La " VoIP " ou littéralement " voix sur IP " désigne l’ensemble des technologies permettant de

communiquer oralement via un réseau utilisant le protocole IP. Le terme "VoIP" est en général utilisé
pour décrire des communications "Point à Point". Pour la diffusion de son sur IP en multipoints, on
parlera plutôt de streaming.

IP (Internet Protocol)
Internet Protocol, généralement abrégé IP, est un protocole de communication de réseau
informatique, il correspond à un protocole de niveau 3 dans le modèle OSI et du modèle TCP/IP
(Figure) permettant un service d'adressage unique pour l'ensemble des terminaux connectés.

VoIP (Voice Over IP)

La voix sur IP (VoIP) regroupe l'ensemble des techniques permettant de faire transiter de la voix sur
un réseau informatique. La voix sur IP comprend ainsi les communications de PC à PC. Pour ce type
de communication, chaque utilisateur doit disposer d'un logiciel approprié. Si la connexion passe par
le réseau Internet, on parle alors de VoIP, la téléphonie par Internet. Deuxième catégorie de voix sur
IP, les communications de PC à téléphone (PC to Phone). Dans les deux cas, le PC communicant est
appelé Softphone, terme qui insiste sur l'émulation du PC en téléphone grâce à un logiciel.
 PABX
PABX (signifie : Private Automatic Branch eXchange) sert principalement à relier les postes
téléphoniques d'un établissement (lignes internes) avec le réseau téléphonique public (lignes
externes). Il permet en plus la mise en œuvre d'un certain nombre de fonctions, notamment :

1. Relier plus de lignes internes qu'il n'y a de lignes externes.

2. Permettre des appels entre postes internes sans passer par le réseau public.
3. Programmer des droits d'accès au réseau public pour chaque poste interne.
4. Proposer un ensemble de services téléphoniques (conférences, transferts d'appel, renvois,
messagerie, appel par nom…).

5. Gérer la ventilation par service de la facture téléphonique globale (taxation).

6. Apporter des services de couplage téléphonie-informatique (CTI).
7. Gérer les appels d'urgence dans les structures d'accueil hospitalières, maisons de retraite, etc.
8. Gérer un portier interphone d'immeuble et commander une gâche électrique
Il s'agit en quelque sorte d'un Switch doté de fonctionnalités particulières et peut être considéré
comme étant le cœur d'un réseau privé de téléphonie.

Le terme "IP-PABX" (ou "IPBX") désigne un PABX (ou PBX) utilisant la technologie IP pour accéder à
son réseau.
 Principe de transformation de la voix en IP
La bande voix (qui est un signal électrique analogique) est d'abord échantillonnée numériquement
par un convertisseur puis compressée selon une certaine norme de compression variable selon les
codecs utilisés, puis ensuite on peut éventuellement supprimer les pauses de silences observées lors
d'une conversation, pour être ensuite habillée RTP, UDP et enfin en IP. Une fois que la voix est
transformée en paquets IP, ces paquets IP identifiés et numérotés peuvent transiter sur n'importe
quel réseau IP (ADSL, Ethernet, Satellite, routeurs, switchs, PC, Wifi…etc.,) (Figure I.4)

Protocoles

A chaque besoin son protocole, c'est en général la règle qui s'applique à tous les protocoles. Les
fournisseurs ADSL (Asymetric Digital Subscriber Line) utilisent en règle générale le protocole MGCP
(Media Gateway Control Protocol) qui est un protocole asymétrique (le serveur contrôle le téléphone
de l'abonné), alors que les logiciels de Voix sur IP utilisent en général SIP qui est un protocole
symétrique. Historiquement le protocole H.323 ayant été développé et adopté massivement en
premier lieu, il reste très présent mais sur le déclin. Ainsi on peut grossièrement identifier certains
acteurs historiques se lançant dans l'aventure VoIP au moyen de protocoles plus anciens (H323) et les
nouveaux arrivés utilisant les derniers protocoles (SIP par exemple).

RTP (Real-time Transfert Protocol)

Le but du protocole RTP et de fournir un moyen uniforme de transmettre sur IP des données
soumises à des contraintes de temps réel (audio, vidéo, ...). Le rôle principal de RTP consiste à mettre
en œuvre des numéros de séquence de paquets IP pour reconstituer les informations de voix ou
vidéo même si le réseau sous-jacent change l'ordre des paquets.

Plus généralement, RTP permet :

• D'identifier le type de l'information transportée,

• D'ajouter des marqueurs temporels et des numéros de séquence à l'information transportée,
• De contrôler l'arrivée à destination des paquets.
 RTCP (Real-time Transfert Control Protocol)
Le protocole RTCP est basé sur des transmissions périodiques de paquets de contrôle par tous les
participants dans la session.

C'est un protocole de contrôle des flux RTP, permettant de véhiculer des informations basiques sur
les participants d'une session, et sur la qualité de service.

ICMP (Internet Control Message Protocol)

Le protocole ICMP (Internet Control Message Protocol) est un protocole qui permet de gérer les
informations relatives aux erreurs aux machines connectées. Etant donné le peu de contrôles que le
protocole IP réalise, il permet non pas de corriger ces erreurs mais de faire part de ces erreurs aux
protocoles des couches voisines. Ainsi, le protocole ICMP est utilisé par tous les routeurs, qui
l'utilisent pour signaler une erreur (appelé Delivery Problem).

UDP (User Datagram Protocol)

Le rôle de ce protocole est de permettre la transmission de données de manière très simple entre
deux entités, chacune étant définie par une adresse IP et un numéro de port. Contrairement au
protocole TCP, il fonctionne sans négociation : il n'existe pas de procédure de connexion préalable à
l'envoi des données. Donc UDP ne garantit pas la bonne livraison des datagrammes à destination, ni
leur ordre d'arrivée.

Protocole de signalisation
Le concept de protocole de signalisation va être utilisé dans les chapitres suivants, voici donc une
petite explication préliminaire : La signalisation désigne la transmission d'un ensemble de signaux et
d'informations de contrôle échangés entre les intervenants d'une communication. Ces intervenants
peuvent être des entités en bout de liaison (terminaux) ou des entités intermédiaire de contrôle et
de gestion de communications. Leurs échanges permettent l'initiation, la négociation,
l'établissement, le maintien et la fermeture de la connexion.

