III.2.1.2 SUIVI DES APPELS
Appelé aussi Call tracking, cette attaque se fait au
niveau du réseau LAN/VPN et cible les terminaux (soft/hard phone). Elle
a pour but de connaître qui est en train de communiquer et quelle est la
période de la communication. L'attaquant doit récupérer
les messages INVITE et BYE en écoutant le réseau et peut ainsi
savoir qui communique, à quelle heure, et pendant combien de temps.
Pour réaliser cette attaque, L'attaquant doit
être capable d'écouter le réseau et récupérer
les messages INVITE et BYE.
72
III.2.1.3 INJECTION DES PAQUETS RTP 13
Cette attaque se fait au niveau du réseau LAN/VPN. Elle
cible le serveur register, et a pour but de perturber une communication en
cours.
L'attaquant devra tout d'abord écouter un flux RTP de
l'appelant vers l'appelé, analyser son contenu et générer
un paquet RTP contenant un en-tête similaire mais avec un plus grand
numéro de séquence et timestamp, afin que ce paquet soit
reproduit avant les autres paquets (s'ils sont vraiment reproduits). Ainsi, la
communication sera perturbée et l'appel ne pourra pas se dérouler
correctement.
Pour réaliser cette attaque, l'attaquant doit
être capable d'écouter le réseau afin de repérer une
communication ainsi que les timestamps des paquets RTP. Il doit aussi
être capable d'insérer des messages RTP qu'il a
généré ayant un timestamp modifié.
III.2.1.4 LES SPAMS
Trois formes principales de Spams sont jusqu'à maintenant
identifiés dans SIP:
? Call Spam : Ce type de spam est
défini comme une masse de tentatives d'initiation de session (des
requêtes INVITE) non sollicitées. Généralement,
c'est un UAC (User Agent Client) qui lance, en parallèle, un grand
nombre d'appels. Si l'appel est établi, l'application
génère un ACK, rejoue une annonce préenregistrée,
et ensuite termine l'appel.
? IM (Instant Message) Spam
: Ce type de spam est semblable à celui de l'e-mail. Il est
défini comme une masse de messages instantanés non
sollicitées. Les IM spams sont pour la plupart envoyés sous forme
de requête SIP. Ce pourraient être des requêtes INVITE avec
un entête « Subject » très grand, ou des requêtes
INVITE avec un corps en format texte ou HTML.
Bien-sûr, l'IM spam est beaucoup plus intrusif que le
spam e-mail, car dans les systèmes actuels, les IMs apparaissent
automatiquement sous forme de pop-up à l'utilisateur.
? Presence Spam : Ce type de spam est
semblable à l'IM spam. Il est défini comme une masse de
requêtes de présence (des requêtes SUBSCRIBE) non
sollicitées. L'attaquant fait ceci dans le but d'appartenir à la
" white list " d'un utilisateur afin de lui envoyer des messages
instantanés ou d'initier avec lui d'autres formes de communications.
L'IM Spam est différent du Presence Spam du fait que ce dernier ne
transmet pas réellement de contenus dans les messages.
13David Endler et Mark Collier, Hacking Exposed VoIP:
Voice Over IP Security Secrets & Solutions, (McGraw-Hill/Osborne (c)
2007)
73
| 
