La VoIP a véritablement le vent en poupe et les éditeurs de solutions de sécurité s’attendent à ce que les applications liées à cette technologie soient sous le feux d’attaques en 2008, compte tenu d’un nombre de vulnérabilités les affectant grandissant sans cesse. Mais à côté des attaques de type vishing (dérivé du traditionnel phishing adapté à la sauce VoIP) qui semblent surtout préoccupées les éditeurs comme McAfee, une menace est surtout redoutée par les entreprises où la VoIP à trouver sa place, le piratage des conversations.

Mauvaise nouvelle, Peter Cox, co-fondateur de BorderWare , s’offre un petit coup de projecteur avant de lancer sa nouvelle société en concevant un programme dévolu à cette tâche. En guise de logiciel en bonne et due forme, il s’agit cependant plus d’une preuve de concept tendant à démontrer que cette opération est presque à la portée de tous les cybercriminels. Baptisée SIPtap, l’application a été conçue suite à divers entretiens avec Phil Zimmerman, l’illustre créateur de PGP et dernièrement de Zfone , un logiciel offrant justement une protection contre SIPtap via le chiffrement des communications VoIP.

SIPtap est capable de contrôler plusieurs flux VoIP, de les écouter et de les enregistrer dans des fichiers .wav. Selon Cox qui s’est confié à nos confrères de Techworld , tout ce qu’un pirate aurait à faire est d’infecter une machine du réseau ciblé avec un cheval de Troie implémentant les fonctionnalités de SIPtap, et d’assurer que cela est également envisageable au niveau des fournisseurs d’accès. Parmi les autres possibilités offertes par SIPtap, le fait de pouvoir classer les enregistrements obtenus par utilisateur, par contenu ou même par date. Cox a ainsi été en mesure de récupérer des données utilisables sur un réseau test où SIPtap a fonctionné d’août dernier à novembre .

Avec SIPtap, Cox est donc parvenu à son but, démontrer que la technologie VoIP est vulnérable et que malheureusement, beaucoup trop de sociétés qui y ont recours pensent à tort qu’elles sont en sécurité alors qu’un simple troyen suffit à ébranler cette belle certitude. Le conseil de Peter Cox, faire preuve de la même vigilance lors de la construction d’un système de réseau VoIP que dans le cadre de celle d’un site Web.