Il convient de distinguer deux types de transferts pour comprendre à quoi correspond la

signalisation:

- Le transfert de données brutes.

 - Le transfert d'informations de contrôle.
Le transfert de données brutes concerne les échanges de données binaires d'un poste vers un autre.
L'objectif de ce transfert est de reproduire à l'identique des données en les faisant transiter par un
réseau. Par exemple, deux correspondants peuvent s'échanger un fichier audio MP3 ou des images
JPEG. De la même façon, si on considère une conversation téléphonique en cours, les intervenants
produisent des sons qui doivent être recomposés et diffusés chez leurs correspondants.

Dans tous les cas, seul l'envoi des données à de l'importance, ce qui relève d'un transport
d'informations.

Le transfert d'informations de contrôle concerne les échanges de type protocolaires exécutant une
action prédéfinie, et donc nécessairement limitée en possibilités. L'objectif de ce transfert est
d'assurer la maitrise et la gestion du flux.

Dans le cas typique d'une application de téléphonie, lorsqu'une personne en appelle une autre, elle
n'a initialement pas de "données" à lui transmettre, mais veut simplement être mise en relation avec
son correspondant. Cette mise en relation nécessite d'abord de localiser l'appelé, puis de faire
sonner son poste afin de lui signaler l'appel. Pour la localisation comme pour l'avertissement d'appel,
on parle de signalisation.

De la même manière, lorsque la sonnerie d'appel retentit dans le terminal appelé, l'appelant en est
immédiatement informé par une tonalité particulière sur son terminal téléphonique. Il s'agit là aussi
d'une information de signalisation.

Si un correspondant ne répond pas à un appel, il est probable que sa messagerie téléphonique va

s'enclencher. Cette redirection d'appel du poste appelé vers sa messagerie est également une
information de signalisation. Elle ne transporte aucune information de données brute, mais vise à
signaliser à l'appelant que l'appelé n'est pas disponible et que sa messagerie est opérationnelle. Ces
deux catégories de transfert sont liées : ce n'est que lorsque l'appelé a répondu à l'appel que
commence le transfert d'information brutes, c'est-à-dire le transport de la voix, qui doit être
fidèlement retransmise d'un correspondant à l'autre. La signalisation n'est que l'étape préalable qui a
mis en place la connexion entre les différents utilisateurs pour permettre la communication.

Dans le modèle OSI, la signalisation téléphonique correspond à une fonctionnalité de niveau 7

(applicatif). Elle n'est donc jamais assurée par des entités réseau de routage pur, comme les routeurs
ou switchs, qui fonctionnent à des couches inférieures. Des entités dédiées sont exploitées à ces fins
: il s'agit de serveurs au niveau du cœur du réseau et des terminaux (téléphone, ordinateur ou PDA
par exemple) en bordure de réseau, au niveau de l'utilisateur.

Pour être comprise et correctement interprétée de l'ensemble des entités participant aux
mécanismes de signalisation, celle-ci doit respecter une syntaxe particulière. C'est tout l'objet de la
spécification d'un protocole de signalisation.
 • H.323
Le protocole H.323 figure parmi les plus réputés des protocoles de signalisation pour la téléphonie
sur IP. H.323 n'est en réalité que la référence du protocole. Son nom complet est Packet-based
Multimedia Communications Systems. Comme son nom l'indique, il peut être utilisé pour tous les
réseaux à commutation de paquets, en particulier IP.

Ce protocole est spécifié pour le traitement de la signalisation des données multimédia avec de
fortes contraintes temporelles, comme la voix ou la vidéo.

Famille de protocole H.323

H.323 se dessine en 3 grandes parties (Figure I.6). En effet, pour établir une communication audio ou
vidéo sur IP, le signal doit être encodé en utilisant des codecs normalisés définis dans la norme
H.323, qui normalise aussi la signalisation à utiliser pour l’établissement d’une communication. La
voix ou la vidéo est transmise en utilisant le protocole UDP, associé aux protocoles RTP et RTCP pour
le transfert des données en temps réel.

- Parmi les codecs possibles figurent G.711, G.723 et G.729 pour les signaux audio, H.261 et
H.263 pour les signaux vidéo.

- La signalisation pour l’établissement des appels est mise en œuvre à l’aide de trois protocoles:

H.225 RAS (Registration, Admission and Status) : La signalisation RAS est utilisée entre
les endpoints (Terminal) et le Gatekeeper qui les contrôle. RAS permet donc au
Gatekeeper de contrôler les endpoints présents dans sa zone. Autrement dis la gestion du
trafic entre le client et le serveur de communication.
H.225 Call signaling : Cette signalisation permet d’établir et de libérer des connexions
entre endpoints H.323.

H.245 : Lorsque l’appelé décroche, le protocole H.245 permet l’établissement de canaux

RTP/RTCP permettant le transfert de données multimédia et le contrôle de ce transfert.

- Les protocoles temps réel sur IP utilisés sont RTP et RTCP. RTP fournit un transport de bout en
bout sur un réseau pour les applications transmettant des données en temps réel, telles que
la voix ou la vidéo, en unicast et en multicast. RTP ne se préoccupe pas de la réservation de
ressources et ne garantit pas la qualité de service des transferts de données en temps réel. Le
transport des données bénéficie aussi du protocole de contrôle RTCP qui fournit un contrôle
minimal et des fonctions d’identification particulièrement utiles dans le cas de réseaux
multicast. RTP et RTCP sont conçus pour être indépendants des réseaux sous-jacents.

Pour le contrôle et la signalisation : H.225, H.245, RTCP.

Pour la voix : G.711, G.722, G.723, G.726, G.728, G.729.
Pour la vidéo : H.261, H.263, H.263+, H.264.
Pour les données : T.123, T.124, T.125.

