Tribunes

Florange Telecom

L'approche radicaliste de l'architecture du Web : l'assembleur

Big Dataxe

Le Big Data individuel

La comptine du cloud

Toute les tribunes

La vidéo du moment
Actualité marchés verticaux

Huawei lance ServiceStage, sa première offre de cloud public

par Global Medias
le 21/04/2017 à 01:54

L'ITSM est d'une importance capitale pour la compétitivité de l'entreprise

par Global Medias
le 11/04/2017 à 04:04

Loumio veut devenir le 3ème opérateur wholesale sur le marché de la fibre optique

par anonyme
le 09/04/2017 à 08:40

L'accès aux marchés est toujours difficile pour 67% des entreprises du numérique

par TAMPublics
le 07/04/2017 à 04:20

Questions réponses sur le droit à la déconnexion

par Edouard de Calldoor
le 05/04/2017 à 09:38

Rechercher
Services
Logo_abonn Job Les derniers communiqués de presse Proposer un communiqué de presse
Fils RSS : Top 10 quotidien

Sécurité autour d'IMS : les risques de la convergence

jeudi 3 septembre 2009

20090903_05Par Michel VUJICIC, consultant senior associé, I-TRACING*.
De nouveaux services de communication interopérables arrivent sur le marché. Plus attractifs, ils combinent messagerie instantanée, partage de contenus multimédia et listes de contacts. A partir de n'importe quel terminal et sur n'importe quel réseau, on pourra savoir où et comment joindre ses contacts, avoir accès à une messagerie élargie (chat et historique des messages) et échanger des contenus multimédia pendant une conversation. La clé du succès semble résider dans la normalisation de l'environnement technique afin d'assurer une qualité de service exemplaire. Cette avancée technologique est rendue possible grâce à la norme IMS (IP Multimedia Subsystems). Cependant, ces nouveaux services comportent des risques d'usurpation d'identité, de spam, de fraude... Une démarche et des dispositifs de sécurité sont indispensables.

IMS, une norme pour réseaux fixes et réseaux mobiles

IMS est aujourd'hui considérée comme l'architecture de convergence des réseaux fixes et mobiles, à travers la délivrance de services de communication multimédia, indépendamment des terminaux utilisés. Pour les opérateurs telco qui, ces deux dernières années, se sont consolidés en opérateurs multi-supports, fixes, mobiles, très haut débit,... IMS est vue comme partie prenante de la nouvelle génération des réseaux, les NGN (Next Generation Networks). IMS gère les flux voix et les flux de données.

La convergence des services à travers la technologie IMS est séduisante : un protocole de communication unique et commun à l'ensemble des terminaux, quel que soit le mode d'accès au réseau. Le risque est que cette convergence de services, du fait des contraintes qu'elle subit, ne tienne pas toutes ses promesses. Au-delà de l'optimisation des coûts d'exploitation par la mutualisation des services d'infrastructure IP, la réussite d'IMS dépend essentiellement de la richesse des services proposés par l'opérateur : messagerie unifiée, présence, géolocalisation, partage des contenus, etc.

 

SIP, un protocole unique

 

Dans l'architecture IMS, le contrôle des transactions est distinct de la gestion de leur transmission. C'est le protocole SIP (Session Initiation Protocole) qui gère les échanges point-à-point, présentant toutes les garanties nécessaires à l'acheminement de services multimédia.

Supportant les réseaux fixes et mobiles, SIP s'inscrit dans la vision d'une convergence des services de téléphonie fixe et mobile. Derrière ce concept et celui d'IMS, existe la fourniture d'un numéro de téléphone unique pour les utilisateurs, avec, à la clef, un routage transparent des appels entre ligne fixe et ligne mobile. Le but étant, bien sûr, de faciliter les échanges entre abonnés et de simplifier les interactions entre les services.
SIP assure le contrôle des transactions. Qualifié de protocole de signalisation par les experts, il gère l'ouverture et la fermeture des sessions de communication entre utilisateurs. Il couvre notamment les fonctions de localisation de l'émetteur et du récepteur, par un mapping des noms d'utilisateurs en adresses techniques réseau (à la manière des noms de domaine sur le Web pour les adresses IP des serveurs).

