Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
S’APPLIQUE À :
Édition d’abonnement 2015 2019
Étant donné que Skype Entreprise Server est un système de communication de classe entreprise, vous devez connaître les attaques de sécurité courantes susceptibles d’affecter son infrastructure et ses communications.
Attaques par clé compromise
Une clé est un code ou un nombre secret utilisé pour chiffrer, déchiffrer ou valider des informations confidentielles. Il existe deux clés sensibles utilisées dans l’infrastructure à clé publique (PKI) qui doivent être prises en compte :
la clé privée que possède chaque détenteur de certificat ;
la clé de session, utilisée après l’identification et l’échange de clé de session entre les partenaires communiquant entre eux.
Une attaque par clé compromise se produit lorsqu’un intrus parvient à identifier la clé privée ou la clé de session. Lorsque l’intrus parvient à déterminer la clé, il s’en sert pour déchiffrer des données chiffrées, à l’insu de l’expéditeur des données.
Skype Entreprise Server utilise les fonctionnalités PKI du système d’exploitation Windows Server pour protéger les données de clé utilisées pour le chiffrement des connexions TLS (Transport Layer Security). Les clés utilisées pour le chiffrement multimédia sont échangées via des connexions TLS.
Attaque réseau par déni de service
L’attaque par déni de service se produit lorsque l’agresseur empêche l’utilisation normale du réseau et la fonctionnement par des utilisateurs valides. Pour ce faire, elle inonde le service avec des demandes légitimes qui submergent l’utilisation du service par les utilisateurs légitimes. Lors d’une attaque de ce type, la personne malveillante peut :
envoyer des données non valides à des applications et des services exécutés sur le réseau faisant l’objet de l’attaque, afin de perturber leur exécution normale ;
envoyer un volume de trafic important, de manière à surcharger le système jusqu’à ce que celui-ci cesse de fonctionner ou nécessite beaucoup de temps pour répondre aux demandes légitimes ;
masquer les signes d’attaque ;
empêcher les utilisateurs d’accéder aux ressources réseau.
Attaque par écoute (Eavesdropping)
Une attaque par écoute peut se produire lorsqu’une personne malveillante parvient à accéder au chemin d’accès des données d’un réseau et qu’elle peut ainsi surveiller et lire le trafic. Cette attaque est également appelée reniflage (« sniffing ») ou surveillance (« snooping »). Si le trafic consiste en du texte simple, l’intrus peut lire le trafic lorsqu’il accède au chemin d’accès des données. Par exemple, une attaque peut être lancée en contrôlant un routeur sur le chemin de données.
La recommandation et le paramètre par défaut pour le trafic au sein de Skype Entreprise Server consiste à utiliser le protocole TLS (MTLS) mutuel entre les serveurs approuvés et TLS de client à serveur. Cette mesure de protection rend une attaque difficile ou impossible à réaliser pendant la période pendant laquelle une conversation donnée se produit. TLS authentifie toutes les parties et chiffre tout le trafic. Cela n’empêche pas les écoutes clandestines, mais l’attaquant ne peut pas lire le trafic, sauf si le chiffrement est rompu.
Le protocole TURN (Traversal Using Relay NAT) n’oblige pas le trafic à être chiffré et les informations qu’il envoie sont protégées par l’intégrité du message. Bien qu’il soit ouvert aux écoutes clandestines, les informations qu’il envoie (c’est-à-dire les adresses IP et le port) peuvent être extraites directement en examinant les adresses source et de destination des paquets. Le service Microsoft Edge A/V garantit que les données sont valides en vérifiant l’intégrité du message à l’aide de la clé dérivée de quelques éléments, y compris un mot de passe TURN, qui n’est jamais envoyé en texte clair. Si le protocole SRTP (Secure Real Time Protocol) est utilisé, le trafic multimédia est également chiffré.
Usurpation d’identité (usurpation d’adresse IP et d’ID d’appelant)
L’usurpation d’identité se produit lorsque l’attaquant détermine et utilise un numéro de téléphone d’un utilisateur valide (ID d’appelant) ou une adresse IP d’un réseau, d’un ordinateur ou d’un composant réseau sans être autorisé à le faire. Une attaque réussie permet à l’attaquant de fonctionner comme si l’attaquant était l’entité normalement identifiée par le numéro de téléphone (ID de l’appelant) ou l’adresse IP.
Dans le contexte de Skype Entreprise Server, l’usurpation d’adresse IP n’entre en jeu que si un administrateur effectue les deux opérations suivantes :
Connexions configurées qui prennent uniquement en charge le protocole TCP (Transmission Control Protocol) (ce qui n’est pas recommandé, car les communications TCP ne sont pas chiffrées).
marqué les adresses IP de ces connexions en tant qu’hôtes approuvés.
Ce problème est moins grave pour les connexions TLS (Transport Layer Security), car TLS authentifie toutes les parties et chiffre le trafic. L’utilisation du protocole TLS empêche une personne malveillante d’usurper une adresse IP sur une connexion spécifique (par exemple, les connexions Mutual TLS). Mais un attaquant peut toujours usurper l’adresse du serveur DNS que Skype Entreprise Server utilise. Toutefois, étant donné que l’authentification dans Skype Entreprise est effectuée avec des certificats, un attaquant n’aurait pas de certificat valide requis pour usurper l’une des parties dans la communication.