SIP (Session Initiation Protocol)

Ce qui nous intéresse beaucoup, c’est ce protocole de signalisation de vidéo et voix sur IP, SIP
(Session Initiation Protocol) est un protocole développé par l'Internet Engineering Task Force (IETF)
permettant la négociation et l'établissement de sessions VoIP. SIP est un protocole de couche 5 du
modèle OSI, dite de session. Il s'appuie généralement sur une couche de transport UDP, bien qu'il
soit possible d'augmenter sa fiabilité en l'appliquant sur du TCP. Le port par défaut de SIP est le 5060.
SIP ne traite que l'établissement de session. Il ne transporte pas les données échangées pendant la
communication, ce rôle étant joué par RTP (Real-time Transport Protocol). On distingue différents
acteurs dans le protocole SIP.

• SDP, abréviation pour (Session Description Protocol), est un format pour décrire les
paramètres d’initialisation des flux média. SDP ne fournit pas le média en soi, mais il
négocie plutôt les points de terminaisons du format du média en multidiffusion. Le
Streaming media est le contenu qui peut être visualisé ou entendu lors de la
transmission. SDP est conçu pour être extensible afin de supporter de nouveaux
types de média et formats. SDP a trouvé des usages avec le RTP et le SIP, malgré son
origine en tant que protocole d'annonce de session SAP (Session Announcement
Protocol).
Dans la négociation et l’établissement de session on trouve l’User Agent, il peut s'agir d'un téléphone
IP, d'un téléphone analogique (RTC) relié à un boîtier ATA (Analog Telephony Adapter) ou encore
d'un softphone. C'est l'équipement manipulé par l'usager. Un élément fondamental est le Registrar
Server. Il établit la correspondance entre une adresse à long terme (une URI ou un numéro de
téléphone) et une adresse à court terme, typiquement une adresse IP.

Le dernier élément très important d'une architecture SIP est le serveur proxy. Il relaye les messages
des User Agent à leur destination. Sa raison d'être est que les User Agent ne peuvent pas toujours
joindre directement les autres périphériques, notamment les User Agent hors de leur réseau.

Les messages utilisés par SIP sont volontairement similaires à ceux utilisés par le HTTP. Ils sont
codés en ASCII et utilisent des codes proches de ceux du http . Différents messages sont utilisés par
SIP, les plus importants étant les suivants :

· REGISTER : Le client envoie ce message à son registrar pour s'enregistrer, c'est-à-dire pour donner
son URI et son adresse IP au registrar.

· INVITE : Ce message permet à un client de demander l'établissement d'une nouvelle session. Il peut
être utilisé également en cours de communication pour modifier la session.

· ACK : Le message ACK confirme l'établissement d'une session SIP, suite à un message INVITE.
· CANCEL : Ce message annule une demande de session précédemment effectuée avec un INVITE. ·
BYE : termine une session en cours. Contrairement au message CANCEL, la session SIP doit être
active pour pouvoir envoyer un message BYE. Même si son comportement peut sembler similaire à
CANCEL, une différence fondamentale existe : le message BYE représente un succès (la
communication a eu lieu et est désormais terminée) alors que CANCEL est, du point de vue de
l'usager, un échec : l'appelé n'a pas répondu à temps, l'appelant a donc raccroché, la session n'a donc
pas abouti.

· Des codes de réponse : Des codes à trois chiffres, similaires à ceux du HTTP, sont envoyés en
réponse à un précédent message. Le premier chiffre détermine le type de réponse, les deux suivants
donnent une indication plus précise.
 - Classe 1xx - Réponse temporaire : la requête est en cours de traitement.
- Classe 2xx - Succès : l'action demandée a été reçue, comprise et acceptée.
- Classe 3xx - Redirection : une autre action auprès d'un autre équipement est nécessaire.
- Classe 4xx - Erreur du client : la requête est mal formée
- Classe 5xx - Erreur du serveur : le serveur n'a pas réussi à répondre correctement à la requête.
- Classe 6xx - Autre erreur, problème global.

Les avantages SIP

L'implémentation de la VoIP avec le protocole de signalisation SIP (Session Initiation Protocol) fournit
un service efficace, rapide et simple d'utilisation. SIP est un protocole rapide et léger. Les utilisateurs
s'adressent à ces serveurs Proxy pour s'enregistrer ou demander l'établissement de communications.
On peut s'enregistrer sur le Proxy de son choix indépendamment de sa situation géographique.
L'utilisateur n'est plus "attaché" à son autocommutateur. Une entreprise avec plusieurs centaines
d'implantations physiques différentes n'a besoin que d'un serveur Proxy quelque part sur l'Internet
pour établir "son" réseau de téléphonique "gratuit" sur l'Internet un peu à la manière de l'émail.
 Les inconvénients SIP
L'une des conséquences de cette convergence est que le trafic de voix et ses systèmes associés sont
devenus aussi vulnérables aux menaces de sécurité que n'importe quelle autre donnée véhiculée par
le réseau.

En effet SIP est un protocole d'échange de messages basé sur HTTP. C'est pourquoi SIP est très
vulnérable face à des attaques de types DoS (dénis de service), détournement d'appel, trafic de
taxation,… etc.

Les Codecs
Codec est une abréviation pour Codeur/Décodeur. Un codec est basé sur un algorithme qui permet la
compression des données qu'on lui donne. Il s'agit d'un procédé permettant de compresser et de
décompresser un signal, de l'audio ou de la vidéo, le plus souvent en temps réel, permet une
réduction de la taille du fichier original. Le codec numérise et compresse la voix de l'émetteur, ainsi
les données numériques sont encapsulées dans des paquets IP et acheminées vers le destinataire. A
l'arrivés au destinataire, ce dernier grâce au même codec décompresse et restitue le son. Il On
distingue des codecs à pertes et codecs sans pertes. Un codec à pertes distingue les parties moins
importantes des informations et les supprime pour gagner en taille.

