La téléphonie sur IP ne présente, hélas, pas que des avantages. Franck Martin revient sur les risques induits par cette technologie, ainsi que sur l'arsenal juridique qui permet d'en limiter les effets.
Il ressort des derniers chiffres publiés par l'Arcep que l'engouement pour la voix sur IP ne cesse de croître : le nombre d'abonnements à un service de téléphonie sur IP a augmenté de 251,8 % en un an ; quant au volume de communications VoIP en minutes, il ne cesse de progresser au regard de l'ensemble des communications fixes (particuliers et entreprises confondus)
A l'évidence, la VoIP devient une technologie incontournable et est en passe de bouleverser le paysage des communications électroniques. L'approche pro-concurrentielle de la voix sur IP décidée par l'Arcep (décision du 15 septembre 2005 de ne pas réguler ex ante la voix sur large bande), la baisse des coûts de communications générée par l'utilisation de cette technologie, mais aussi, la baisse des coûts d'administration et de maintenance des infrastructures (l'infrastructure "voix" devenant superfétatoire) sont autant d'éléments permettant d'expliquer le succès de la voix sur IP.
Cette réalité économique ne doit pas pour autant occulter les risques induits par son utilisation, auxquels les directions informatiques des entreprises sont de plus en plus confrontées.
Les risques encourus
Utilisée pour transporter des conversations téléphoniques sur tout réseau appliquant le protocole Internet par numérisation de la voix en paquets (données), la voix sur IP est par conséquent exposée aux mêmes menaces que celles touchant les données, à savoir :
- un accès frauduleux à tout ou partie du système de traitement automatisé de données (STAD) tel un accès pirate ;
- un maintien frauduleux dans le STAD ;
- une atteinte volontaire au fonctionnement du STAD à l'instar d'un déni de service en submergeant le serveur VoIP de messages générés automatiquement ;
- une atteinte volontaire aux données soit par altération des données soit par l'introduction de données pirates.
La voix sur IP peut également être utilisée comme un moyen pour commettre un délit de droit commun, notamment une escroquerie, un vol. La technique utilisée est le plus souvent celle du phishing. Dans cette hypothèse, il n'y a pas de site Web usurpé, mais un numéro de téléphone permettant au fraudeur de recueillir les données sensibles de l'utilisateur (numéro de la carte de paiement, date d'expiration …) en se faisant passer par exemple pour le serveur vocal de son organisme bancaire.
Les sanctions encourues
Face à ces risques, différentes dispositions du Code Pénal (articles 323-1 à 323-7), renforcées et complétées par la loi pour la confiance dans l'économie numérique du 21 juin 2004, permettent de réprimer de tels agissements. Ainsi sans être exhaustif :
- l'accès frauduleux à un STAD est puni de deux ans d'emprisonnement et de 30.000 euros d'amende lorsqu'il s'agit d'un accès sans influence (c'est à dire sans dommage) et de trois ans d'emprisonnement et de 45.000 euros d'amende dans le cas contraire .
- l'entrave au fonctionnement du système est sanctionnée de cinq ans d'emprisonnement et de 75.000 euros d'amende.
Il convient par ailleurs de rappeler qu'il n'existe pas dans la législation actuelle française de sanction spécifique à l'usurpation d'identité numérique notamment via la technique du phishing, cette dernière pouvant être sanctionnée notamment sur le fondement de l'article 313-1 du Code Pénal relatif à l'escroquerie.
Sécurité et exigences de qualité de service
Afin de limiter les atteintes au système tout en permettant un haut niveau de qualité de service de VoIP, une politique de sécurité renforcée et évolutive doit nécessairement être mise en place au sein des entreprises. Pour assurer l'efficacité de cette politique, l'entreprise pourra avoir recours à différentes mesures :
- diffusion interne de la politique de sécurité (exemple : charte d'utilisation des moyens informatiques et télécoms mis à disposition des personnes utilisant ou travaillant sur l'infrastructure VoIP).
- renforcement des clauses contractuelles avec les différents prestataires en charge du déploiement de l'infrastructure VoIP (exemples : étude d'adéquation des mesures de sécurité aux exigences de qualité de service, outils de contrôle de l'efficacité des mesures de sécurité, plans d'actions associées et délais en cas de faille, outils de veille et de mesure de la qualité de service, pénalités associées ..).
- plans d'actions techniques et juridiques en fonction des différents scénarii rencontrés pour poursuivre l'auteur de l'infraction.
