Transmission sécurisée des médias

Outre la signalisation lors de la projection et du déploiement du système de Communications Unifiées, nous pourrions également être intéressés par le cryptage du média transféré entre les périphériques.

Il existe trois modes de cryptage RTP populaires :

  • SRTP MIKEY / SDES (nécessite le cryptage TLS de la signalisation)
  • SRTP DTLS
  • ZRTP

SRTP

Le Protocole de Transport Sécurisé en Temps Réel (ou SRTP) définit un Profil de Protocole RTP (Real-Time Transport Protocol, ou protocole de transport en temps réel) destiné à fournir un cryptage, une authentification et une intégrité des messages et une protection contre la réexécution des données RTP dans les applications mono-diffusion et multi-diffusion. Il a été publié pour la première fois par l’IETF en mars 2004 sous le numéro RFC 3711.

Depuis sa création, il a été adopté par de nombreux fournisseurs, la norme de chiffrement la plus prise en charge étant basée sur le chiffrement AES 128.

Les clés étant échangées en texte brut dans les messages SIP, le cryptage de la signalisation est obligatoire. Un inconvénient de cette approche en termes de sécurité est que le proxy SIP situé au milieu connaît toutes les informations nécessaires pour décoder le son échangé. Cette configuration est avantageuse dans les environnements corporatifs où l’on souhaite garantir la confidentialité des données d’entités extérieures à l’entreprise, mais permet toutefois l’activation des fonctionnalités telles que l’enregistrement des appels.

SRTP DTLS

Le protocole SRTP utilisant le protocole DTLS (Datagram Transport Layer Security) offre une sécurité point-to-point (périphérique à périphérique) entre les points finaux d’une communication. C’est un protocole de sécurité de canal basé sur du TLS. Les clés de cryptage sont échangées sur le même port, qui est ensuite utilisé pour du RTP à l’aide d’un protocole DTLS.

Lorsque vous utilisez du DTLS-SRTP :

  • Les données d’application sont protégées grâce au SRTP.
  • Le handshake DTLS est utilisé pour établir les clés, les algorithmes et les paramètres pour le SRTP.
  • Une extension DTLS est utilisée pour gérer les algorithmes SRTP.
  • D’autres types de contenu de couche d’enregistrement DTLS sont protégés en utilisant le format d’enregistrement DTLS ordinaire.

En d’autres termes, il est essentiel de garantir la sécurité au niveau point-to-point (de périphérique à périphérique) et de ne pas se reposer sur la sécurité de la signalisation (par exemple, SIP).

SRTP-DTLS est actuellement pris en charge par les navigateurs WebRTC. Il s’agit du mode de cryptage RTP obligatoire du projet / de la spécification WebRTC. Il remplace SRTP SDES, qui avait été initialement envisagé et ajouté dans l’implémentation de Chrome WebRTC. Il a été sélectionné à la place du SRTP SDES car il garantit une meilleure confidentialité des communications point à point.

ZRTP

Le ZRTP offre également un protocole de cryptage point-to point, mais il n’est pas régulièrement pris en charge.

Afin de créer un cryptage point à point, un secret partagé et d’autres paramètres de sécurité sont échangés, en s’appuyant sur le protocole d’échange de clés Diffie-Hellman. L’authentification mutuelle peut utiliser une chaîne d’authentification courte (SAS), elle ne nécessite donc pas de prise en charge par une infrastructure à clé publique (PKI). L’échange ZRTP s’effectue sur les mêmes numéros de port que ceux utilisés par la session multimédia pour le trafic RTP (par opposition au chemin de signalisation).

L’authentification, puis l’échange de média crypté, sont effectués sur un seul port, comme indiqué dans le SDP. Le ZRTP empêche l’écoute indiscrète, mais à l’inverse pose des problèmes si l’enregistrement des appels doit être effectué.

De nos jours, le protocole ZRTP est principalement mis en œuvre dans les softphones SIP. La plupart des clients reviennent généralement sur le RTP standard si le ZRTP n’est pas pris en charge par le point de terminaison distant.

Conclusions

Le cryptage des supports est un sujet important et chaque système de Communications Unifiées doit le mettre en œuvre pour les appels sur des réseaux de données publics.

Nous devons nous rappeler que lorsque les appels sont acheminés sur des réseaux RTPC traditionnels, ils sont sujets à l’écoute des forces de l’ordre et des opérateurs. Si la confidentialité est importante dans tous les scénarios, nous devons informer les utilisateurs et leur demander de communiquer via des connexions VoIP pures.

En conclusion, l’utilisation de WebRTC et de la téléphonie VoIP offre un moyen plus pratique et plus sûr d’encourager la communication entre les membres de l’équipe et les clients.

ACHETEZ LE LIVRE

(No) Value in Unified Communications
by Dimitri Osler

Social Sharing

Laisser un commentaire