les API, nouveau risque majeur pour les applications de communications sur IP ?

L’intégration de plus en plus forte de la téléphonie avec les solutions IT a poussé les éditeurs à offrir de plus en plus de possibilités aux clients, intégrateurs, partenaires en ouvrant des API (Application Programming Interface) permettant de piloter les systèmes de communications sur IP.

la sécurité, c'est aussi pour les API

Si l’on adopte un point de vue fonctionnel, cette approche est porteuse de valeur et ne peut qu’être saluée. Malheureusement, ces ouvertures ne sont pas toujours réalisées avec le minimum de sécurité nécessaire.

Cet état de fait pourrait se trouver minimisé à la portion congrue, si la documentation des API évoquées n’était pas facilement accessible avec le SDK associé. La réunion des deux permet à tout technophile d’étudier les possibilités du système et éventuellement de pouvoir le piloter.

un exemple pratique

Pour aborder la question sous un angle pratique, au lieu de mettre en place un renvoi sur une messagerie vocale en piratant le compte utilisateur, il pourrait suffire de placer le renvoi sur le poste en paramétrant ce dernier via les API. Si le système n’est pas sécurisé, il peut même y avoir discussion sur la notion de pénétration… Réflexion qui peut être valable d’un point de vue technique, mais certainement très discutable sur une base juridique.

Le cas évoqué ci-dessus ne couvre qu’une possibilité parmi d’autres. Il pourrait ainsi être tout à fait envisageable d’avoir des pertes de confidentialité avec des appels en tiers sans signalement ou des mises en conférence sauvage.

ma conclusion

L’accès aux API de ces systèmes se doit donc d’être sécurisé au minimum avec une authentification (et toutes les bonnes règles en découlant). Il sera encore plus intéressant d’étudier les possibilités de restriction de fonctionnalités par profil ou encore la mise en œuvre de chiffrement sur les différents flux qui pourraient être échangés.

Comme toujours, ce travail peut sembler bien lourd alors que l’apport fonctionnel sera douteux. C’est l’éternelle histoire de la sécurité. Néanmoins, mettre ces quelques jours de travail en rapport avec les pertes qui peuvent être engendrées sur des fraudes me semble remettre la question dans un cadre plus réaliste : quelques milliers d’euros représentant le temps de travail des experts pour couvrir un risque récurent de plusieurs dizaines de milliers d’euros. A vous de choisir.

Cedric

crédit photo : © allapen - Fotolia.com

Cedric Baillet

Membre actif de la communauté sécurité d'orange Business Services, je suis aujourd'hui en charge, au sein de l'équipe marketing « sécurité »,  de la bonne prise en compte de la sécurité dans nos offres traitant des communications sur IP, et cela du mode cloud à l'intégré classique. Un large périmètre pour rencontrer des problématiques complexes sur le plan technique comme sur le plan organisationnel. Bref, un océan de motivation pour toute personne qui marche  au challenge et à l'envie d'apprendre.