Me voici donc, sur la base d'un forfait d'une journée d'audit, au sein de l'entreprise, un samedi pour plus de discrétion. Etaient présents sur les lieux : le DG, le DT, le RH, le RSI et moi (l'EJ:). Nous avions convenu le DG et moi que je jouerais le candide éclairé.

Nous voici donc à étudier le problème: le PABX de l'entreprise avait été piraté. La preuve était que des fuites avaient eu lieu car des conversations téléphoniques confidentielles avaient été écoutées. Les preuves étaient minces, mais le DG était convaincu de la réalité de ces fuites et de leur cause.

Le PABX était géré par deux services : le service technique (car c'est un système de gestion des téléphones) et le service informatique (car c'est "programmable" avec logiciel et base de données)... Les deux responsables de service avaient mené leur petite enquête et rejetaient implicitement la faute sur l'autre, n'ayant rien trouvé d'anormal dans leur partie.

Avant de les laisser me noyer dans des détails techniques prouvant leurs compétences et leur bonne foi, j'ai voulu en savoir plus sur le principe de fonctionnement de la téléphonie de l'entreprise : chaque salarié dispose-t-il d'un combiné identique, y a-t-il un mode d'emploi, etc.

Et me voici plongé dans le mode d'emploi (relativement simple) du modèle standard de téléphone de cette entreprise. Attention, je vous parle d'une époque pré-ToIP, mais avec des bons "vieux" téléphones numériques quand même. Tout en feuilletant la documentation, je me faisais quelques réflexions générales sur la sécurité : est-il facile d'accéder au PABX de l'entreprise, comment faire pour pénétrer le système, etc.

En fait, je me suis dit qu'il était somme toute beaucoup plus facile d'écouter une conversation en se mettant dans le bureau d'à côté. Et là, le hasard m'a bien aidé: au moment où je me faisais cette réflexion, je suis tombé sur le passage du manuel utilisateur consacré aux conférences téléphoniques. Il était possible de rejoindre une communication téléphonique déjà établie pour pouvoir discuter à plusieurs.

Le Directeur Général me confirme alors qu'une présentation de cette fonctionnalité avait été faite quelques mois auparavant aux salariés. Je demande une démonstration: le directeur technique et le responsable des systèmes d'information retournent dans leurs bureaux et conviennent de s'appeler. Une fois en conversation, je prend le téléphone présent dans la salle de réunion et compose le numéro d'une des deux personnes. Bien entendu, j'obtiens une tonalité occupée. Suivant le mode d'emploi, j'appuie sur la touche ad-hoc du combiné afin de m'inviter dans la conférence téléphonique.

Et me voici en train d'écouter les deux hommes, en prenant bien garde de ne prononcer aucune parole. Au bout de quelques minutes, les deux hommes décident de raccrocher, pensant que je n'avais pas réussi à rejoindre leur conférence téléphonique...

C'est ainsi, que devant le Directeur Général abasourdi, j'ai pu "pirater" une conversation téléphonique en appelant simplement un poste occupé et en appuyant sur un bouton...

Le PABX avait mal été configuré. Tout le monde pouvait écouter tout le monde. Quelqu'un s'en était rendu compte et en avait profité...

J'ai été payé par le patron reconnaissant une journée de travail pour deux heures de réunion :)

Mais je ne regarde plus mon téléphone de la même façon maintenant.