, dans le cadre du panorama 2006 de la cybercriminalité du Clusif.
Le fait que le message soit lu et non écrit peut rendre son filtrage plus compliqué, estime-t-il.
Dans le «vishing», l'utilisateur trompé est orienté vers un serveur téléphonique factice, par exemple de banque, et non un faux site Internet comme dans l'hameçonnage, qui lui demandera des données confidentielles.
A ce jour, les attaques de masse restent de l'ordre du théorique. Seuls quelques cas limités ont été repérés, et encore aucun en France, indiquent les spécialistes interrogés.