Un serveur de téléphonie connecté à Internet est attaqué en permanence. Des robots scannent sans relâche les ports SIP à la recherche d’extensions mal protégées ; dès qu’ils en trouvent une, ils passent des milliers d’appels vers des numéros surtaxés à l’étranger. C’est le toll-fraud, et il peut transformer une facture mensuelle ordinaire en plusieurs millions de FCFA en une seule nuit. La bonne nouvelle : 3CX intègre des défenses solides, à condition de les activer et de les régler correctement. Ce tutoriel parcourt, étape par étape, les protections à mettre en place avant de considérer un système comme prêt pour la production.
Prérequis
- Un serveur 3CX V20 opérationnel avec accès administrateur.
- Un trunk SIP configuré (les restrictions sortantes portent sur lui).
- La liste des pays que votre organisation appelle réellement (pour l’Étape 2).
- Niveau : intermédiaire à avancé. Temps estimé : 45 minutes.
Comprendre les trois vecteurs d’attaque
Avant de configurer quoi que ce soit, il faut savoir par où passe l’attaquant. Le premier vecteur est la signalisation exposée : un port SIP ouvert au monde entier est une invitation au scan. Le deuxième est le mot de passe faible : une extension dont le mot de passe est identique au numéro, ou trivial, est cassée en quelques secondes par force brute. Le troisième est l’absence de restriction sur les destinations : même si un attaquant parvient à passer un appel, il ne peut nuire que s’il peut joindre des numéros internationaux coûteux. Chaque étape de ce tutoriel ferme l’un de ces vecteurs ; ensemble, elles forment une défense en profondeur où la faille d’une couche est rattrapée par la suivante.
Pourquoi la fraude téléphonique est si rentable pour l’attaquant
Comprendre l’économie de l’attaque aide à mesurer l’enjeu. Les fraudeurs exploitent un mécanisme légal détourné : les numéros à revenus partagés (« premium rate »). L’attaquant loue ou contrôle des numéros internationaux surtaxés, puis utilise un PBX compromis pour les appeler en masse. Chaque appel génère un revenu reversé au détenteur du numéro — c’est-à-dire l’attaquant lui-même. Plus l’appel dure et plus il y en a, plus il encaisse.
Les destinations privilégiées sont souvent des indicatifs lointains et rarement appelés par une entreprise ordinaire. Les attaques surviennent typiquement la nuit, le week-end ou pendant les jours fériés, quand personne ne surveille et que la fraude peut tourner pendant des heures avant d’être remarquée. Plusieurs appels en parallèle, multipliés par un tarif élevé à la minute, font grimper l’addition à une vitesse stupéfiante. C’est précisément pourquoi la restriction des destinations (Étape 2) est si décisive : elle s’attaque directement au modèle économique de l’attaquant. Sans destination coûteuse joignable, compromettre votre PBX ne rapporte rien, et l’effort d’attaque devient sans objet.
Étape 1 — Chiffrer la signalisation et le média
Le chiffrement n’empêche pas une attaque par force brute, mais il protège la confidentialité de vos appels et empêche un tiers d’observer ou de détourner votre trafic. 3CX génère automatiquement un certificat TLS reconnu lors de l’installation, à condition que votre nom de domaine pointe correctement vers le serveur. Vérifiez dans l’interface d’administration que le certificat est valide et non expiré : un cadenas vert dans le navigateur lors de l’accès au client web est le premier signe.
Côté postes, privilégiez le transport SIP sur TLS (port 5061) plutôt que le SIP en clair (5060), et activez le chiffrement du média en SRTP. Ainsi, la signalisation et la voix circulent chiffrées de bout en bout entre le poste et le serveur. Le surcoût en performance est négligeable sur un serveur correctement dimensionné, et le gain en confidentialité est considérable : sans chiffrement, quiconque capture le trafic réseau peut reconstituer une conversation.
Étape 2 — Restreindre les destinations sortantes
C’est la protection la plus efficace contre la fraude, et trop souvent négligée. La logique est simple : si vos utilisateurs n’appellent jamais certains pays, interdisez ces destinations purement et simplement. Même si un attaquant compromettait une extension, il ne pourrait pas composer les numéros surtaxés qui lui rapportent de l’argent.