Qualité de la voix
Dans la téléphonie sur IP, les différents codecs retransmettent plus ou moins bien le signal original.
Pour mesurer la qualité de la voix restituée, on parle de score MOS (Mean Opinion Score). C'est une
note comprise entre 1 et 5 et attribuée par des auditeurs jugeant de la qualité de ce qu'ils entendent.
Pour la VoIP, plusieurs codecs peuvent servir. Voici leurs détails :

G.711 : Ce codec est le premier à avoir été utilisé dans la VoIP. Même si il existe maintenant des
codecs nettement plus intéressants, celui-ci continue d'être implémenté dans les équipements à des
fins de compatibilité entre marques d'équipements différentes.

G.722 : A la différence du G.711, ce codec transforme le spectre jusqu'à 7kHz ce qui restitue encore
mieux la voix. Les débits que ce codec fournit sont 48,56 ou 64kbit/s. Une des particularités est de
pouvoir immédiatement changer de débit. Ceci est fortement appréciable lorsque la qualité du
support de transmission se dégrade.

G.722.1 : Dérivé du codec précédent, celui-ci propose des débits encore plus faibles (32 ou 24kbit/s).
Il existe même des versions propriétaires de ce codec fournissant un débit de 16kbit/s.

G.723.1 : C'est le codec par défaut lors des communications à faible débit. Deux modes sont
disponibles. Le premier propose un débit de 6,4kbit/s et le deuxième un débit de 5,3kbit/s. [13]
 • Compression du silence
Une des méthodes utilisées par les codecs pour réduire la quantité de données à transmettre et de
détecter les silences. Dans une conversation téléphonique, chaque locuteur ne parle que 1/3 du
temps en moyenne. Ce qui fait que 1/3 du temps d'une conversation est constitué de silence
facilement reproductible et donc non codé par le codec. Ce mécanisme s'appelle VAD (Voice Activity
Détection - DAV : Détection d'activité de la voix).

• Génération de bruits de confort

Pendant une conversation où les silences sont effacés, l'absence de bruit chez le récepteur peut vite
se révéler inconfortable. Dans cette optique, les codecs disposent d'un générateur de bruits de
confort visant à simuler des bruits de fond pour améliorer le confort des utilisateurs.

• Robustesse sur la perte de paquets

Si les conditions de circulations sur le réseau se dégradent, certains paquets contenant de
l'information peuvent se perdre ou arriver trop tard. Ce problème est en partie compensé par
l'utilisation des buffers, mais la gigue peut être telle que le codec soit obligé de retransmettre au
récepteur un paquet, alors qu'il n'est pas arrivé. Il existe plusieurs méthodes pour palier à ce
problème: Il est possible par exemple de simplement répéter le contenu du dernier paquet pour
combler le vide. On peut aussi répartir l'information sur plusieurs paquets de façon à introduire une
redondance des données. En cas de pertes de paquets, le codec dispose ainsi d'une copie du paquet
à retransmettre.
 Application
Le but de ce type d’application est de fournir des services téléphoniques à des utilisateurs locaux ou
distants avec le principe de la VoIP, qui réduit considérablement les coûts téléphonique de
l’entreprise (réseau convergé, capacité liaisons WAN utilisées, équipe technique unique) ou de
l’utilisateur (utilisation d’Internet au lieu du réseau RTC ce qui réduit les coûts.

La VoIP, actuellement en plein développement, pouvant faire sujet d’attaque des pirates
informatiques, au niveau spécifique des réseaux IP ou la VoIP proprement dite.

Celle-ci présente un nombre de vulnérabilités en terme : de protocole, de logiciel, de système

d’exploitation, d’infrastructure physique et d’erreur humaine.

Il convient d’étudier avec précaution ses vulnérabilités dans le but d’établir une protection efficace
contre les attaques.

Pour faire face à ces attaques, la sécurité du réseau VoIP doit s’appuient sur deux types de sécurités :
- La sécurité traditionnelle des réseaux informatiques (Firewall, IPS, IDS, Antivirus,…..) -
La sécurité spécifique VoIP.

Principaux risques

Les sources de menaces peuvent être classées en deux types :

les attaques internes et les attaques externes.

Les attaques externes sont lancées par des personnes autres que celle qui participe à l’appel, et ils se
produisent généralement quand les paquets VoIP traversent un réseau peu fiable et/ou l’appel passe
par un réseau tiers durant le transfert des paquets.

Les attaques internes s’effectuent directement du réseau local dans lequel se trouve l’attaquant.

Attaques sur les protocoles (Attaques

protocolaires)
Les types d’attaques les plus fréquentes contre un system VoIP sont :
Sniffing
Un reniflage (Sniffing) peut avoir comme conséquence un vol d'identité et la révélation
d'informations confidentielles. Il permet également aux utilisateurs malveillants perfectionnés de
rassembler des informations sur les systèmes VoIP.

Suivie des appels

Appelé aussi Call tracking, cette attaque cible les terminaux (soft/hard phone). Elle a pour but de
connaître qui est en train de communiquer et quelle est la période de la communication. L’attaquant
doit récupérer les messages INVITE et BYE en écoutant le réseau et peut ainsi savoir qui
communique, à quelle heure, et pendant combien de temps.
Pour réaliser cette attaque, L’attaquant doit être capable d’écouter le réseau et récupérer les
messages INVITE et BYE.

Injection de paquet RTP

Cette attaque pour but de perturber une communication en cours. L’attaquant devra tout
d’abord écouter un flux RTP de l’appelant vers l’appelé, analyser son contenu et générer un paquet
RTP contenant un en-tête similaire mais avec un plus grand numéro de séquence et timestamp afin
que ce paquet soit reproduit avant les autres paquets (s’ils sont vraiment reproduits). Ainsi la
communication sera perturbée et l’appel ne pourra pas se dérouler correctement.

Pour réaliser cette attaque, l’attaquant doit être capable d’écouter le réseau afin de repérer une
communication et ainsi repérer les timestamps des paquets RTP.

Il doit aussi être capable d’insérer des messages RTP qu’il a généré ayant un timestamp modifié.
Le déni de service (DOS : Denial of service)
C’est, d'une manière générale, l'attaque qui vise à rendre une application informatique ou un
équipement informatique incapable de répondre aux requêtes de ses utilisateurs et donc hors
d’usage. Une machine serveur offrant des services à ses clients (par exemple un serveur web) doit
traiter des requêtes provenant de plusieurs clients.

