Searching...

Comment puis-je protéger mon entreprise contre la fraude liée aux interurbains?

Le vol de service interurbain et de services de télécommunications ainsi que la fraude téléphonique prennent de nombreuses formes. Bien comprendre votre système de télécommunications et les techniques utilisées par les criminels vous permettra de réduire le risque d’être victime de ce type de crime.

Allstream exerce en permanence une surveillance de son réseau en vue de répondre à ses propres besoins en termes d’efficacité et de productivité. Si, dans le cadre de cette surveillance, Allstream détecte des modèles de trafic suspects concernant les lignes ou les services d’un client, qui peuvent être le signe que des activités de piratage ou de fraude liée aux interurbains sont en cours, Allstream prendra des mesures raisonnables sur le plan commercial en vue d’atténuer le risque de perte financière pour le client.

Ces mesures peuvent prendre les formes suivantes :

  • Un avis envoyé au client ou à son représentant Allstream.
  • La suspension temporaire d’une partie ou de la totalité des services interurbains jusqu’à ce que l’équipement installé chez le client (« équipement CPE ») soit suffisamment sécurisé. Dans des cas extrêmes, la suspension peut avoir lieu sans le consentement direct du client.
  • Une consultation accordée au client quant aux pratiques exemplaires susceptibles de sécuriser son équipement CPE.

    Le client est entièrement responsable de tous les appels provenant de ses lignes, de ses services et de son équipement CPE, peu importe qui les effectue. Si l’équipement CPE fait l’objet d’un piratage, le client reconnaît et accepte par les présentes que ledit piratage résulte d’une lacune ou d’une faiblesse de l’équipement CPE, et non d’une mesure prise par Allstream ou de l’inaction d’Allstream. Le client accepte l’entière responsabilité de la maintenance et de la sécurité de son propre équipement CPE, y compris la gestion adéquate des mots de passe et la restriction des appels internationaux, faits avec l’aide d’un téléphoniste ou occasionnels (1010) superflus, sauf indication contraire dans le contrat. Le client accepte donc l’entière responsabilité des appels, et de tous les frais occasionnés par ces appels, qui sont attribuables à une atteinte quelconque à la sécurité de son équipement CPE.

    Allstream n’est responsable d’aucuns frais résultant d’une fraude liée aux interurbains ou d’actes de piratage. De plus, Allstream n’accepte aucune responsabilité relativement à ses activités de surveillance du réseau et de prévention de la fraude. La détection de tout incident de nature frauduleuse et toute mesure prise par la suite par Allstream ou tout avis envoyé par elle visent uniquement à bonifier le service offert au client et ne découlent aucunement d’une obligation quelconque d’Allstream en vertu d’un contrat entre elle et le client. Les activités de surveillance du réseau ne doivent en aucun cas être interprétées comme l’acceptation par Allstream d’une responsabilité de sa part à l’égard d’incidents de nature frauduleuse ou d’actes de piratage liés aux interurbains ainsi que de tous frais découlant de tels incidents ou actes, et Allstream réfute totalement une telle interprétation.

Renseignez-vous sur votre système de télécommunications

  • Familiarisez-vous avec les mesures de protection, les mécanismes de défense et les caractéristiques de sécurité
  • Identifiez les failles
  • Assurez-vous que le personnel connaît bien les mesures de protection et les procédures
  • Évaluez les anciens systèmes, et remplacez-les ou mettez-les à niveau au besoin

Sachez quelles voies d’accès ouvrent la porte à la fraude

  • Routeurs IP
  • Ports/accès ouverts/publics
  • Système de messagerie vocale
  • Mots de passe simples
  • Accès direct au système (ADAS)
  • Administration à distance du système (ports de maintenance)
  • Sélection directe à l’arrivée (SDA)
  • Lignes de jonction et services de réseau de transit
  • Modems
  • Employés

Surveillez et analysez l’information concernant vos systèmes

  • Consultez les enregistrements des données d’appel et les données de facturation (les rapports d’exception peuvent contenir des indices révélateurs)
  • Établissez vos propres habitudes d’appel et analysez-les
  • Consultez les rapports du système de messagerie vocale
  • Exécutez des rapports sur les accès IP pour déceler les tentatives d’accès non autorisé à votre système téléphonique IP
  • Surveillez les tentatives d’appel valides et non valides, dans la mesure du possible
  • Examinez votre facture de téléphone