3CX expose cette protection via la liste des indicatifs de pays autorisés (« Allowed Country Codes »), dans les paramètres de sécurité. Cette liste filtre les numéros composés au format international (commençant par « + » ou par le préfixe « 00 ») et ne laisse passer que les pays que vous cochez. Le réflexe à adopter : n’autoriser que les pays réellement appelés par votre activité, et laisser tous les autres bloqués par défaut. Si un besoin ponctuel surgit pour un nouveau pays, on l’ajoute en connaissance de cause.
Complétez cette restriction par des règles sortantes prudentes au niveau du trunk : un préfixe international qui n’est pas explicitement autorisé doit échouer, pas être routé « au cas où ». Cette double barrière — au niveau des indicatifs autorisés et au niveau des règles de routage — rend le scénario de surfacturation pratiquement impossible.
Étape 3 — Filtrer les adresses IP autorisées
Si vos postes et votre opérateur ont des adresses IP connues et stables, vous pouvez n’accepter la signalisation que de ces adresses. 3CX permet de créer des règles d’autorisation (Allow) et de refus (Deny) portant sur des adresses ou des plages d’adresses IP. La stratégie la plus sûre consiste à n’autoriser que les réseaux légitimes — le réseau local, les adresses de l’opérateur, celles des télétravailleurs identifiés — et à bloquer tout le reste.
Cette approche, dite « liste blanche », est radicale mais imparable lorsque les adresses sont prévisibles. Elle convient mal aux utilisateurs nomades dont l’adresse change constamment : pour ceux-là, on s’appuiera plutôt sur le contrôleur de session intégré et sur des mots de passe robustes. L’idéal est souvent un mélange : liste blanche pour les sites fixes et l’opérateur, et accès contrôlé pour les nomades.
Étape 4 — Activer la liste noire globale 3CX
3CX maintient une base centralisée d’adresses IP signalées comme malveillantes par l’ensemble des serveurs 3CX dans le monde. Chaque installation qui active cette option importe automatiquement cette liste à intervalle régulier (toutes les quelques heures) et bloque les adresses concernées avant même qu’elles ne tentent quoi que ce soit sur votre serveur. C’est une protection collective : une adresse repérée en train d’attaquer un serveur ailleurs est bloquée chez vous par anticipation.
Sur les nouvelles installations, cette liste noire globale est généralement activée par défaut. Vérifiez sa présence dans les paramètres de sécurité et confirmez qu’elle est active. C’est une défense passive qui ne coûte rien et bloque une part significative du trafic d’attaque automatisé avant qu’il n’atteigne vos extensions.
Étape 5 — Durcir les mots de passe des extensions
Une extension est aussi vulnérable que son mot de passe. 3CX génère par défaut des mots de passe longs et aléatoires pour les extensions ; la pire erreur consiste à les remplacer par des valeurs simples pour « se faciliter la vie ». Ne le faites jamais. Le provisionnement automatique transmet ces mots de passe complexes aux appareils sans que l’utilisateur ait à les connaître ou à les taper.
Vérifiez qu’aucune extension n’a un mot de passe identique à son numéro ou à une chaîne triviale. Pour les extensions qui n’ont pas besoin d’accès à distance, désactivez l’accès externe afin de réduire la surface d’attaque. Et lorsqu’un employé quitte l’organisation, désactivez immédiatement son extension : un compte oublié est une porte laissée ouverte.
Étape 6 — Réduire l’exposition réseau
La meilleure défense reste de ne pas exposer ce qui n’a pas besoin de l’être. Le port d’administration (5001 ou 443) ne devrait être accessible qu’aux adresses de confiance, jamais au monde entier : un attaquant qui ne peut même pas atteindre la page de connexion ne peut pas la forcer. De même, le SIP en clair sur 5060 peut souvent être désactivé au profit du seul SIP sur TLS.
Pour les déploiements plus exigeants, interposer un contrôleur de session en frontière — un SBC — ajoute une couche de filtrage avant que le trafic n’atteigne le PBX. Cette approche est détaillée dans le tutoriel placer un SBC Kamailio devant Asterisk ; le principe vaut quelle que soit la plateforme. Une autre option simple et robuste consiste à imposer un VPN aux télétravailleurs, de sorte que la téléphonie ne soit jamais directement exposée à Internet pour eux.
