OVH vend des lignes de téléphonie sur IP (VOIP) à destination des professionnels.
Ces lignes utilisent le protocole SIP. Or il n’est jamais indiqué que ces lignes ne sont pas sécurisées… ce qui est problématique quand les communications passent par le Wifi et Internet.
En effet le protocole SIP ne chiffre ni l’authentification au service, ni les communications.
En analysant avec Wireshark les communications entre le client SIP natif d’Android et les serveurs d’OVH j’ai pu récolter :
- mon numéro de téléphone
- le numéro de mes correspondants
- mon login SIP OVH
- mon mot de passe hashé
- les communications audio (on peut les sortir au format Wav)
C’est donc très dangereux de communiquer des informations confidentielles par cette ligne téléphonique quand on est connecté au réseau Wifi chez quelqu’un d’autre par exemple. Encore pire, on peut utiliser les identifiants pour se faire passer pour quelqu’un d’autre ou faire payer ses communications à sa place.
A mon avis, ce sont des problèmes importants qui devraient figurer sur la présentation d’un produit VOIP à destination des professionnels pas forcément informaticiens.
J’ai fait part de mes observations au service support d’OVH qui m’a répondu :
Le résultat obtenu est en effet dû au protocole SIP qui n’est pas chiffré. Nous indiquons que le protocole utilisé est le protocole SIP, si nous utilisions un protocole avec chiffrage nous le mettrions en avant. Les entreprises sont aussi équipés de firewall ou de VPN. Nous ne mettons pas en avant les informations indiquant la non présence de chiffrage car cela pourrait indiqué à de potentiel « pirates » de vouloir le faire si l’information de non-chiffrage leur était indiquée.
Mon ressenti est plutôt qu’OVH omet de parler de la sécurité des communications parce que ça l’arrange bien coté business. « SIP » n’est écrit que 2 fois sur la présentation du produit contre 14 fois pour « VOIP », cela montre qu’on s’adresse à des néophytes et non des techniciens.
La page d’aide « Sécuriser sa ligne SIP OVH » n’aide pas à sécuriser les communications mais à limiter le hors forfait qui arriverait si quelqu’un récupérait vos identifiants :D
J’écris donc cet article afin d’éclairer les utilisateurs sur la problématique et les invite à prendre leur précautions pour chiffrer (ZRTP, TLS) leurs conversations confidentielles.
Or le fait que le serveur SIP d’OVH ne supporte pas les connexions par TLS est problématique…
Bonjour et merci de ces infos.
Ovh c’est pas top (1h00 pour le service client systématiquement c’est fait exprès) mais c’est pas cher.
Une solution zrtp pour ce protéger avec ovh du coup ?
Je vais leur écrire pour voir leur non réaction quand même. Si on ne demande rien, le service risque pas de bouger.
Merci pour l’info.
Il faudra leur dire également que l’on dit chiffrement et pas chiffrage (le chiffrage, c’est pour la facture envoyée aux clients) !
Bonjour,
Qusnd vous écrivez « Encore pire, on peut utiliser les identifiants pour se faire passer pour quelqu’un d’autre ou faire payer ses communications à sa place. »
Si vous faites reference à votre « mon mot de passe hashé », je vous invite à vous renseignez sur la « Digest access authentication » et découvrir pourquoi votre mdp n’est pas simplement hashé.
Ce point très important suffit à ne pas permettre d’usurper votre identité.
Ping Appel audio/vidéo sur Android et XMPP – Tuxicoman