Dans le cadre des rediffusions estivales, voici une anecdote publiée initialement le 10 juin 2008 sur le blog de Sid.

Elle illustre bien le fait que je ne suis pas un spécialiste de la sécurité informatique, et encore moins du paramétrage d’un autocommutateur téléphonique privé (plus communément appelé “standard téléphonique” ou PABX). Et qu’un expert peut s’en sortir avec un peu d’imagination (et de chance). Et qu’il faut toujours lire les manuels. Et qu’il faut être prudent avec les outils de communication que l’on utilise…

—————————————————

Lorsque Sid m’a contacté pour de demander d’accepter de rédiger une
anecdote sur la sécurité informatique, j’ai aussitôt accepté tant
j’étais flatté. Puis je me suis demandé ce qu’un expert judiciaire comme
moi pouvait bien avoir à raconter sur un blog de ce niveau, avec des
lecteurs aussi pointus sur ce domaine. Un peu comme un médecin
généraliste invité à s’exprimer lors d’un séminaire de cardiologues.
Alors, soyez indulgents.

J’ai été approché, il y a quelques années de cela, par le directeur
général d’une entreprise qui souhaitait me confier une expertise privée
dans un contexte délicat: son serveur téléphonique avait été piraté.
Malgré mes explications sur mon manque de compétence en PABX, il voulait
absolument que j’intervienne sur cette affaire. Il avait eu de bonnes
informations sur moi, et, je l’appris plus tard, j’avais le meilleur
rapport qualité/prix…

Me voici donc, sur la base d’un forfait d’une journée d’audit, au sein
de l’entreprise, un samedi pour plus de discrétion. Étaient présents sur
les lieux: le DG, le DT, le RH, le RSI et moi (l’EJ:). Nous avions
convenu le DG et moi que je jouerais le candide éclairé.

Nous voici donc à étudier le problème: le PABX de l’entreprise avait été
piraté. La preuve était que des fuites avaient eu lieu car des
conversations téléphoniques confidentielles avaient été écoutées. Les
preuves étaient minces, mais le DG était convaincu de la réalité de ces
fuites et de leur cause.

Le PABX était géré par deux services: le service technique (car c’est un
système de gestion des téléphones) et le service informatique (car
c’est “programmable” avec logiciel et base de données)… Les deux
responsables de service avaient mené leur petite enquête et rejetaient
implicitement la faute sur l’autre, n’ayant rien trouvé d’anormal dans
leur partie.

Avant de les laisser me noyer dans des détails techniques prouvant leurs
compétences et leur bonne foi, j’ai voulu en savoir plus sur le
principe de fonctionnement de la téléphonie de l’entreprise: chaque
salarié dispose-t-il d’un combiné identique, y a-t-il un mode d’emploi,
etc.

Et me voici plongé dans le mode d’emploi (relativement simple) du modèle
standard de téléphone de cette entreprise. Attention, je vous parle
d’une époque pré-ToIP, mais avec des bons “vieux” téléphones numériques
quand même. Tout en feuilletant la documentation, je me faisais quelques
réflexions générales sur la sécurité : est-il facile d’accéder au PABX
de l’entreprise, comment faire pour pénétrer le système, etc.

En fait, je me suis dit qu’il était somme toute beaucoup plus facile
d’écouter une conversation en se mettant dans le bureau d’à côté. Et là,
le hasard m’a bien aidé: au moment où je me faisais cette réflexion, je
suis tombé sur le passage du manuel utilisateur consacré aux
conférences téléphoniques. Il était possible de rejoindre une
communication téléphonique déjà établie pour pouvoir discuter à
plusieurs.

Le Directeur Général me confirme alors qu’une présentation de cette
fonctionnalité avait été faite quelques mois auparavant aux salariés. Je
demande une démonstration: le directeur technique et le responsable des
systèmes d’information retournent dans leurs bureaux et conviennent de
s’appeler. Une fois en conversation, je prends le téléphone présent dans
la salle de réunion et compose le numéro d’une des deux personnes. Bien
entendu, j’obtiens une tonalité occupée. Suivant le mode d’emploi,
j’appuie sur la touche ad-hoc du combiné afin de m’inviter dans la
conférence téléphonique.

Et me voici en train d’écouter les deux hommes, en prenant bien garde de
ne prononcer aucune parole. Au bout de quelques minutes, les deux
hommes décident de raccrocher, pensant que je n’avais pas réussi à
rejoindre leur conférence téléphonique…

C’est ainsi, que devant le Directeur Général abasourdi, j’ai pu
“pirater” une conversation téléphonique en appelant simplement un poste
occupé et en appuyant sur un bouton…

Le PABX avait mal été configuré. Tout le monde pouvait écouter tout le
monde. Quelqu’un s’en était rendu compte et en avait profité…

J’ai été payé par le patron reconnaissant une journée de travail pour deux heures de réunion 🙂

Mais je ne regarde plus mon téléphone de la même façon maintenant.