Lorsque ces derniers ne peuvent en bénéficier, pour des raisons délibérément provoquées par un
tiers, il y a déni de service.

Dans une attaque de type DoS flood attack, les ressources d’un serveur ou d’un réseau sont
épuisées par un flot de paquets. Un seul attaquant visant à envoyer un flot de paquets peut être
identifié et isolé assez facilement. Cependant l'approche de choix pour les attaquants a évolué vers
un déni de service distribué (DDoS). Une attaque DDoS repose sur une distribution d'attaques DoS,
simultanément menées par plusieurs systèmes contre un seul. Cela réduit le temps nécessaire à
l'attaque et amplifie ses effets.

Une attaque de type DoS peut s’effectuer à plusieurs niveaux soit:

Couche réseau :

• IP Flooding : Le but de l'IP Flooding est d'envoyer une multitude de paquets IP vers une même
destination de telle sorte que le traitement de ces paquets empêche une entité du réseau (un routeur
ou la station destinatrice) de traiter les paquets IP légitimes. Si l'IP Flooding est combiné à l'IP Spoofing,
il est impossible, pour le destinataire, de connaître l'adresse source exacte des paquets IP.
De ce fait, à moins que le destinataire ne limite ses échanges avec certaines stations, il lui est
impossible de contrer ce type d'attaques Couche transport :

• UDP Flooding Attacks: Le principe de cette attaque est qu’un attaquant envoie un grand
nombre de requêtes UDP vers une machine. Le trafic UDP étant prioritaire sur le trafic TCP, ce type
d'attaque peut vite troubler et saturer le trafic transitant sur le réseau et donc de perturbe le plus la
bande passante.
Presque tous les dispositifs utilisant le protocole SIP fonctionnent au-dessus du protocole UDP, ce qui
en fait d’elles des cibles. De nombreux dispositifs de VoIP et de systèmes d'exploitation peuvent être
paralysés grâce à des paquets UDP Flooding visant l’écoute du port SIP (5060) ou d’autres ports.

• TCP SYN floods : est une attaque visant le protocole TCP et plus exactement la phase
d’établissement de connexion. Celle-ci consiste en trois sous étapes :

1. Le client envoie un paquet SYN au serveur.

2. Le serveur répond avec un paquet SYN-ACK.
3. Le client envoie un paquet ACK au serveur.
L’attaque consiste en l’envoie d’un grand nombre de paquets SYN. La victime va alors
répondre par un message SYN-ACK d’acquittement. Pour terminer la connexion TCP, la victime
ensuite va attendre pendant une période de temps la réponse par le biais d’un paquet ACK. C'est là le
cœur de l'attaque parce que les ACK final ne sont jamais envoyés, et par la suite, la mémoire système
se remplit rapidement et consomme toutes les ressources disponibles à ces demandes non valides.
Le résultat final est que le serveur, le téléphone, ou le routeur ne sera pas en mesure de faire la
distinction entre les faux SYN et les SYN légitimes d'une réelle connexion VoIP.

Couche applications :

• SIP Flooding : Dans le cas de SIP, une attaque DoS peut être directement dirigée contre les
utilisateurs finaux ou les dispositifs tels que téléphones IP, routeurs et proxy SIP, ou contre les serveurs
concernés par le processus, en utilisant le mécanisme du protocole SIP ou d’autres techniques
traditionnelles de DoS.

Voyons maintenant en détail les différentes formes d’attaque DoS :

• DoS-CANCEL : C’est un type de déni de service lancé contre l'utilisateur. L’attaquant surveille
l’activité du proxy SIP et attend qu’un appel arrive pour un utilisateur spécifique. Une fois que le
dispositif de l’utilisateur reçoit la requête INVITE, l'attaquant envoie immédiatement une requête

CANCEL. Cette requête produit une erreur sur le dispositif de l’appelé et termine l'appel. Ce type
d'attaque est employé pour interrompre la communication.

• DoS-REGISTER : Le serveur d'enregistrement lui-même est une source potentielle de déni de

service pour les utilisateurs. En effet ce serveur peut accepter des enregistrements de tous les
dispositifs. Un nouvel enregistrement avec une «*» dans l'entête remplacera tous les précédents
enregistrements pour ce dispositif.

C’est un mécanisme très pratique pour les utilisateurs mais également pour les pirates.
Détournement d’appel (Call Hijacking)
Le Call Hijacking consiste à détourner un appel. Plusieurs fournisseurs de service VoIP utilisent le
web comme interface permettant à l'utilisateur d’accéder à leur système téléphonique.
Un utilisateur authentifié peut changer les paramètres de ses transferts d'appel à travers cette
interface web. C’est peut être pratique, mais un utilisateur malveillant peut utiliser le même moyen
pour mener une attaque.

Exemple: quand un agent SIP envoie un message INVITE pour initier un appel, l'attaquant envoie un
message de redirection 3xx indiquant que l’appelé s'est déplacé et par la même occasion donne sa
propre adresse comme adresse de renvoi. A partir de ce moment, tous les appels destinés à
l’utilisateur sont transférés et c’est l’attaquant qui les reçoit.

Un appel détourné en lui-même est un problème, mais c’est encore plus grave quand il est porteur
d'informations sensibles et confidentielles.

L’écoute clandestine
L’eavesdropping est l'écoute clandestine d’une conversation téléphonique. Un attaquant avec un
accès au réseau VoIP peut sniffer le trafic et décoder la conversation vocale.

Le principe de l’écoute clandestine est montré dans la figure III.1 comme suit :

1. déterminer les adresses MAC des victimes (client-serveur) par l’attaquant

2. Envoi d’une requête ARP non sollicités au client, pour l’informer du changement de l'adresse MAC
du serveur VoIP à l’adresse MAC.

3. Envoi d’une requête ARP non sollicités au serveur, pour l’informer du changement de l'adresse MAC
du client à l’adresse MAC.

