Déclaration de LydisPlus – Follow The Money & De Tijd
Le 16 septembre 2023, deux articles ont été publiés sur la plateforme journalistique Follow The Money ainsi que dans le journal économique De Tijd, indiquant que différentes organisations utilisent des équipements de communication du fabricant chinois Yealink, dans lesquels des problèmes de sécurité auraient été identifiés.
Ces articles n’ont pas été vérifiés au préalable auprès de LydisPlus ou de Yealink et contiennent des inexactitudes factuelles avérées, donnant une impression erronée concernant Yealink, les équipements et les communications audio et vidéo en réseau de manière générale.
Lydis et Yealink ont été informés en août 2022 de certaines problématiques liées aux équipements de téléphonie Yealink. Les équipements vidéo Yealink (par exemple Teams) sont totalement exclus de ces problématiques. Ils sont entièrement sécurisés par Microsoft et ne peuvent être utilisés que s’ils répondent à des exigences spécifiques. En tant que distributeur, nous visons bien entendu un niveau de sécurité optimal de nos produits, et LydisPlus remercie la personne ayant signalé ces points. LydisPlus n’était pas informé de cette situation, mais après échange avec Yealink, il a été confirmé que certains problèmes existaient effectivement.
Une grande partie de l’article concerne la question de l’outil de chiffrement, qui selon les fournisseurs professionnels de téléphonie n’est pas utilisé pour le chiffrement des fichiers de configuration (documents de provisioning). Ces fournisseurs utilisent leurs propres mesures de sécurité, combinées à celles intégrées dans les produits, afin de garantir un échange sécurisé des données entre la plateforme et les équipements utilisateurs.
Les données liées aux abonnements téléphoniques ne sont jamais accessibles au fabricant. Elles restent la propriété du fournisseur de services, et le produit communique directement avec le serveur de ce fournisseur, sans intervention de Yealink.
Le port 5060 mentionné est essentiel au fonctionnement des téléphones et constitue le port standard pour les communications VoIP. À titre de comparaison, si ce port est fermé, un téléphone ne peut pas fonctionner. Son utilisation n’est pas spécifique à Yealink mais est commune à l’ensemble de l’industrie VoIP.
Les problèmes liés à l’outil de chiffrement et à certaines firmwares obsolètes ont pu concerner certains clients. Yealink a donc mis à jour les firmwares de modèles anciens, bien que ceux-ci ne soient plus officiellement supportés depuis plusieurs années, et a ajusté son outil de chiffrement. Une communication ouverte a été effectuée en avril 2023 auprès des clients concernés. Plusieurs d’entre eux, après analyse et tests de pénétration, ont conclu qu’aucun risque supplémentaire n’en découlait. Il est important de souligner qu’aucune donnée personnelle n’a été compromise dans ce contexte.
Follow The Money et De Tijd évoquent des problématiques anciennes et des produits obsolètes, ce qui donne une image erronée laissant penser que les communications des institutions néerlandaises et belges seraient en danger. Ce n’est pas le cas.
En juin 2023, la personne ayant signalé ces problématiques ainsi qu’un journaliste de Follow The Money ont été reçus dans nos locaux afin d’apporter des explications détaillées. Il est regrettable que ces éléments n’aient pas été intégrés dans les articles publiés.
Lydis collabore depuis plusieurs décennies avec Yealink et, tout comme les partenaires ayant réalisé des tests de pénétration, nous ne voyons aucune raison de remettre en question l’approche de Yealink en matière de sécurité. Yealink prend la sécurité de ses systèmes très au sérieux et a réagi de manière appropriée dès que ces sujets ont été identifiés. Pour toute question, n’hésitez pas à nous contacter.
Pour l’équipe LydisPlus,
Gijsbert Zijlstra
Technical Director
gijsbert.zijlstra@lydisplus.com
- Le statement complet de Yealink est disponible ici, avec les informations détaillées sur les mesures de sécurité de ses produits et de son organisation, telles que ISO 27001, GDPR, SOC 2 Type 1, SOC 2 Type 2 et SOC 3, 802.1x, chiffrement AES.