Comment repérer les signaux VoIP suspects

Ce qu'on appelle la voix du protocole Internet ou VoIP rend les appels moins chers et plus pratiques, mais cela ouvre également un important problème de sécurité. Diverses personnes ont décrit comment il pourrait être possible de détourner des signaux VoIP pour envoyer des informations confidentielles.





Ces services décomposent les signaux vocaux en paquets numériques et les envoient sur Internet, exactement de la même manière que le courrier électronique ou le trafic Web. Une telle attaque malveillante peut impliquer de rechercher sur votre ordinateur des informations intéressantes et de les envoyer à un tiers chaque fois que vous passez un appel VoIP en modifiant ces paquets d'une manière ou d'une autre.

Mais est-il facile d'intégrer des données dans un flux VoIP sans se faire remarquer ? En théorie, cela devrait être facile de répondre. Après tout, les protocoles utilisés pour envoyer des informations sont bien connus. Il devrait certainement être facile de voir si des données supplémentaires ont été ajoutées.

En fait non. Une façon d'intégrer des données consiste à modifier l'ordre dans lequel les paquets sont envoyés en fonction d'un code. Un récepteur malveillant peut récupérer les données intégrées en surveillant et en réorganisant les paquets sans que l'auditeur en soit averti. Une simple mesure du débit de données ne permettrait pas de repérer un tel schéma.



Ensuite, il y a la technique consistant à retarder délibérément certains paquets remplis d'informations secrètes, une technique appelée Lost Audio Packet Steganography ou LACK. Les retards sont courants sur Internet et les destinataires les traitent en ignorant simplement les arrivées tardives. Cependant, un récepteur convenablement équipé pourrait extraire toute information confidentielle cachée dans ces paquets retardés.

La seule façon de repérer de telles attaques est de comparer le trafic aux signaux ordinaires et de voir en quoi il diffère. Mais à quoi ressemble le trafic ordinaire ?

Aujourd'hui, Wojciech Mazurczyk et des amis de l'Université de technologie de Varsovie en Pologne publient leur étude sur les caractéristiques de 100 appels VoIP ordinaires passés entre Varsovie et Cambridge au Royaume-Uni, sur une distance d'environ 1800 km. Leur idée est de caractériser les données d'appels ordinaires afin que les attaques stéganographiques puissent être facilement détectées.



Leur étude réserve quelques surprises. Il s'avère que les paquets ne sont normalement jamais réorganisés d'une manière qui pourrait être utilisée pour masquer des données. Ce genre d'attaque serait donc facile à repérer.

Cependant, les paquets de données sont régulièrement perdus, il est donc difficile de les distinguer de ceux qui sont délibérément retardés par un attaquant malveillant.

Ainsi, même si la VoIP peut être moins chère et plus facile que d'autres formes d'appels vocaux, elle peut également être moins sécurisée. Mazurczyk et co disent que davantage de données sont nécessaires pour étudier les caractéristiques naturelles de la VoIP dans un plus large éventail de conditions. Mais pour le moment, il semble que le LACK soit une réelle menace.



Réf : arxiv.org/abs/1002.4303 : Que sont les retards VoIP suspects ?

cacher