4. Désactiver la vérification des adresses MAC sur la machine d’attaque afin que le trafic puisse circuler
entre les 2 victimes

Les vulnérabilités de l’infrastructure

Une infrastructure VoIP est composée de téléphones IP, Gateway, serveurs. Ces derniers tournant
sur un système d'exploitation, est accessible via le réseau comme n'importe quel ordinateur et
comportent un processeur qui exécute des logiciels qui peuvent être attaqués ou employés en tant
que points de lancement d’une attaque plus profonde.

Faiblesses de configuration des dispositifs VoIP

Plusieurs dispositifs de la VoIP, dans leur configuration par défaut, peuvent avoir une variété de ports
TCP et UDP ouverts. Les services fonctionnant sur ces ports peuvent être vulnérables aux attaques
DoS ou buffer overflow.

Plusieurs dispositifs de la VoIP exécutent également un serveur WEB pour la gestion à distance qui
peut être vulnérable aux attaques buffer overflow et à la divulgation d’informations.
Si les services accessibles ne sont pas configurés avec un mot de passe, un attaquant peut acquérir
un accès non autorisé à ce dispositif.

Les services SNMP (Simple Network Management Protocol) offerts par ces dispositifs peuvent être
vulnérables aux attaques de reconnaissance ou attaques d’overflow.

Plusieurs dispositifs de la VoIP sont configurés pour télécharger périodiquement un fichier de

configuration depuis un serveur par TFTP ou d'autres mécanismes. Un attaquant peut
potentiellement détourner ou mystifier cette connexion et tromper le dispositif qui va télécharger un
fichier de configuration malveillant à la place du véritable fichier.

Les téléphones IP
Un pirate peut compromettre un dispositif de téléphonie sur IP, par exemple un téléphone IP, un
softphone et autres programmes ou matériels clients. Généralement, il obtient les privilèges qui lui
permettent de commander complètement la fonctionnalité du dispositif.

Compromettre un point final (téléphone IP) peut être fait à distance ou par un accès physique au
dispositif. Le pirate pourrait modifier les aspects opérationnels d'un tel dispositif:

La pile du système d'exploitation peut être changée. Ainsi la présence de l'attaquant ne sera pas
remarquée.

Aussi un firmware modifié de manière malveillante peut être téléchargé et installé. Les modifications
faites à la configuration des logiciels de téléphonie IP peuvent permettre:

• Aux appels entrants d'être réorientés vers un autre point final sans que l'utilisateur soit au courant.

• Aux appels d’être surveillés.

• A l'information de la signalisation et/ou les paquets contenant de la voix d’être routés vers un
autre dispositif et également d’être enregistrés et/ou modifiés.

• De compromettre la disponibilité du point final. Par exemple, ce dernier peut rejeter

automatiquement toutes les requêtes d’appel, ou encore, éliminer tout déclenchement de
notification tel qu’un son, une notification visuelle à l’arrivée d’un appel. Les appels peuvent
également être interrompus à l’improviste (quelques téléphones IP permettent ceci via une
interface web).
• Toutes les informations concernant l'utilisateur qui sont stockées sur le dispositif pourraient été
extraites.

• L’acquisition d'un accès non autorisé sur un dispositif de téléphonie IP peut être le résultat d'un
autre élément compromis sur le réseau IP, ou de l'information récoltée sur le réseau.

• Les softphones ne réagissent pas de la même façon aux attaques comparés à leur homologues
téléphones IP. Ils sont plus susceptibles aux attaques dues au nombre de vecteurs inclus dans le
système, à savoir les vulnérabilités du système d'exploitation, les vulnérabilités de l’application,
les vulnérabilités du service, des vers, des virus, etc. En plus, le softphone demeure sur le
segment de données, est ainsi sensible aux attaques lancées contre ce segment et pas
simplement contre l’hôte qui héberge l’application softphone.

• Les téléphones IP exécutent quant à eux leurs propres systèmes d’exploitation avec un nombre
limité de services supportés et possèdent donc moins de vulnérabilités.

Les serveurs
• Un pirate peut viser les serveurs qui fournissent le réseau de téléphonie sur IP.

• Compromettre une telle entité mettra généralement en péril tout le réseau de téléphonie dont
le serveur fait partie.

• Par exemple, si un serveur de signalisation est compromis, un attaquant peut contrôler

totalement l'information de signalisation pour différents appels. Ces informations sont routées à
travers le serveur compromis. Avoir le contrôle de l'information de signalisation permet à un
attaquant de changer n'importe quel paramètre relatif à l’appel.

• Si un serveur de téléphonie IP est installé sur un système d'exploitation, il peut être une cible
pour les virus, les vers, ou n’importe quel code malveillant.

Vulnérabilités du système d’exploitation

• Ces vulnérabilités sont pour la plupart relatives au manque de sécurité lors de la phase initiale de
développement du système d'exploitation et ne sont découvertes qu’après le lancement du
produit. Une des principales vulnérabilités des systèmes d'exploitation est le buffer overflow. Il
permet à un attaquant de prendre le contrôle partiel ou complet de la machine.

• Les dispositifs de la VoIP tels que les téléphones IP, Call Managers, Gateway et les serveurs
proxy, héritent les mêmes vulnérabilités du système d'exploitation ou du firmware sur lequel ils
tournent. Il existe une centaine de vulnérabilités exploitables à distance sur Windows et même
sur Linux. Un grand nombre de ces exploits sont disponibles librement et prêts à être téléchargés
 sur l'Internet. Peu importe comment, une application de la VoIP s'avère être sûre, celle-ci devient
menacé si le système d'exploitation sur lequel elle tourne est compromis.

Résumé d’Attaques contre la VoIP

• Les attaques sur les réseaux VoIP peuvent être classés en deux catégories :

1- Les attaques internes qui s'effectuent directement du réseau local ou se trouve l'attaquant.