Il assure, dans ce cadre, la gestion des flux de données, de terminal à terminal (peer-to-peer). Il prend également en charge l'orchestration des sessions, le processus d'établissement des caractéristiques de connexion (audio ou vidéo) et la gestion des appels (transfert, gestion multiple, etc.).

 

Quid de la sécurité ?

 

L'accès aux services est très facile. Il suffit à l'utilisateur de s'enregistrer selon son ou ses profil(s). D'où de multiples risques : écoute, fraude, destruction, usurpation d'identité, piratage... Lorsque les utilisateurs envoient des messages sur des comptes, ils exposent le réseau aux virus et peuvent mettre en danger la confidentialité des données.
L'authentification des accès mobiles aux services doit être forte. Les abonnés mobiles, ne faisant aucune distinction entre le réseau et les services, attendent un niveau d'authentification identique à celui qu'ils connaissent avec la carte SIM.
La licence mobile exige une authentification forte mais les services que nous évoquons sont convergents. Or, la téléphonie fixe ne demande pas d'authentification forte. Une plate-forme acceptant des accès en authentification faible et des accès en authentification forte est vulnérable. L'authentification forte sur les accès fixes s'impose donc, avec sa complexité inhérente.

 

Il est souhaitable que les flux soient cryptés et les sessions contrôlées par l'opérateur. Les règlements et la loi (LCEN, éventuelles réquisitions judiciaires) rendent obligatoires la conservation des traces des connexions et des sessions des abonnés. Sur demande des autorités, l'opérateur doit pouvoir intercepter le trafic. Le contrôle des sessions des abonnés nécessite la centralisation des flux sur le réseau de l'opérateur, ce qui est contraire à l'esprit du protocole SIP. Ce protocole a été conçu pour minimiser les contraintes sur le réseau et favoriser les échanges par une relation directe - peer-to-peer - entre abonnés. Or, c'est une ingénierie de centralisation et de contrôle des flux qui est mise en place pour faire face aux problématiques légales et sécuritaires. Le protocole de signalisation est également celui du réseau. Ce qui fragilise encore la sécurité du réseau. L'assimilation ‘protocole de signalisation réseau et services' et ‘protocole d'échanges de données' (SIP permet l'envoi de données utilisateurs) est à l'origine de problèmes de fraude, de spam, etc.

 

Quelques règles à observer

 

Les vulnérabilités d'IMS et de SIP obligent une prise en compte structurée et proactive de la sécurité. Pour résumer les principaux axes de sécurité à respecter, je citerai :
 L'accès de l'abonné au réseau IMS avec authentification forte
 La sécurité du réseau : architecture et hébergement, contrôle des sessions, règles de sécurité à l'interconnexion
 L'accès aux services IMS : interaction du cœur IMS avec les AS, les accès « usercare/selfcare »
 Les règles de sécurité systèmes et applicatives
 Le management et les flux techniques : OMC, taxation, provisionning
 Les obligations légales : réquisitions, interception, appels d'urgence
 Les traces

 

Cette approche est à compléter par une démarche de sécurisation opérationnelle aboutissant à la mise en pratique de règles de sécurité :
 Des règles et/ou recommandations générales applicables pour tout service IMS et pour tout mode d'accès au réseau IMS
 Une déclinaison opérationnelle en règles d'ingénierie

Alcatel Lucent, Ericsson, Siemens, Nortel... figurent parmi les constructeurs les plus actifs dans ce domaine. Cependant la prise en compte de la sécurité reste théorique ; d'où une vigilance particulière et une implication importante à manifester lors des phases de design, de déploiement et d'exploitation.

 

* I-TRACING est une société française dans le domaine de la traçabilité des informations, de la gestion des preuves et de la sécurité. Elle intervient sur toutes les déclinaisons de la traçabilité de l'information et propose des prestations à valeur ajoutée de conseil, d'audit, d'investigation, de formation, d'ingénierie et d'infogérance.

SQ 250-300

Les 10 derniers articles mis en ligne