Que ce soit le H.323 ou le SIP, ces deux protocoles ont déjà fait l'objet de failles de sécurité. Les équipements demandent de traiter l'information en IP brute, sans l'appui du protocole TCP et donc sans utiliser la sécurisation SSL. Si les protocoles de voix sur IP peuvent être chiffrés avec IPsec, IPsec n'est pas déployé dans les réseaux d'entreprise, car il est trop complexe.

L'attaque en déni de service consiste à surcharger le serveur Web de requêtes jusqu'à ce qu'il ne puisse plus suivre et s'arrête. Dès lors, il est envisageable de saturer les réseaux des sociétés équipées en voix sur IP, bloquant ainsi communications internes, externes mais aussi le système d'information. 
Les attaques par déni de service se retrouvent sous plusieurs formes. Les plus classiques sont celles qui visent à utiliser toute la bande passante disponible ou abuser de problèmes intrinsèques à TCP/IP, bloquant ainsi les tentatives de communication. 
Dans le cadre d’une solution VoIP bien des éléments peuvent être attaqués comme le téléphone, le réseau, le système d’exploitation, l’application, etc.
Autant un déni de service sur l’Internet peut être filtré avec des mécanismes et des techniques plus ou moins avancées, autant celui à l’encontre d’une communication sera difficile à traiter et aura un impact direct sur les possibilités de communications. 

Par exemple un nombre trop important de messages SIP INVITE ou de simples messages ICMP peuvent créer une situation de déni de service.

L’interception d’une communication peut être l’oeuvre d’un criminel informatique ou des autorités. En effet, l’interception légale de communications via un réseau de données (LI – Lafwul Intercept on packet switched networks, standard ETSI pour l’Europe et CALEA - Communications Assistance for Law Enforcement Act par exemple) est un sujet de discussion dans bon nombre de pays. 

L’IP sniffing est une attaque passive. Les techniques mises en oeuvre sont les suivantes :

Les outils classiques et répandus d'écoute de réseau, d'analyse de flux et d'injection de trafic IP peuvent être directement utilisés pour attaquer un réseau VoIP. Des outils propres à la voix sur IP sont disponibles, comme VOMIT (Voice Over Misconfigured Internet Telephone) et SiVuS (SIP Vulnerability Scanner).

L’homme du milieu (man in the middle)

En cryptographie, l'attaque de l'homme du milieu (HDM) ou man in the middle attack (MITM) est une attaque dont l’auteur est capable de lire, insérer et modifier comme il le souhaite les messages chiffrés entre deux parties, sans que ni l'un ni l'autre ne puisse se douter que la ligne entre eux a été compromise. L'attaquant doit d'abord être capable d'observer et d'intercepter les messages d'une victime à l'autre. L'attaque HDM est particulièrement applicable dans le protocole original d'échange de clés Diffie-Hellman, quand il est utilisé sans authentification (c'est le cas de Real Time Protocol).

Call ID Spoofing

Le service de présentation du numéro de l’appelant est devenu, pour bon nombre d’abonnés le facteur principal de prise ou de rejet d’appel, tout particulièrement depuis l’essor des téléphones portables.
La mobilité qu’apporte la téléphonie sur IP introduit également un problème d’authentification de l’utilisateur : celui-ci doit se souvenir de son nom/numéro d’utilisateur et de son mot de passe, que quelqu’un pourrait lui “voler”, et donc s’enregistrer à sa place ou de manière concurrente. Il est également relativement simple de manipuler l’identifiant de l’appelant. L’impact n’est pas très important, sauf dans le cas ou le CLID est utilisé pour authentifier l’appelant et autoriser l’accès à une ressource (boîte vocale, appels internationaux ou numéros spéciaux, etc.).

Les serveurs jouent un rôle important dans une solution de voix sur IP, et même s’il n’est pas forcement possible d’intercepter un appel si un serveur est compromis, il est souvent possible de récupérer des CDRs (Call Detail Records) qui contiennent toutes les traces des appels effectués. En revanche la compromission d’une passerelle entre le réseau VoIP et le réseau téléphonique classique permet d’écouter de manière transparente les appels, même s’ils sont chiffrés du côté VoIP (SRTP).

S'appuyant sur des failles logicielles ou matérielles, il est envisageable de voir apparaître de nouveaux virus ciblant autant les données que les communications de l'entreprise, effaçant par exemple les communications enregistrées ou les bloquant.
Dès lors qu'il est entré sur le réseau de l'entreprise, le pirate aura accès aux communications de l'entreprise en plus de ses données.