Le PBX, véritable auberge espagnole ouvert aux pirates du téléphone

Souvent oublié dans la lutte contre le piratage, le taux d'effraction des autocommutateurs croît en toute impunité et cause un préjudice inestimable. Des mesures de sécurité s'imposent pour blinder ce système vital pour l'entreprise.

Quoi de plus difficile que de combattre contre une force de l'ombre !. Bon nombre d'entreprises par exemple ignorent que leur PBX sert, de tremplin à des clandestins pour amorcer des communications téléphoniques sur de longues distances, ou encore de lieux de rendez-vous à une faune plus ou moins interlope. France Télécom s'avère mieux informé que ses clients. Mais sur ce sujet celui-ci reste discret. Et pour cause, des plaintes ont révélé des appels établees par l'entremise de ses propres employés, imputées sur le compte de tiers. Des sociétés se sont vues ainsi facturées des communications vers les départements d'outre-mer sans jamais avoir fait commerce de bananes. Ces malversations sournoises issues des services internes de l'opérateur restent a priori marginale, comparée à la délinquance téléphonique perpétrée par des pirates amateurs et professionnels. Ce sport individuel importé des Etats-Unis sous l'appellation "phreaking" consiste en autre à pénétrer dans les autocommutateurs privés et les systèmes de messagerie vocale. Et le vainqueur de ses disciplines se voit récompenser par un accès gratuit au réseau téléphonique.

Un PBX ouvert à toutes les attaques

Pour rentrer sans effraction sur le PBX, le pirate dispose de plusieurs techniques de phreaking à commencer par la "Blue Box", en référence à une "boîte musicale". A l'origine ce boîtier électronique, mise au point par des étudiants du MIT émettait vers le PABX un signal d'une fréquence de 2600 Hz afin de s'emparer d'une ligne extérieure. Une fois effectué, l'intrus disposait d'un laps de temps de 10 à 15 secondes pour composer sa séquence de numéro DTMF. Cette technique de piratage subsiste encore aujourd'hui. Mais les outils ont changé. Un simple modem associé à une carte son et à un logiciel freeware tel que "BlueBeep", "Scavenger" ou "CyberPhreak", tous disponibles sur le Net, suffit à émuler une "Blue Box". Seulement voilà, si ce mode d'intrusion perdure aux Etats-Unis et dans d'autres pays, France Télécom à depuis 1992, date des premiers assauts de Blue Boxing mené à l'aide d'un vulgaire Atari ST, pris des précautions pour détecter ces fréquences pirates. Cette entrave ne décourage pour autant les français amateurs de "Blue Box" qui profitent des numéros vert internationaux pour entamer "l'hymne téléphonique" du PBX visité. Cela dit, le "phreaker" français, plutôt casanier, restreint sa zone de chasse à l'hexagone. Et celui-ci use de techniques de piratage plus simples tel que l'appropriation de la fonction "Outdial" supportée sur certains PBX afin de commuter un utilisateur vers le réseau téléphonique. Cette fonction également désignée par "Thrudial" dans le jargon des téléphonistes s'avère peu connu des usagers. Par ce biais, des entreprises autorisent l'appel d'employés en mission à l'étranger au prix d'une communication locale, afin de ne pas pénaliser la famille ou les collaborateurs situés à l'extérieur. Inutile de dire que les pirates abusent de cette faille avec délectation. Encore faut-il commencer par pénétrer l'autocommutateur ?. Les PBX accessibles par numéros vert s'avancent évidemment comme une cible privilégiée. Car le clandestin est par définition guère argenté. Il suffit en outre de consulter l'annuaire téléphonique pour se concocter une liste personnelle. Par nature solidaire, les pirates partagent facilement via Internet, leur liste de numéros verts des PBX déjà visités, accompagnées quelques fois du mode d'effraction propre à tel ou tel marque d'équipement. Les mieux renseignés possèdent même quelque fois le mode d'emploi de l'autocommutateur visé, ainsi que les numéros de postes et de boîtes vocales essentiels, ceux du standard et de la ligne de télémaintenance en particulier. Sans ces précieux renseignements souvent obtenus avec le concours d'un complice sur place, le pirate doit se contenter de son seul numéro vert pour aller à la pêche nocturne. Une fois connecté, celui-ci à toutes les chances de tomber sur la voix synthétique d'un opérateur, voire sur celle d'un système ACD (Automatic Call Ditributor). Mais plutôt que se prêter au jeu des questions/réponses du genre "tapez le numéro de poste de votre interlocuteur", l'intrus s'évertue à récupérer la tonalité intérieure de l'autocommutateur, pour ensuite accéder à la fonction de routage vers le réseau téléphonique. Pour cela, il frappe un ou deux caractères d'échappement du type "0", "#" ou encore "0*". Une fois cette étape franchie, les plus pressés enchaînent directement avec l'indicatif de la fonction Outdial, suivi du numéro de téléphone souhaité et d'un suffixe tel que "#". Outre les séquences génériques comme "0", "99" ou "#5", certains PBX réclament à titre d'indicatif, le numéro du standard ou encore le numéro du poste fictif affecté à la fonction Outdial. Le premier correspond aux quatre derniers numéros du téléphone principal de l'autocommutateur et se récupère aisément avec l'aide involontaire de l'opérateur. Le numéro de poste fictif reste plus laborieux à déterminer. Dans l'absolu, il oblige l'intrus à passer tous les postes en revue. Pour restreindre sa recherche celui-ci procède par élimination, en gommant de sa sélection les chiffres qui engendrent une rupture de la communication. Les pirates professionnels s'aident d'un logiciel de type "War Dialer" afin de scanner tout ou partie des postes d'un autocommutateur par le biais d'un modem. Le freeware "Toneloc" par exemple, disponible dans toutes les quincailleries virtuelles du piratage, donne le détail précis des types de postes (téléphone, boîte vocale, fax/modem) et de leur état de disponibilité. Les pirates oisifs usent également de logiciels War Dialer pour déceler automatiquement le numéro de poste fictif associé à l'Outdial, en prenant soin d'affecter le numéro d'un modem actif comme destinataire. Manuelle ou automatisé, cet examen peut toutefois s'avérer stérile, si l'autocommutateur ne supporte pas d'Outdial.

