Piratage standard
Zythom - Blog d'un informaticien expert judiciaire - Zythom, 30/07/2012
Dans le cadre des rediffusions estivales, voici une anecdote publiée initialement le 10 juin 2008 sur le blog de Sid.
Elle illustre bien le fait que je ne suis pas un spécialiste de la sécurité informatique, et encore moins du paramétrage d'un autocommutateur téléphonique privé (plus communément appelé "standard téléphonique" ou PABX). Et qu'un expert peut s'en sortir avec un peu d'imagination (et de chance). Et qu'il faut toujours lire les manuels. Et qu'il faut être prudent avec les outils de communication que l'on utilise...
---------------------------------------------------
Lorsque Sid m'a contacté pour de demander d'accepter de rédiger une anecdote sur la sécurité informatique, j'ai aussitôt accepté tant j'étais flatté. Puis je me suis demandé ce qu'un expert judiciaire comme moi pouvait bien avoir à raconter sur un blog de ce niveau, avec des lecteurs aussi pointus sur ce domaine. Un peu comme un médecin généraliste invité à s'exprimer lors d'un séminaire de cardiologues. Alors, soyez indulgents.
J'ai été approché, il y a quelques années de cela, par le directeur général d'une entreprise qui souhaitait me confier une expertise privée dans un contexte délicat: son serveur téléphonique avait été piraté. Malgré mes explications sur mon manque de compétence en PABX, il voulait absolument que j'intervienne sur cette affaire. Il avait eu de bonnes informations sur moi, et, je l'appris plus tard, j'avais le meilleur rapport qualité/prix...
Me voici donc, sur la base d'un forfait d'une journée d'audit, au sein de l'entreprise, un samedi pour plus de discrétion. Étaient présents sur les lieux: le DG, le DT, le RH, le RSI et moi (l'EJ:). Nous avions convenu le DG et moi que je jouerais le candide éclairé.
Nous voici donc à étudier le problème: le PABX de l'entreprise avait été piraté. La preuve était que des fuites avaient eu lieu car des conversations téléphoniques confidentielles avaient été écoutées. Les preuves étaient minces, mais le DG était convaincu de la réalité de ces fuites et de leur cause.
Le PABX était géré par deux services: le service technique (car c'est un système de gestion des téléphones) et le service informatique (car c'est "programmable" avec logiciel et base de données)... Les deux responsables de service avaient mené leur petite enquête et rejetaient implicitement la faute sur l'autre, n'ayant rien trouvé d'anormal dans leur partie.
Avant de les laisser me noyer dans des détails techniques prouvant leurs compétences et leur bonne foi, j'ai voulu en savoir plus sur le principe de fonctionnement de la téléphonie de l'entreprise: chaque salarié dispose-t-il d'un combiné identique, y a-t-il un mode d'emploi, etc.
Et me voici plongé dans le mode d'emploi (relativement simple) du modèle standard de téléphone de cette entreprise. Attention, je vous parle d'une époque pré-ToIP, mais avec des bons "vieux" téléphones numériques quand même. Tout en feuilletant la documentation, je me faisais quelques réflexions générales sur la sécurité : est-il facile d'accéder au PABX de l'entreprise, comment faire pour pénétrer le système, etc.
En fait, je me suis dit qu'il était somme toute beaucoup plus facile d'écouter une conversation en se mettant dans le bureau d'à côté. Et là, le hasard m'a bien aidé: au moment où je me faisais cette réflexion, je suis tombé sur le passage du manuel utilisateur consacré aux conférences téléphoniques. Il était possible de rejoindre une communication téléphonique déjà établie pour pouvoir discuter à plusieurs.
Le Directeur Général me confirme alors qu'une présentation de cette fonctionnalité avait été faite quelques mois auparavant aux salariés. Je demande une démonstration: le directeur technique et le responsable des systèmes d'information retournent dans leurs bureaux et conviennent de s'appeler. Une fois en conversation, je prends le téléphone présent dans la salle de réunion et compose le numéro d'une des deux personnes. Bien entendu, j'obtiens une tonalité occupée. Suivant le mode d'emploi, j'appuie sur la touche ad-hoc du combiné afin de m'inviter dans la conférence téléphonique.
Et me voici en train d'écouter les deux hommes, en prenant bien garde de ne prononcer aucune parole. Au bout de quelques minutes, les deux hommes décident de raccrocher, pensant que je n'avais pas réussi à rejoindre leur conférence téléphonique...
C'est ainsi, que devant le Directeur Général abasourdi, j'ai pu "pirater" une conversation téléphonique en appelant simplement un poste occupé et en appuyant sur un bouton...
Le PABX avait mal été configuré. Tout le monde pouvait écouter tout le monde. Quelqu'un s'en était rendu compte et en avait profité...
