Les PABX, une vraie menace pour les entreprises

Intrusions, méchants pirates, virus destructeurs… Pour beaucoup, la sécurité informatique se résume à ces menaces très " spectaculaires ". Au point d'occulter des dangers peut-être moins " cyber-sexy " mais aussi plus réels. Prenez les PABX, ces appareils qui gèrent les standards téléphoniques des entreprises. Des boîtes pas très jolies qui, une fois installées, sont oubliées dans la remise ou à côté de la machine à café. Bon nombre d'entreprises perdent pourtant, et sans le savoir, beaucoup d'argent chaque mois (jusqu'à plusieurs centaines de milliers de francs pour des grands groupes) tout simplement en ne prêtant pas suffisamment attention à ces PABX. Pour au moins trois raisons.

150 failles sur certains modèles
Primo, ces appareils, fonctionnellement de plus en plus riches, sont victimes tout comme les logiciels informatiques de failles. S'il y a quelques années un PABX comptait 6 ou 7 failles, désormais on dénombre près de 150 sur certains modèles. Si toutes leurs fonctions ne sont pas documentées, n'ayez crainte, d'autres s'occupent de les découvrir… Résultat, il s'avère assez simple de pirater un PABX pour s'y créer un compte - pour des raisons évidentes je ne décrirai pas ici le procédé qui se résume en quelques lignes. Tellement facile que des milliers de PABX sont détournés chaque année en France. Si l'intrus se montre habile et raisonnable, il s'écoulera beaucoup de temps avant que l'entreprise ne s'aperçoive d'une fraude qui peut représenter un sérieux préjudice. A moins bien sûr de prendre quelques mesures élémentaires : ne pas placer son PABX n'importe où, travailler son paramétrage, installer quelques outils de veille, lancer régulièrement des audits, etc…

Deuxième menace que traîne dans son sillage le PABX, l'accès au réseau local. Pour faciliter leur administration, les PABX sont souvent connectés à une console sous un système d'exploitation comme Windows NT. Or il arrive, malheureusement, que les entreprises soient assez imprudentes pour connecter cette console à leur réseau local. Une porte entrouverte donc pour installer par exemple des " sniffers " et récolter quelques mots de passe…

Confiance ne signifie pas absence de contrôle
Enfin, autre imprudence, l'absence d'une réelle gestion de la taxation. Le développement des travailleurs nomades qui passe par le standard de l'entreprise pour leurs communications ne s'accompagne pas souvent d'une gestion des droits adéquates. D'où des abus. Les entreprises ont manifestement tendance à oublier que confiance ne signifie pas forcément absence de contrôle…

Bref le sujet est loin d'être anecdotique. D'autant que le développement du couplage téléphonie-informatique et du télé-travail devrait multiplier les points faibles des architectures de télécommunications. Certains, parfois après de sérieux préjudices financiers, en ont toutefois pris conscience. De grands groupes travaillent ainsi sur des politiques de sécurité dédiées à la gestion des télécommunications. Une façon de réajuster leur perception de la menace informatique. Et les moyens de prévention qui vont avec.