Une faille du PABX privé open source Asterisk, signalent les agents du FBI, serait actuellement exploitée par des pirates. Ce trou de sécurité donne la possibilité de transformer le central téléphonique VoIP en question en une véritable machine de guerre à composition téléphonique massive, dans le cadre d´une opération de vishing (phishing VoIP) (gageons que la Commission de Défense de la langue Française parlera de Tameçonnage, pour hameçonnage Téléphonique).
Non seulement les conséquences en terme de facturation peuvent être très graves -tous les opérateurs VoIP n´assurent pas les mêmes tarifs selon la destination d´appel- mais encore faut-il redouter un impact assez fort sur l´image de marque de l´entreprise victime. En effet, c´est l´identifiant de l´appelant qui sert de blanc-seing à toutes ces communications pirates.
Pis encore, rien n´interdit d´imaginer le scénario diabolique suivant :
* Un roi du phishing expédie quelques milliards de pourriels signalant une compromission de compte. De plus amples renseignements sont disponibles sur www. credit-populaire d´épargne.fr (encore lui !)
* Sur le site en question, nulle demande de mot de passe, nulle incitation à livrer le moindre numéro de compte. Mais un champ de saisie, précédé par un « indiquez vos noms, prénoms et numéro de téléphone -portable y compris- où notre conseiller financier pourra vous joindre en toute confidentialité »…
* Sur la base de cet annuaire alimenté par les victimes, relais est donné au vecteur de vishing qui appellera directement le « client ». Et lui demandera, de manière préliminaire, les numéros de carte bancaire, code cryto et date d´expiration, de ses cartes de crédit. Autant de données numériques qu´il est simple d´entrer via un clavier de terminal téléphonique. Clavier qui, bien des enquêtes conduites par le FBI le prouvent, inspire plus confiance que la voix d´un éventuel correspondant. Une forme de crédit aveugle en la technologie, en quelques sortes.
