Le client
TIM est la marque unique du Groupe Telecom Italia, qui opère sur le marché selon une stratégie de valeur partagée pour la société et la collectivité, en offrant des services de téléphonie fixe et mobile, des services Internet, des contenus numériques et des services Cloud. En faisant appel aux technologies informatiques et de communication les plus évoluées, TIM accompagne l'Italie vers l’objectif de la pleine numérisation, grâce à la réalisation d’infrastructures de réseau à bande ultra-large et à la diffusion de services de dernière génération.
Au 31 décembre 2017, TIM comptait environ 11 millions de lignes fixes en Italie dont plus de 7,6 millions d’accès en bande large. Sur le marché italien de la téléphonie mobile, TIM compte plus de 30,7 millions de ligne. Avec plus de 59,4 millions de lignes, TIM Brasil est l’une des principales sociétés de télécommunication du pays.
Le point de départ
Telecom Italie s'est adressée à Betacom pour lui confier des activités security testing par rapport à différentes typologies d’équipements, notamment modems, routeurs, miniDSLAM/OLT/ONU et IoT. Ces tests, destinés à détecter les vulnérabilités présentes dans les équipements, ont concerné différents domaines.
Les solutions retenues
En particulier, ces tests servent à identifier l’éventuelle présence d’interfaces série/JTAG non suffisamment protégées, l'existence de comptes ou de services de débogage cachés, de Code Injection ou de vulnérabilités liées au non-nettoyage des données d’entrée. À travers les explorations des services vulnérables, il est également possible de détecter la présence de phénomènes de Security Misconfiguration des équipements et des services exposés, ou bien de Code Injection ; de vulnérabilités liées au non-nettotage des données d’entrée ; de vulnérabilités du type DNS Rebind, Cross-Site Request Forgery (CSRF) et Cross-Site Scripting (XSS) ; de vulnérabilités liées à la présence d’API non correctement protégées ; de vulnérabilités du type Sensitive Data Exposure.
Par ailleurs, les systèmes ont été testés pour évaluer la présence de pages non authentifiées dans la Web GUI, d’éventuelles fonctionnalités cachées dans celle-ci, d’éventuelles vulnérabilités permettant l’accès ou la commande à distance des équipements ou encore de vulnérabilités liées au processus de mise à jour du micrologiciel.
Les avantages obtenus
- Protection contre les attaques informatiques sur les équipements mis par le client sur le marché Business et Home