Étape 7 — Surveiller et réagir
Aucune défense n’est complète sans surveillance, car une attaque détectée tôt coûte infiniment moins cher qu’une fraude découverte sur la facture. 3CX journalise les tentatives d’authentification échouées et bannit automatiquement les adresses qui en accumulent. Consultez régulièrement le tableau de bord de sécurité et les journaux d’appels : un pic soudain d’appels sortants, surtout la nuit ou le week-end, est le signal d’alarme classique d’une fraude en cours.
Mettez en place un réflexe de revue hebdomadaire : parcourir les appels sortants les plus coûteux, vérifier qu’aucune destination inhabituelle n’apparaît, et confirmer que les bannissements automatiques fonctionnent. Sur un système bien réglé, ces vérifications prennent quelques minutes et offrent une tranquillité d’esprit sans commune mesure avec leur coût.
Au-delà de la revue manuelle, fixez avec votre opérateur un plafond de dépense ou un seuil d’alerte sur le trunk : beaucoup de fournisseurs proposent de bloquer ou de notifier automatiquement quand la consommation dépasse un montant inhabituel sur une courte période. C’est un filet de sécurité ultime qui limite les dégâts même si toutes les autres couches venaient à céder. Combinez-le avec une limite du nombre d’appels sortants simultanés par extension : un poste normal n’a aucune raison de passer dix appels internationaux en parallèle, et plafonner cette valeur étouffe une fraude dans l’œuf.
Enfin, documentez une procédure d’incident écrite et accessible : qui couper en premier, quel numéro d’opérateur appeler, où regarder dans les journaux. En situation de fraude active, chaque minute compte, et improviser coûte cher. Une feuille de route préparée à froid transforme la panique en réaction méthodique.
Erreurs fréquentes
| Erreur | Cause | Conséquence / Solution |
|---|---|---|
| Mot de passe d’extension simplifié | « Confort » d’administration | Force brute immédiate — conserver les mots de passe aléatoires |
| Tous les pays autorisés en sortie | Liste des indicatifs non restreinte | Fraude internationale possible — n’autoriser que les pays appelés |
| Port d’administration ouvert à tous | Pare-feu non restreint | Surface d’attaque inutile — limiter aux IP de confiance |
| SIP en clair laissé actif | Configuration par défaut conservée | Écoute possible — privilégier TLS/SRTP |
| Extension d’un ex-employé active | Oubli de désactivation | Compte orphelin exploitable — désactiver au départ |
Tutoriels associés
- En amont : configurer un trunk SIP sur 3CX V20 et provisionner les postes.
- Pour la frontière réseau : placer un SBC Kamailio devant Asterisk.
Pour aller plus loin
- Retour au guide : Téléphonie IP avancée : 3CX, Issabel et softphones WebRTC.
- Documentation officielle : 3CX — autoriser/refuser des adresses IP.
Questions fréquentes
La liste noire globale suffit-elle à elle seule ?
Non. Elle bloque le trafic d’attaque connu, mais ne protège pas contre un mot de passe faible ou une destination internationale laissée ouverte. C’est une couche parmi d’autres, pas une solution unique.
Faut-il vraiment interdire des pays entiers ?
Oui, c’est la mesure la plus rentable contre la fraude. La grande majorité des organisations n’appellent qu’une poignée de pays ; bloquer les autres ne gêne personne et ferme la porte au scénario de fraude le plus lucratif pour les attaquants.
Mon trunk a été piraté, que faire en urgence ?
Coupez immédiatement le trunk sortant pour stopper l’hémorragie, changez les mots de passe de toutes les extensions, contactez votre opérateur pour signaler la fraude, puis identifiez l’extension compromise dans les journaux avant de tout remettre en service avec les protections décrites ici.
Le chiffrement TLS ralentit-il les appels ?
De façon imperceptible sur un serveur correctement dimensionné. Le léger surcoût de calcul du chiffrement est sans commune mesure avec le gain de confidentialité et de sécurité.
À quelle fréquence revoir la configuration de sécurité ?
Une revue rapide chaque semaine des appels coûteux, et une revue complète de la configuration à chaque changement majeur : ajout d’un trunk, ouverture vers un nouveau pays, arrivée ou départ d’employés. La sécurité n’est pas un réglage figé mais une discipline continue.