La sécurisation d’une ligne VoIP contre le toll fraud exige une approche systématique et opérationnelle. Les opérateurs doivent articuler chiffrement, authentification et gestion des accès pour limiter les risques financiers.
Ce guide pratique présente des mesures concrètes au niveau du SBC, des trunks et des politiques de routage. Les éléments clés suivent, présentés pour une mise en œuvre immédiate.
A retenir :
- Chiffrement TLS et SRTP systématique pour signalisation et médias
- SBC B2BUA en périphérie pour inspection et masquage de topologie
- Limitation de débit, listes noires dynamiques, détection d’anomalies
- Restrictions de routage et seuils d’appels simultanés par ligne
SBC et chiffrement pour sécuriser une ligne VoIP
Après ces priorités, l’attention se porte sur l’élément central du périmètre vocal. Le SBC agit comme un pare-feu vocal et applique chiffrement, masquage et contrôle d’accès.
Menace
Impact
Mitigation
Inondation SIP / DDoS
Blocage d’établissement d’appels et dégradation de service
Limitation de débit et listes noires dynamiques au SBC
IRSF / toll fraud
Factures élevées et pertes financières pour l’opérateur
Restrictions de routage et surveillance en temps réel
Usurpation d’identité de l’appelant
Perte de confiance et blocage par les terminaux
Signature STIR/SHAKEN et validation P-Asserted-Identity
Détournement d’enregistrement
Redirection des appels vers l’attaquant
Protection contre le scan et blocage automatique des sources
Fonctions essentielles du SBC
Ce passage détaille les fonctions du SBC pour contrer le toll fraud. Inspection profonde, masquage de topologie, limitation de débit et listes noires dynamiques sont mises en œuvre.
Mesures techniques essentielles : Ces contrôles techniques sont configurés par trunk et par politique. La granularité évite qu’une seule compromission n’affecte l’ensemble des clients.
- Masquage des adresses IP internes dans les en-têtes SIP
- Application TLS pour la signalisation sur le port 5061
- SRTP pour la protection des flux RTP entre segments
- Limitation d’appels simultanés par ligne et par abonné
Chiffrement TLS et SRTP en pratique
Ce volet explique l’usage opérationnel du chiffrement sur les trunks. Le déploiement systématique de TLS pour SIP et de SRTP pour les médias réduit considérablement les risques d’écoute.
« J’ai vu un PBX compromis générer des centaines d’appels vers des numéros surtaxés en quelques heures »
Paul N.
La signature STIR/SHAKEN s’effectue au niveau du SBC pour assurer l’authentification de l’appelant. Cette configuration prépare la surveillance et la détection d’intrusion nécessaire.
Détection et limitation pour prévenir le toll fraud
En remontant d’un dispositif cryptographique, l’opérateur doit rendre la plateforme résistante aux analyses et aux inondations SIP. Les techniques de limitation et d’analyse comportementale réduisent la fenêtre d’attaque.
Limitation de débit et listes noires dynamiques
Cette section précise comment plafonner et isoler les sources malveillantes sur le réseau voix. La mise en liste noire dynamique permet un blocage automatisé des sources suspectes.
Règles opérationnelles : Les règles s’appliquent par trunk et par IP source, avec actions graduées. Le blocage par pourcentage permet d’atténuer sans interrompre totalement un pair légitime.
- Plafond de transactions SIP par seconde par source configurable
- Blocage automatique après tentatives d’enregistrement répétées
- Mode ‘pourcentage’ pour limiter l’impact sur pairs inconnus
- Listes grises temporaires avant blocage permanent
Surveillance en temps réel et détection d’intrusion
La surveillance transforme les logs et CDR en alertes opérationnelles pour les équipes réseau. Selon la CFCA, la fraude génère des pertes significatives si les anomalies ne sont pas détectées rapidement.
Métrique
Indication d’attaque
Action automatique
Appels par seconde
Pic soudain hors heures ouvrables
Filtrage et throttling immédiat
Taux d’échec d’enregistrement
Force brute ou scan d’enregistrement
Blocage source et alerte sécurité
Destination internationale
Trafic vers indicatifs à risque élevé
Interruption et enquête manuelle
Durée moyenne d’appel
Appels très longs ou très courts récurrents
Limitation de durée et quarantaines
« Leur centre avait perdu disponibilité durant une attaque avant que nous n’activions le filtrage SBC »
Marie N.
Prévention opérationnelle de la fraude aux péages (toll fraud)
Après la détection vient la politique opérationnelle visant à rendre la fraude non viable économiquement pour l’attaquant. Les restrictions de routage et les seuils limitent l’accès aux destinations coûteuses.
Politiques de routage et restrictions d’appels
Ce point explique comment segmenter le routage par profil de risque et par client. Des règles par trunk empêchent qu’une compromission n’entraîne des frais pour d’autres abonnés.
Politiques par trunk : Les politiques incluent TLS requis, limites de destinations et quotas horaires. Ces règles simplifient la gestion et réduisent la surface d’attaque.
- Blocage par défaut des indicatifs surtaxés non autorisés
- Quota horaire d’appels internationaux par abonné configurable
- Limite d’appels simultanés par numéro et par trunk
- Validation CNAM et vérifications en ligne avant routage
Cas pratique et retours d’expérience
Un opérateur européen a réduit ses pertes après mise en place d’un SBC B2BUA et d’une intelligence de fraude. Selon TransNexus, l’intégration des scores de risque permet des décisions en millisecondes lors d’un établissement d’appel.
« J’ai stoppé une campagne IRSF en isolant le trunk compromis et en coupant les destinations à risque »
Luc N.
« L’avis de l’opérateur a été de prioriser le chiffrement et la surveillance en continu »
Anne N.