Sachez reconnaître les signes d’une atteinte à la sécurité

  • Plaintes concernant des lignes toujours occupées
  • Changement soudain des habitudes d’appel, par exemple l’augmentation du nombre de faux numéros, de communications rompues sans parler, d’appels effectués la nuit, la fin de semaine ou les jours fériés, d’appels 800 et WATS, d’appels internationaux ou bizarres (mauvaises plaisanteries/obscénités)
  • Appels interurbains provenant de la messagerie vocale
  • Longues durées d’attente
  • Appels 900 (lignes de bavardage) inexpliqués
  • Nombre élevé d’interurbains provenant d’un poste non autorisé

Si vous avez un système IP

Installez des pare-feu

  • Matériels ou logiciels – inspection du trafic réseau; refus/autorisation du passage en fonction de règles.
  • Les pare-feu sont extrêmement importants; si le PBX connecté au réseau n’est pas protégé par un pare-feu, il sera piraté.
  • L’accès Web/SSH devrait uniquement être accordé selon le principe de la liste blanche.
  • Le trafic SIP doit être surveillé par un programme, qui bannit automatiquement les adresses IP effectuant un balayage SIP de l’équipement pour détecter des accès.
  • De nos jours, la plupart des systèmes IP PBX comportent des programmes de sécurité IP; si ce n’est pas le cas, demandez à votre fournisseur s’il peut vous en fournir ou vous en recommander.

Systèmes PBX connectés au réseau

  • Assurez-vous que la version du logiciel du PBX est actuellement prise en charge à long terme et que des correctifs de sécurité sont régulièrement développés pour elle. Assurez-vous également que le système central est mis à jour et que des correctifs y sont appliqués pour remédier à toutes les vulnérabilités découvertes et publiées.
  • Si votre version du logiciel n’est plus prise en charge, mettez-là à jour ou migrez vers une version plus récente, sans quoi vous n’obtiendrez plus de correctif de sécurité pour les failles actuelles et futures.
  • Dans les situations où les renvois se font sans que les appels soient affichés dans l’interface graphique d’administration du PBX, vérifiez la base de données du système téléphonique.
  • Repérez la section qui traite des renvois d’appels pour relever les numéros ou les adresses susceptibles d’avoir fait l’objet d’un renvoi. Les pirates camoufleront leurs renvois d’appels dans la base de données, que la plupart des gens ne vérifient jamais.
  • Envisagez sérieusement de faire appel à un professionnel certifié pour toute installation, maintenance ou vérification de sécurité.
  • Ne permettez pas l’accès public au système. L’accès doit toujours se faire au moyen d’un RPV contrôlé par une authentification multifactorielle.
  • L’accès à partir d’adresses IP et de ports publics devrait seulement être accordé selon le principe de la liste blanche.

Quand des systèmes PBX connectés au réseau sont piratés

  • Si l’interface Web est exposée à l’Internet public, la complexité du mot de passe à entrer pour y ouvrir une session n’a aucune importance; les pirates n’ont qu’à exploiter le code de l’interface pour y accéder, puis ils essaieront tous les mots de passe possibles.
  • En cas d’atteinte à la sécurité, il pourrait être nécessaire de rebâtir le système à neuf, ce qui peut comprendre le formatage du disque ou le téléchargement d’une image du système, si vous avez une copie de sauvegarde fiable.