La messagerie vocale comme entrée des artistes

Certain PBX autorisent cette fonction à travers la messagerie vocale, souvent activée la nuit dans le cas des numéros verts. Pour accéder de ce système auxiliaire, l'intrus use des caractères d'échappement usuels tel que "*","#" ou bien "9" jusqu'à tomber sur le sommaire qui énonce les choix disponibles. Le pirate sélectionne celui qui mène à une boîte vocale. Guidé par les messages de saisie erronée, il compose au hasard le numéro de la boîte victime. En général, un code confidentiel de 4 ou 6 chiffres protège l'accès de cette dernière. A moins d'une configuration dilettante qui conserve les valeurs par défaut, telle que "0000", l'intrus se voit contraint de rechercher ce sésame. Il commence en général son investigation en donnant le même numéro que celui de la boîte ou une combinaison de celui-ci. Une séquence triviale telle que "1234" ou "9999" suffit quelque fois à percer le secret. Dans ce tâtonnement, le pirate averti par une abondante documentation qui circule sur Internet prend soin de ne pas se faire éjecter au bout de la troisième tentative erronée, en revenant au sommaire précédent. Une fois entrée en possession de la boîte vocale, le clandestin n'a plus qu'à entamer la procédure d'accès à la fonction Outdial comme détaillée précédemment. Hormis l'obstacle du code confidentiel, le système de messagerie vocale s'avance comme un cheval de troie idéal pour accéder au PBX puis au réseau téléphonique. Et à défaut de pouvoir rebondir vers l'extérieur, le pirate emprunte celle-ci pour échanger des messages de toutes natures, du plus inoffensif ou plus délictueux. Rappelons également que le milieu affectionne particulièrement l'anonymat de ces messageries ainsi que les crochets sinueux apportés par les réseaux privés d'autocommutateurs. Le PBX offre d'autres talons d'Achille tel que le port d'accès réservé à la télémaintenance. Pour un même type de PBX, le numéro de poste affecté à la ligne de télégestion est souvent standard et finit par échouer sur l'agenda des pirates. Evidemment un code confidentiel protège cette issue. Mais dans l'insouciance caractéristique de cet environnement téléphonique, la valeur par défaut de ce dernier est rarement mis à jour et s'avère vite déflorée.

Source : H.M - Costkiller.net