Si l'absence de risque n'est pas de mise en matière informatique ou télécoms, une combinaison de ces différentes mesures devrait, à défaut d'écarter totalement les risques liés à la technologie de la VoIP, en limiter tout au moins les effets
Il ressort des derniers chiffres publiés par l'Arcep que l'engouement pour la voix sur IP ne cesse de croître : le nombre d'abonnements à un service de téléphonie sur IP a augmenté de 251,8 % en un an ; quant au volume de communications VoIP en minutes, il ne cesse de progresser au regard de l'ensemble des communications fixes (particuliers et entreprises confondus)
A l'évidence, la VoIP devient une technologie incontournable et est en passe de bouleverser le paysage des communications électroniques. L'approche pro-concurrentielle de la voix sur IP décidée par l'Arcep (décision du 15 septembre 2005 de ne pas réguler ex ante la voix sur large bande), la baisse des coûts de communications générée par l'utilisation de cette technologie, mais aussi, la baisse des coûts d'administration et de maintenance des infrastructures (l'infrastructure "voix" devenant superfétatoire) sont autant d'éléments permettant d'expliquer le succès de la voix sur IP.
Cette réalité économique ne doit pas pour autant occulter les risques induits par son utilisation, auxquels les directions informatiques des entreprises sont de plus en plus confrontées.
Les risques encourus
Utilisée pour transporter des conversations téléphoniques sur tout réseau appliquant le protocole Internet par numérisation de la voix en paquets (données), la voix sur IP est par conséquent exposée aux mêmes menaces que celles touchant les données, à savoir :
- un accès frauduleux à tout ou partie du système de traitement automatisé de données (STAD) tel un accès pirate ;
- un maintien frauduleux dans le STAD ;
- une atteinte volontaire au fonctionnement du STAD à l'instar d'un déni de service en submergeant le serveur VoIP de messages générés automatiquement ;
- une atteinte volontaire aux données soit par altération des données soit par l'introduction de données pirates.
La voix sur IP peut également être utilisée comme un moyen pour commettre un délit de droit commun, notamment une escroquerie, un vol. La technique utilisée est le plus souvent celle du phishing. Dans cette hypothèse, il n'y a pas de site Web usurpé, mais un numéro de téléphone permettant au fraudeur de recueillir les données sensibles de l'utilisateur (numéro de la carte de paiement, date d'expiration …) en se faisant passer par exemple pour le serveur vocal de son organisme bancaire.
Les sanctions encourues
Face à ces risques, différentes dispositions du Code Pénal (articles 323-1 à 323-7), renforcées et complétées par la loi pour la confiance dans l'économie numérique du 21 juin 2004, permettent de réprimer de tels agissements. Ainsi sans être exhaustif :
- l'accès frauduleux à un STAD est puni de deux ans d'emprisonnement et de 30.000 euros d'amende lorsqu'il s'agit d'un accès sans influence (c'est à dire sans dommage) et de trois ans d'emprisonnement et de 45.000 euros d'amende dans le cas contraire .
- l'entrave au fonctionnement du système est sanctionnée de cinq ans d'emprisonnement et de 75.000 euros d'amende.
Il convient par ailleurs de rappeler qu'il n'existe pas dans la législation actuelle française de sanction spécifique à l'usurpation d'identité numérique notamment via la technique du phishing, cette dernière pouvant être sanctionnée notamment sur le fondement de l'article 313-1 du Code Pénal relatif à l'escroquerie.
Sécurité et exigences de qualité de service
Afin de limiter les atteintes au système tout en permettant un haut niveau de qualité de service de VoIP, une politique de sécurité renforcée et évolutive doit nécessairement être mise en place au sein des entreprises. Pour assurer l'efficacité de cette politique, l'entreprise pourra avoir recours à différentes mesures :
- diffusion interne de la politique de sécurité (exemple : charte d'utilisation des moyens informatiques et télécoms mis à disposition des personnes utilisant ou travaillant sur l'infrastructure VoIP).
- renforcement des clauses contractuelles avec les différents prestataires en charge du déploiement de l'infrastructure VoIP (exemples : étude d'adéquation des mesures de sécurité aux exigences de qualité de service, outils de contrôle de l'efficacité des mesures de sécurité, plans d'actions associées et délais en cas de faille, outils de veille et de mesure de la qualité de service, pénalités associées ..).
- plans d'actions techniques et juridiques en fonction des différents scénarii rencontrés pour poursuivre l'auteur de l'infraction.
Si l'absence de risque n'est pas de mise en matière informatique ou télécoms, une combinaison de ces différentes mesures devrait, à défaut d'écarter totalement les risques liés à la technologie de la VoIP, en limiter tout au moins les effets