Conseils pour tous les systèmes

Configuration du système

  • Utilisez des codes comptables pour tous les appels interurbains ou, à tout le moins, les appels coûteux (internationaux, aux Caraïbes).
  • Utilisez des codes d’autorisation et des mots de passe générés aléatoirement, de la longueur maximale.
  • Désactivez tous les codes d’autorisation non attribués.
  • N’utilisez aucun code d’autorisation générique ou de groupe.
  • Limitez l’accès à des périodes précises (pendant les heures de bureau). Bloquez tous les interurbains faits la nuit, la fin de semaine et les jours fériés.
  • Limitez les chaînes de composition non requises au niveau du PBX.
  • Limitez le renvoi aux appels locaux, ou idéalement, désactivez-le complètement.
  • Bloquez tous les appels faits avec l’aide du téléphoniste (0+), les conférences téléphoniques, les conférences à trois et les appels utilisant l’indicatif 10XXXX en provenance de votre PBX si vous n’avez pas besoin de ce service.
  • Bloquez le service outre-mer, limitez-en l’accès ou exigez l’assistance du standardiste.
  • Adoptez des politiques précisant dans quels cas il est possible d’accepter les appels à frais virés et de fournir l’accès aux lignes externes.
  • Informez les téléphonistes et les employés sur l’« ingénierie sociale » (ruses de fraudeurs qui tentent d’obtenir l’accès au système téléphonique ou le transfert d’appels par l’intermédiaire du PBX).
  • Assurez la sécurité des salles d’équipement (verrouillez l’accès à l’équipement téléphonique et aux armoires de répartition).
  • Procédez périodiquement à des vérifications de sécurité pour déceler des failles dans le PBX.
  • Vérifiez et modifiez fréquemment tous les codes actifs.
  • Limitez les appels sans frais en provenance d’endroits qui ne sont pas nécessaires à vos activités (vous devrez probablement en faire la demande à votre télécommunicateur).
  • N’autorisez pas les appels par intercommunication.
  • Éliminez la capacité de transfert entre circuits.
  • Limitez tous les appels à des numéros 900, 976 et 950 et au 4-1-1.
  • Limitez toutes les possibilités de joindre une ligne externe (intercommunication) dans votre système de messagerie vocale.
  • Envisagez d’autoriser uniquement les appels internationaux effectués par l’intermédiaire d’un standardiste.
  • Analysez régulièrement les détails des appels pour déceler toute activité inhabituelle.
  • Désactivez l’ADAS (accès direct au système) si possible. Autrement, utilisez le nombre maximal de chiffres pour le code ADAS.
  • Désactivez les boîtes vocales et les codes ADAS non attribués.
  • Pour combattre l’ingénierie sociale, assurez-vous que les numéros de téléphone pour l’administration et la maintenance du système sont sélectionnés aléatoirement, ne sont pas publiés et ne suivent pas la séquence normale des autres numéros d’affaires.
  • Utilisez plusieurs niveaux de sécurité pour l’accès aux fonctions de maintenance.
  • N’autorisez pas un nombre illimité de tentatives d’ouverture de session pour accéder au système. Programmez le PBX pour désactiver l’accès après trois tentatives infructueuses.
  • Activez la fonction de verrouillage du système de la messagerie vocale; ainsi, seules x tentatives d’entrée d’un mot de passe seront autorisées avant que l’utilisateur soit verrouillé à l’extérieur du système.
  • Surveillez les activités de renvoi d’appel.
  • Déchiquetez tous les documents comportant des numéros, des mots de passe ou des codes d’accès au PBX.
  • Ne divulguez aucune information sur le système à moins de connaître la personne avec qui vous communiquez.
  • Testez tous les menus vocaux du PBX pour vous assurer qu’ils ne permettent aucun acheminement vers des lignes extérieures ou des systèmes internes ou y donnent accès.
  • Envoyez des courriels à tous les employés pour leur rappeler de changer périodiquement le mot de passe de leur boîte vocale.
  • Modifiez fréquemment les codes/mots de passe par défaut des boîtes vocales.
  • N’utilisez pas de mots de passe « alphabétiques » qui épellent des mots ou des noms communs.
  • Supprimez/modifiez tous les mots de passe par défaut.
  • Désactivez immédiatement les mots de passe et les codes d’autorisation des employés qui quittent l’entreprise.
  • Modifiez tous les mots de passe lorsqu’il y a des changements de personnel.
  • Supprimez tous les accès aux boîtes vocales et aux courriels des ex-employés.

Systèmes de messagerie vocale

  • Adoptez des procédures pour la création et la modification des mots de passe.
  • Modifiez les mots de passe régulièrement; LA PLUPART DES SYSTÈMES INTÈGRENT DES FONCTIONS OBLIGEANT LA MODIFICATION DES MOTS DE PASSE.
  • Utilisez des mots de passe de longueur maximale pour la boîte du gestionnaire du système et les ports de maintenance.
  • Interdisez l’utilisation de mots de passe trop simples (p. ex. 222, 123, nom de famille, numéro LOCAL, etc.).
  • Limitez le nombre de tentatives de connexion infructueuses consécutives à trois ou moins.
  • Modifiez tous les mots de passe par défaut.
  • Bloquez l’accès aux circuits du service interurbain et les options d’appel à frais virés de la fonction de réception automatique.
  • Bloquez ou, idéalement, supprimez toutes les boîtes vocales inactives.
  • Limitez l’envoi de messages hors système.
  • Si le système permet à un appelant de réacheminer son appel vers un autre poste, bloquez tous les chiffres qu’un pirate pourrait utiliser pour obtenir une ligne externe, plus particulièrement les codes d’accès aux circuits.
  • Effectuez des vérifications de routine de l’état et de l’utilisation de votre système.

Politique d’Allstream en matière de fraude liée aux interurbains »

Was this article helpful?

Yes No

Related Articles