La voix sur IP, prochain calvaire des RSSI de demain ? Après les avertissements et études du Sans et des U.S. Secret Services, voici un article d'Intelligence Online que l'on aurait pu intituler « le Voipsa sous-mariné par les barbouzes américaines ». Voipsa, c'est le très récent consortium sécurité VoIP cristallisé autour de 3Com, et qui regroupe les principaux acteurs de la téléphonie sur réseau de données. Les principaux, mais pas tous, puisque certains ténors, tel Cisco, préfèrent jouer Cavalier Seul, sous prétexte que cette association fait double usage avec les « working groups » de l'IEEE.

A examiner le diagramme publié par notre confrère Intelligence Online, à voir les liens étroits tissés entre les grandes agences de renseignement de l'alliance UKUSA -CIA, NSA, FBI, DoD, US Navy, Darpa ...- on peut comprendre que dans ces conditions, même le meilleur ingénieur avant-vente puisse rencontrer quelques réticences de la part de clients appartenant à de grandes entreprises ou administrations européennes. Lutter contre la cybercriminalité, c'est bien, mais le faire de manière trop intime avec des services « moustache » étrangers, ça fait jaser et çà nuit au petit commerce. Bien sûr, on ne peut y voir la preuve formelle de la présence de « backdoors » d'espionnage accessibles aux fonctionnaires rattachés au ténébreux service Echelon. On ne peut non plus y voir une certitude d'absolue virginité et d'innocence immaculée. Bref, à l'instar de certains téléphones mobiles un peu trop intelligents et pas assez ouverts, la VoIP risque de faire peur aux banquiers et aux fonctionnaires.

Bien plus directe, bien plus dangereuse est l'attaque que dénonce une toute autre administration, celle des Finances et de la Sécurité d'Entreprise. La DFCS américaine prévient de l'émergence d'une nouvelle forme d'escroquerie utilisant les messageries vocales d'entreprise : « Bonjour, vous avez un nouveau message. Message numéro Un : ... Salut, j'ai pas trop le temps de te parler, mais l'action de la Trusted Sucker Inc est en train de plonger... tentes d'en récupérer 200, pas plus pour que ce soit discret, et colle un stop à 3 dollars. Je bigophone à mon agent et te rappelle dans une heure. Fait vite, n'en parle à personne... clic, beeep, beeep...Vous n'avez plus de nouveaux messages... ». Un tuyau en or émanant d'un correspondant « initié » qui s'est trompé de numéro de téléphone.

Le piège peut sembler énorme. Mais les victimes doivent être assez nombreuses pour justifier l'action de la SEC. D'autant plus que les escrocs jouent sur du velours. Légalement, rien n'interdit à une personne adulte et consentante de spéculer sur des valeurs à risque. S'il perd, il n'a aucun droit de se plaindre et les recours juridiques sont minces. Enfin, rares sont les gens qui acceptent de reconnaître publiquement qu'ils ont été les dindons d'une farce aussi grossière. A l'aide d'un ordinateur, un accès VoIP, un programme de « war dialing », un fichier Wav bien mis en scène, l'automatisation à grande échelle d'un tel schéma d'attaque ne coûte pas cher et peut rapporter gros.

VoIP enfin, VoIP toujours, avec ce coup de sang relaté par notre grand frère Network World : la FCC, l'autorité des télécoms US, tape du poing sur la table et contraint les opérateurs voix sur IP à assurer la liaison au service 911. Le 911, dans quasiment toutes les Amériques, c'est le numéro d'appel d'urgence commun aux pompiers et à la police. Et, pour des raisons purement mercantilistes, quelques fournisseurs de service soumettaient ce type d'accès (généralement un numéro d'appel gratuit) à une clause contractuelle spécifique liée à une surtaxe. Et nos confrères de relater les appels vains et désespérés aux services d'urgences, de la part de victimes d'agression qui s'étaient contentées d'un abonnement de base.

Cette décision de la FCC pose de sérieux problèmes techniques si le terminal VoIP est un appareil mobile associé à un numéro d'appel fixe. Le routage géographique de tels combinés « wireless » ne correspondant à rien, il est impossible de prévenir les services de « proximité ». Sont également difficilement gérables les outils logiciels offrant un « véritable numéro US » lié à l'UA de téléphonie, et pouvant se situer n' importe où dans le monde.

L'exigence de la FCC semble légitime pour toute installation fixe attachée à une extrémité câble ou DSL précise. Elle cache peut-être un tout autre but : Tuer les Skype et concurrents, faire un sort aux francs-tireurs de la VoIP. Ceux qui ne sont rattachés à aucune infrastructure et ne dépensent pas un centime en faveur du développement ou de l'entretien de celle-ci. Ceux qui exploitent le réseau IP et minent le marché de la téléphonie, ceux qui s'attaquent au rentes de situation des AT&T, France Telecom, NTT et consorts.

. Web-profils.com, la place de marché du conseil et de l'ingénierie