J'ai été payé par le patron reconnaissant une journée de travail pour deux heures de réunion :)
Mais je ne regarde plus mon téléphone de la même façon maintenant.
Elle illustre bien le fait que je ne suis pas un spécialiste de la sécurité informatique, et encore moins du paramétrage d'un autocommutateur téléphonique privé (plus communément appelé "standard téléphonique" ou PABX). Et qu'un expert peut s'en sortir avec un peu d'imagination (et de chance). Et qu'il faut toujours lire les manuels. Et qu'il faut être prudent avec les outils de communication que l'on utilise...
---------------------------------------------------
Lorsque Sid m'a contacté pour de demander d'accepter de rédiger une anecdote sur la sécurité informatique, j'ai aussitôt accepté tant j'étais flatté. Puis je me suis demandé ce qu'un expert judiciaire comme moi pouvait bien avoir à raconter sur un blog de ce niveau, avec des lecteurs aussi pointus sur ce domaine. Un peu comme un médecin généraliste invité à s'exprimer lors d'un séminaire de cardiologues. Alors, soyez indulgents.
J'ai été approché, il y a quelques années de cela, par le directeur général d'une entreprise qui souhaitait me confier une expertise privée dans un contexte délicat: son serveur téléphonique avait été piraté. Malgré mes explications sur mon manque de compétence en PABX, il voulait absolument que j'intervienne sur cette affaire. Il avait eu de bonnes informations sur moi, et, je l'appris plus tard, j'avais le meilleur rapport qualité/prix...
Me voici donc, sur la base d'un forfait d'une journée d'audit, au sein de l'entreprise, un samedi pour plus de discrétion. Étaient présents sur les lieux: le DG, le DT, le RH, le RSI et moi (l'EJ:). Nous avions convenu le DG et moi que je jouerais le candide éclairé.
Nous voici donc à étudier le problème: le PABX de l'entreprise avait été piraté. La preuve était que des fuites avaient eu lieu car des conversations téléphoniques confidentielles avaient été écoutées. Les preuves étaient minces, mais le DG était convaincu de la réalité de ces fuites et de leur cause.
Le PABX était géré par deux services: le service technique (car c'est un système de gestion des téléphones) et le service informatique (car c'est "programmable" avec logiciel et base de données)... Les deux responsables de service avaient mené leur petite enquête et rejetaient implicitement la faute sur l'autre, n'ayant rien trouvé d'anormal dans leur partie.
Avant de les laisser me noyer dans des détails techniques prouvant leurs compétences et leur bonne foi, j'ai voulu en savoir plus sur le principe de fonctionnement de la téléphonie de l'entreprise: chaque salarié dispose-t-il d'un combiné identique, y a-t-il un mode d'emploi, etc.
Et me voici plongé dans le mode d'emploi (relativement simple) du modèle standard de téléphone de cette entreprise. Attention, je vous parle d'une époque pré-ToIP, mais avec des bons "vieux" téléphones numériques quand même. Tout en feuilletant la documentation, je me faisais quelques réflexions générales sur la sécurité : est-il facile d'accéder au PABX de l'entreprise, comment faire pour pénétrer le système, etc.
En fait, je me suis dit qu'il était somme toute beaucoup plus facile d'écouter une conversation en se mettant dans le bureau d'à côté. Et là, le hasard m'a bien aidé: au moment où je me faisais cette réflexion, je suis tombé sur le passage du manuel utilisateur consacré aux conférences téléphoniques. Il était possible de rejoindre une communication téléphonique déjà établie pour pouvoir discuter à plusieurs.
Le Directeur Général me confirme alors qu'une présentation de cette fonctionnalité avait été faite quelques mois auparavant aux salariés. Je demande une démonstration: le directeur technique et le responsable des systèmes d'information retournent dans leurs bureaux et conviennent de s'appeler. Une fois en conversation, je prends le téléphone présent dans la salle de réunion et compose le numéro d'une des deux personnes. Bien entendu, j'obtiens une tonalité occupée. Suivant le mode d'emploi, j'appuie sur la touche ad-hoc du combiné afin de m'inviter dans la conférence téléphonique.
Et me voici en train d'écouter les deux hommes, en prenant bien garde de ne prononcer aucune parole. Au bout de quelques minutes, les deux hommes décident de raccrocher, pensant que je n'avais pas réussi à rejoindre leur conférence téléphonique...
C'est ainsi, que devant le Directeur Général abasourdi, j'ai pu "pirater" une conversation téléphonique en appelant simplement un poste occupé et en appuyant sur un bouton...
Le PABX avait mal été configuré. Tout le monde pouvait écouter tout le monde. Quelqu'un s'en était rendu compte et en avait profité...
J'ai été payé par le patron reconnaissant une journée de travail pour deux heures de réunion :)
Mais je ne regarde plus mon téléphone de la même façon maintenant.