2- Les attaquent externes qui sont lancées par les personnes autres que ceux qui participent à
l'appel. En ce qui concerne les vulnérabilités, ils en existent trois principales classes sur un
environnement IP : les vulnérabilités protocolaires, lesvulnérabilités au niveau de
l'application et les vulnérabilités reliés aux systèmes d'exploitation

Les attaques protocolaires

La vulnérabilité protocolaire s'effectue au niveau des protocoles qu'utilise la
VoIP. etant donné que les protocoles de la VoIP utilisent TCP et UDP,
comme moyen de transport et par conséquent elle sont aussi vulnérables à
toutes les attaques contre ces protocoles, telles que le détournement de
session(TCP) et la mystification(UDP). les attaques les plus fréquentes
contre le système VoIP :

TFTP - UDP 69
MGCP - UDP 2427
LDAP - TCP 389
Backhaul (MGCP) - UDP 2428
Tapi/Jtapi - TCP 2748
http - TCP 8080/80
SSL - TCP 443
SCCP - TCP 3224
Skinny - TCP 2000-2002
SNMP - UDP 161
SNMP - Trap UDP 162
DNS - UDP 53
SIP - TCP 5060
SIP/TLS - TCP 5061
H.323 RAS - TCP 1719
H.323 H.225 - TCP 1720
H.323 H.245 - TCP 11000-11999
H.323 Gatekeeper Discovery - UDP 1718
RTP - 16384-32767
NTP - UDP 123

il reste néanmoins d'autres points noirs comme les interfaces graphiques des IPbx, l'usage du mode
HTTPS n'est pas forcé, voire non activé !
De plus, au niveau des stations de travail, l'authentification aux pages d'administrations de l'IPbx
et/ou des interfaces utilisateurs peut être couplée à des cookies ou du NTLM qui ne sont pas
forcement un gage de sécurité... et encore moins quand l'utilisateur demande à son navigateur de
garder les mots de passe en mémoire...
D'autre part, il existe un nombre de failles et/ou de vulnérabilités non négligeable directement sur
les interfaces des IPbx, exécution forcée de script comme le « cross site scripting » ou autres, la
falsification des requêtes inter-sites, injections de données.

- Plus simplement, par défaut, les équipements ToIP bénéficient de services standard activés (ex
: telnet ouvert, port SNMP et read/write avec community name par défaut, interface Web de
configuration de l'équipement permettant la modification de la configuration en http, récupération
d'informations directes, statistiques, reboot à distance, port de troubleshooting, authentification
basique, Services echo et time ouverts...) Toutes ces inattentions sur les équipements facilitent
souvent les actions d'une personne mal intentionnée.
D'autre part, le mode d'authentification des téléphones IP reste somme toute assez basique, puisque
certains flux sont en clairs et puisque le challenge est réalisé avec un hash simple en "MD5" et pas de
chiffrement. Ce qui renforce l'importance de la politique de mot de passe.

(DoS) sur VoIP qui consiste à lancer une multitude de requêtes, « flooding
SIP », « TCP syn » ou « UDP », (par exemple, demandes d'enregistrement et d'appels...) jusqu'à
saturation des services VoIP. Ces types d'attaques ciblent souvent les serveurs, les passerelles,
les proxy ou encore les téléphones IP qui voient leurs ressources sont rapidement épuisées par ces
requêtes dont l'objectif est de perturber voire mettre hors service le système ciblé. Une autre
attaque également répandue consiste à envoyer des commandes « BYE » au téléphone afin de
mettre fin à la conversation en cours.

multimédia et des signaux est une attaque qui permet

d'injecter un fichier son dans un flux RTP par le biais d'une attaque « RTP Insertsound ».

- Attaque par « relecture » ou « Détournement d'enregistrement » de sessions autorisées obtenues

grâce à une analyse de trame par un « sniffer » sur le réseau ou par interception de trafic. Cette
attaque se déroule au niveau du protocole SIP, elle utilise la commande « Register » qui sert à
localiser un utilisateur par rapport à son adresse IP. Le pirate peut alors rejouer ces sessions de «
register » valide en modifiant uniquement l'adresse IP de destination en sa faveur...Cette attaque est
due au fait que le protocole SIP transite une partie des informations en clair, il est donc possible de
mettre en place du SIPS qui intègre des mécanismes d'authentification et assure l'intégrité des
données.
 (MITM) est une des attaques les plus connues ; elle permet à
l'assaillant de se positionner entre le client et le serveur afin d'intercepter les flux ciblés qui sont
échangés. Le pirate usurpe alors l'adresse MAC (spoof MAC) de ces 2 parties par l'empoisonnement
du cache ARP des switches (ex: Ettercap + plugin « chk_poisoning ») afin d'être transparent dans ces
échanges. Les données transitent alors au travers du système pirate. Dans le cas de la ToIP cette
technique est utilisée pour « l'Eavesdropping » (« Oreille indiscrète ») lui permettant ainsi d'écouter
et d'enregistrer les conversations entre les interlocuteurs mais aussi de récupérer un ensemble
d'informations confidentielles. cette technique est aussi utilisée pour d'autres protocoles (SSL, DNS,
SSH...)

est une attaque qui consiste à saturer le plus rapidement possible les
tables de commutation d'un commutateur avec des milliers de paquets contenant de
fausses adresses MAC (flooding MAC) dans le but de le transformer en « mode répéteur » (HUB) afin
que toutes les trames soient en diffusion (broadcast) continue sur tous les ports. Nb : cette attaque
ne fonctionne pas avec tous les commutateurs et elle est généralement peu discrète...

consiste à utiliser un générateur de paquet du type «

frameip.exe » (disponible sur internet) et à forger ses propres paquets ICMP de déviation (type 5) à
destination du client afin de lui indiquer que la route utilisée n'est pas optimale et lui communiquer
par la même occasion la nouvelle route qui permettra de rediriger les flux vers un hôte pirate qui
ferait office de passerelle. L'objectif de cette attaque est multiple : écoute, enregistrement (comme
pour MITM), DoS... Il est important de noter que cette attaque ne permet pas de rediriger le trafic
d'une connexion entre deux machines du même réseau local (même plan adresse IP) puisque le trafic
échangé ne passe pas par une passerelle.

consiste à découvrir le N° de VLAN attribué à la ToIP (en récupérant la VLAN

Database, utilisation d'un snifer...) dans un environnement LAN et de marquer des trames Ethernet
directement dans ce VLAN en forgeant ses propres trames. Cette technique permet de s'affranchir
d'une partie de la sécurité associée aux VLANs.(label spoofing)

Dans certains cas, un simple sur le serveur TFTP « officiel » permet de télécharger
la configuration complète d'un équipement et d'apprendre un certain nombre d'éléments.

