https://tuxicoman.jesuislibre.net/2019/07/confidentialite-des-communications-par-sip.html
Ces lignes utilisent le protocole SIP. Or il n’est jamais indiqué que ces lignes ne sont pas sécurisées… ce qui est problématique quand les communications passent par le Wifi et Internet.
En effet le protocole SIP ne chiffre ni l’authentification au service, ni les communications.
En analysant avec Wireshark les communications entre le client SIP natif d’Android et les serveurs d’OVH j’ai pu récolter :
mon numéro de téléphone
le numéro de mes correspondants
mon login SIP OVH
mon mot de passe hashé
les communications audio (on peut les sortir au format Wav)
C’est donc très dangereux de communiquer des informations confidentielles par cette ligne téléphonique quand on est connecté au réseau Wifi chez quelqu’un d’autre par exemple. Encore pire, on peut utiliser les identifiants pour se faire passer pour quelqu’un d’autre ou faire payer ses communications à sa place.
A mon avis, ce sont des problèmes importants qui devraient figurer sur la présentation d’un produit VOIP à destination des professionnels pas forcément informaticiens.
J’ai fait part de mes observations au service support d’OVH qui m’a répondu :
Le résultat obtenu est en effet dû au protocole SIP qui n’est pas chiffré. Nous indiquons que le protocole utilisé est le protocole SIP, si nous utilisions un protocole avec chiffrage nous le mettrions en avant. Les entreprises sont aussi équipés de firewall ou de VPN. Nous ne mettons pas en avant les informations indiquant la non présence de chiffrage car cela pourrait indiqué à de potentiel « pirates » de vouloir le faire si l’information de non-chiffrage leur était indiquée.
Mon ressenti est plutôt qu’OVH omet de parler de la sécurité des communications parce que ça l’arrange bien coté business. « SIP » n’est écrit que 2 fois sur la présentation du produit contre 14 fois pour « VOIP », cela montre qu’on s’adresse à des néophytes et non des techniciens.
La page d’aide « Sécuriser sa ligne SIP OVH » n’aide pas à sécuriser les communications mais à limiter le hors forfait qui arriverait si quelqu’un récupérait vos identifiants
J’écris donc cet article afin d’éclairer les utilisateurs sur la problématique et les invite à prendre leur précautions pour chiffrer (ZRTP, TLS) leurs conversations confidentielles.
Or le fait que le serveur SIP d’OVH ne supporte pas les connexions par TLS est problématique…