En revanche, l’usurpation de l’ID de l’appelant entre en jeu lorsque vous avez établi une jonction SIP entre un fournisseur, une passerelle RTC ou un autre système PBX et Skype Entreprise Server. Dans ce cas, Skype Entreprise Server n’offre aucune protection contre l’usurpation d’ID de l’appelant. Cela signifie qu’un utilisateur Skype Entreprise peut recevoir un appel à partir de la jonction SIP avec un ID d’appelant usurpé affichant le numéro de téléphone ou le nom complet (si la recherche inversée du numéro s’applique) d’un autre utilisateur Skype Entreprise. La protection doit être appliquée côté fournisseur, RTC ou passerelle PBX.
Attaque de l'homme du milieu
Une attaque de l’intercepteur se produit lorsqu’une personne malveillante redirige les communications entre deux utilisateurs via son propre ordinateur, à l’insu des deux participants. L’intrus peut surveiller et lire le trafic avant de l’acheminer vers le destinataire concerné. Chaque utilisateur de la communication envoie sans le savoir du trafic à et reçoit le trafic de l’attaquant, tout en pensant qu’il communique uniquement avec l’utilisateur prévu. Cela peut se produire si une personne malveillante modifie les services de domaine Active Directory pour ajouter son serveur en tant que serveur approuvé, ou si elle modifie DNS (Domain Name System) pour faire en sorte que les clients se connectent au serveur via l’ordinateur de l’intrus à l’origine de l’attaque. Une attaque de l’intercepteur peut également affecter le trafic multimédia entre deux clients. Toutefois, dans Skype Entreprise Server partage audio, vidéo et application point à point, les flux sont chiffrés avec SRTP, à l’aide de clés de chiffrement négociées entre les homologues qui utilisent le protocole SIP (Session Initiation Protocol) sur TLS. Les serveurs tels que le serveur de conversation de groupe utilisent le protocole HTTPS pour sécuriser le trafic.
Attaque par relecture RTP
Une attaque par relecture se produit lorsqu’une transmission multimédia valide entre deux correspondants est interceptée, puis retransmise à des fins malveillantes. SRTP utilisé avec un protocole de signalisation sécurisé protège les transmissions contre les attaques par relecture en permettant au récepteur de conserver un index des paquets RTP déjà reçus et de comparer chaque nouveau paquet avec ceux déjà répertoriés dans l’index.
SPIM
Spim est un message instantané commercial non sollicité ou une demande d’abonnement de présence. Bien qu’il ne soit pas de lui-même une compromission du réseau, il est pour le moins gênant, peut réduire la disponibilité et la production des ressources et peut conduire à une compromission du réseau. Par exemple, les utilisateurs se font du spimming mutuellement en envoyant des demandes. Les utilisateurs peuvent se bloquer pour empêcher cela, mais avec la fédération, si une attaque de spim coordonné est établie, cela peut être difficile à surmonter, sauf si vous désactivez la fédération pour le partenaire.
Virus et vers
Un virus est une unité de code dont l’objectif est de reproduire d’autres unités de code similaires. Pour fonctionner, un virus a besoin d’un hôte, par exemple un fichier, un e-mail ou un programme. Un ver est une unité de code dont l’objectif est de reproduire des unités de code supplémentaires similaires, mais il n’a pas besoin d’un hôte. Les virus et les vers apparaissent principalement lors des transferts de fichiers entre clients ou lorsque des URL sont envoyées par d’autres utilisateurs. Si vous avez un virus sur votre ordinateur, il peut, par exemple, utiliser votre identité et envoyer des messages instantanés en votre nom.
Informations d’identification personnelle
Skype Entreprise Server a le potentiel de divulguer des informations sur un réseau public qui pourraient être liées à un individu. Ces informations appartiennent à deux catégories :
Données de présence améliorées Les données de présence améliorées sont des informations qu’un utilisateur peut choisir de partager ou non via un lien vers un partenaire fédéré ou avec des contacts au sein d’un organization. Ces données ne sont pas partagées avec les utilisateurs sur un réseau de messagerie instantanée public. Les stratégies clientes et d’autres configurations client peuvent placer un certain contrôle auprès de l’administrateur système. Dans Skype Entreprise Server, le mode de confidentialité de présence améliorée peut être configuré pour un utilisateur individuel afin d’empêcher Skype Entreprise utilisateurs qui ne se trouvent pas dans la liste des contacts de l’utilisateur de voir les informations de présence de l’utilisateur. Le mode de confidentialité de présence améliorée n’empêche pas les utilisateurs de Microsoft Office Communicator 2007 et Microsoft Office Communicator 2007 R2 de voir les informations de présence d’un utilisateur. Pour plus d’informations sur le déploiement du client et de la présence, consultez Déployer des clients pour Skype Entreprise Server et Planifier la messagerie instantanée et la présence dans Skype Entreprise Server.
Données obligatoires Les données obligatoires sont requises pour le bon fonctionnement du serveur ou du client et ne sont PAS sous le contrôle du client ou de l’administration système. Ces informations sont nécessaires au niveau du serveur ou du réseau pour le routage, la maintenance de l’état et la signalisation.
Les tableaux suivants répertorient les données exposées sur un réseau public.
Données de présence enrichie
| Données divulguées | Paramètres possibles |
|---|---|
| Données personnelles |
Nom, Fonction, Société, Adresse électronique, Fuseau horaire |
| Numéros de téléphone |
Bureau, Mobile, Domicile |
| Informations de calendrier |
Disponibilité, Avis d’absence de la ville, Détails de la réunion (pour les personnes qui ont accès à votre calendrier) |
| Statut de présence |
Absent(e), Disponible, Occupé(e), Ne pas déranger, Hors connexion |
Données obligatoires
| Données divulguées | Exemples d’informations |
|---|---|
| Adresse IP |
Adresse réelle de l’ordinateur ou adresse traduite via NAT |
| URI SIP |
jeremylos@litwareinc.com |