En SIP, les équipements bénéficient d'une réelle intelligence embarquée, il est donc possible de
demander à un téléphone « d'afficher » lors d'un appel à son destinataire un numéro de téléphone
différent du sien. En interne, cela n'a que peu d'effet. Pourtant, une personne pourrait prétendre
appeler depuis le centre de sécurité ou le bureau du directeur... et demander l'exécution d'actions
particulières par exemple. De l'extérieur, être discret, se faire passer pour quelqu'un autre, ou encore
afficher systématiquement pour tous les appels sortants, un numéro tiers pirate (modification sur
passerelle ou IPbx).
Généralement, un simple sur votre LAN permettra à un pirate de récupérer une multitude
d'informations telles que les protocoles utilisés sur votre réseau, (CDP, STP, DNS, DHCP, LDAP,
MAPI...) et d'obtenir des renseignements sur votre plan adressage IP, vos VLANs, codecs utilisés,
utilisateurs, login, mot de passe, découverte de vos infrastructures, de la topologie, la marque des
équipements, les IOS, vos serveurs, leurs OS et versions, version des applications.

est une méthode permettant de tester les logiciels et de mettre en évidence des
dysfonctionnements potentiels, afin de constater la réaction du système lorsqu'il reçoit de fausses
informations. Cette méthode utilise un certain nombre d'outils de sécurité utilisés notamment lors
d'audits, mais certaines personnes mal intentionnées s'en servent dans le but de trouver et exploiter
des failles (compte administrateur, augmentation des délais, DOS, écoute...).

le SPIT est, comme son nom

l'indique, un SPAM dont l'objectif est la diffusion d'un message publicitaire en initiant et/ou relayant
un maximum d'appels à l'aide de « Bots » à destination de millions d'utilisateurs VoIP depuis le
système compromis. Cette technique a de multiples conséquences, comme la saturation du système,
des MEVO, des communications simultanées... Une utilisation détournée du SPIT consiste aussi à
initier un maximum d'appels à destination de N° surtaxés dans le but d'enrichir des organisations
malveillantes.

Cette technique est comparable au « phishing » traditionnel, dans

le but d'inciter des utilisateurs à divulguer des données confidentielles, voire sensibles (par exemple :
noms d'utilisateur, mots de passe et ou numéros de compte, N° de sécurité sociale, code bancaire,
adresses, coordonnées...). Dans notre cas, c'est un SPIT qui diffuse un message demandant
utilisateurs d'appeler un numéro spécifique pour vérifier les informations en questions et il ne reste
plus qu'à attendre que le téléphone sonne ?. Après avoir récupéré ces données, le pirate les utilise
ou les vend à des tiers !
L'usage du « Voicemail » se multipliant, chaque utilisateur
ou presque bénéficie d'une adresse de messagerie électronique associée, cette attaque consiste à
bombarder le serveur de « voicemail » du domaine ToIP avec des milliers d'adresses mail de test (ex :
[email protected] / [email protected] / [email protected]...). Chaque adresse non valide est
retournée, pour le reste, l'attaquant peut ainsi en déduire un certain nombre d'adresses mail valides
qu'il pourra alors utiliser à sa guise pour d'autres attaques (SPIT, Vishing, SPAM mail...).

- Détournement de trafic ou est une méthode historique dès les débuts de la

téléphonie, elle consiste à ne pas payer les communications et à rester anonyme. En ToIP, ce
détournement s' effectue après récupération d'un couple login/pass valide ou après accès physique
d'un utilisateur non autorisé à un téléphone. Les pionniers du « Phreaking » . Imaginons maintenant
que le pirate ait réussi (par différents moyens) à obtenir un login aux droits suffisants pour modifier
la configuration de votre Ipbx. Il peut alors paramétrer un « Trunck » à destination d'un autre IPbx et
organiser la revente de minutes par dizaines de milliers dans un autre pays... en utilisant le même
concept.
 Attaque Eaveasdropping
Procédure
Cette attaque est utilisée pour écouter et enregistrer les conversations entre les interlocuteurs
mais aussi de récupérer un ensemble d’informations confidentielles

- Pré-requis
Il faut réalisé préalablement une attaque de type MITM pour rediriger le trafic vers la machine
de pirate

Wireshark : C’est l’un des logiciels les plus utilisés pour ce qui est de la surveillance, intrusion
et capture dans les réseaux. Non seulement il peut capturer et analyser des trames, mais aussi,
dans le cas de conversations téléphoniques, convertir ces trames en fichiers audio.

Lancer Wireshark :
Il suffit de taper dans le terminal de la machine pirate : wireshark
Choix de l’interface réseau sur laquelle on va effectuer la capture des paquets échangés :
Maintenant, nous allons commencer la capture d'une partie du trafic. Pour commencer de sniffer le
trafic, lorsque le client 6004 appelle le client 6003.

Dans wireshark, filtrer les paquets à capturer et se limiter au protocole « RTP »

Analyse des paquets RTP capturés

On clique sur le bouton Player

Ensuite, on clique sur le bouton Decode

Dans cette capture, on constate qu’une conversation entre les clients 6004 et 6003 a été décodée.
Pour l’écouter, il suffit de cliquer sur le bouton Player.

SIPtap, Wireshark, VOMIT (Voice Over Misconfigured Internet Telephones), VoIPong, NESUS,
nmap, troyens divers, UCSniff (ARP Saver, VLAN Hopping), Digitask pour skype, SIVUS, Teardown,
Cain, Backtrack(Acuelement appelé : Kali Linux) Dsniff, YLTI, scapy, SIPcrack, SIPVICIOUS et plus
performant la version Pro : SIPVICIOUS PRO, VIPROY VoIP Pen-Test Kit...Etc.