⚠️ Une facture téléphonique de 15 000 $ en une fin de semaine. C'est ce qu'a vécu une PME de Montréal en 2024 après une attaque de fraude VoIP (toll fraud). La sécurité VoIP n'est pas optionnelle — c'est une responsabilité d'affaires. Voici les 7 menaces les plus courantes et comment les neutraliser.
La sécurité VoIP : un enjeu souvent négligé
Contrairement aux lignes téléphoniques traditionnelles qui transitent sur un réseau fermé, la VoIP utilise votre réseau Internet — ce qui l'expose aux mêmes risques que tous vos autres systèmes informatiques. La différence : une brèche dans votre système VoIP peut générer des milliers de dollars de frais d'appels frauduleux en quelques heures.
4,7 Mds$
pertes mondiales dues à la fraude télécom en 2024
72%
des PME touchées ignoraient qu'elles étaient vulnérables
48h
délai moyen avant de détecter une attaque toll fraud
Les 7 menaces VoIP que vous devez connaître
Un attaquant accède à votre PBX ou à vos comptes SIP et génère des milliers d'appels vers des numéros surtaxés internationaux, souvent durant les nuits et les fins de semaine quand personne ne surveille.
💸 Impact financier potentiel : De 500 $ à 50 000 $ en quelques jours. Dans la plupart des cas, votre fournisseur vous facture ces appels même si vous n'en êtes pas l'auteur.
Si vos communications VoIP ne sont pas chiffrées, un attaquant sur le même réseau peut capturer et écouter vos appels. Particulièrement dangereux pour les communications confidentielles (appels avec clients, négociations, RH).
🔍 Impact : Fuite d'informations confidentielles, violation de la Loi 25 (Québec) sur la protection des données personnelles.
Des attaquants usurpent l'identité d'employés de banque, du gouvernement ou de fournisseurs pour soutirer des informations sensibles par téléphone. La VoIP facilite la falsification de l'identifiant d'appelant (caller ID spoofing).
🎭 Impact : Fraude financière, vol d'identité, compromission de données d'entreprise.
Un flood de paquets SIP malformés peut saturer votre PBX et rendre toutes vos lignes téléphoniques inutilisables. Pour une entreprise dépendante du téléphone (service client, ventes), chaque heure d'interruption coûte cher.
⏱ Impact : Interruption totale de service, perte de clients, atteinte à la réputation.
Les bots de scan Internet testent en permanence les systèmes VoIP exposés avec des listes de mots de passe courants. Un mot de passe comme "1234", "admin" ou le numéro de poste lui-même est piraté en quelques secondes.
🔓 Impact : Vecteur d'entrée pour la fraude, l'écoute ou le sabotage.
Trop de systèmes PBX ont leur interface web d'administration accessible directement depuis Internet, sans protection supplémentaire. C'est l'équivalent de laisser la porte d'entrée de votre serveur grande ouverte.
🚪 Impact : Accès complet à la configuration du PBX, modification des routes d'appels, extraction de données.
Les applications softphone installées sur les ordinateurs (3CX Desktop App, Linkus, etc.) peuvent être compromises si le poste de travail est infecté par un malware. En 2023, une attaque de supply chain a compromis l'application 3CX.
💻 Impact : Enregistrement des appels, vol de credentials, propagation latérale sur le réseau.
Comment protéger votre système VoIP : les bonnes pratiques
🔐
Activer le chiffrement SRTP et TLS
SRTP chiffre le contenu des appels. TLS chiffre la signalisation (qui appelle qui, quand). Ces deux protocoles doivent être activés sur votre PBX ET sur vos téléphones IP. Yeastar et 3CX supportent les deux nativement.
🌐
Déployer un pare-feu SIP dédié
Un pare-feu applicatif (SBC — Session Border Controller) inspecte tout le trafic VoIP entrant et sortant, bloque les scans et les attaques avant qu'elles n'atteignent votre PBX.
🔑
Politique de mots de passe robustes
Minimum 12 caractères, alphanumériques + spéciaux pour tous les comptes SIP et l'interface admin. Changez-les lors de chaque départ d'employé. N'utilisez jamais le numéro de poste comme mot de passe.
📊
Limites d'appels et alertes anti-fraude
Configurez des limites de durée et de volume d'appels par poste. Activez les alertes automatiques si un poste dépasse ses limites habituelles. La plupart des attaques toll fraud peuvent être stoppées en moins d'une heure avec ce système.
🛡️
Fail2Ban et liste blanche IP
Configurez Fail2Ban pour bloquer automatiquement les adresses IP qui tentent de se connecter à votre système PBX plusieurs fois sans succès. Idéalement, limitez l'accès admin à des adresses IP connues.
🔄
Mises à jour régulières du firmware
Les mises à jour de sécurité de Yeastar, 3CX et des téléphones IP corrigent des vulnérabilités critiques. Un système non mis à jour est une cible facile. Planifiez une fenêtre de maintenance mensuelle.
Votre système VoIP est-il sécurisé?
Nous offrons un audit de sécurité VoIP gratuit pour identifier vos vulnérabilités avant qu'un attaquant ne le fasse.
Audit sécurité gratuit →
Liste de vérification : sécurité VoIP minimale
✅ Votre liste de contrôle sécurité VoIP
- Chiffrement SRTP activé sur tous les appels
- Chiffrement TLS activé sur la signalisation
- Mots de passe complexes sur tous les comptes SIP
- Interface admin PBX non exposée sur Internet public
- VPN ou whitelist IP pour l'accès administrateur
- Limites d'appels configurées par poste et par heure
- Alertes automatiques en cas d'activité anormale
- Firmware PBX à jour (vérification mensuelle)
- VLAN séparé pour le trafic voix
- Accès désactivé pour les destinations à risque (numéros surtaxés internationaux)
- Plan de réponse en cas de fraude documenté
💡 Rappel important — Loi 25 (Québec)
La Loi modernisant des dispositions législatives en matière de protection des renseignements personnels oblige les entreprises québécoises à protéger les données de leurs clients, y compris les enregistrements d'appels. Un système VoIP non sécurisé pourrait constituer une violation de cette loi.