Sécurisation de la VoWLAN : problématiques et enjeux
La révolution de la ToIP pourrait bien passer par la VoWLAN - pour Voice Over Wireless Local Area Network, qui n’est ni plus ni moins que de la ToIP mobile. Mais pour que cette révolution se produise, il reste à maîtriser sa sécurité et sa qualité de service.
Depuis la fin des années 90, la voix sur IP a connu l'engouement des grandes entreprises comme des plus petites autour des offres de VoIP, afin d'optimiser au mieux les coûts des communications. La VoIP regroupe tous les protocoles nécessaires à la circulation de la voix sur les réseaux IP.
La ToIP propose un système de téléphone s'appuyant sur les mécanismes de la VoIP. La ToIP est encore souvent décriée par les entreprises en raison de ses coûts élevés. Les postes téléphoniques sont jugés onéreux et les évolutions du réseau local est souvent dispendieuse.
La révolution de la ToIP pourrait bien passer par la VoWLAN - pour Voice Over Wireless Local Area Network - appelée également WVoIP - pour Wireless Voice Over IP. La VoWLAN n'est ni plus ni moins que de la ToIP mobile. Il s'agit d'utiliser le réseau Wi-Fi de l'entreprise pour faire circuler la voix grâce aux protocoles VoIP.
La VoWLAN est un système de téléphonie mobile mis en place au sein de l'entreprise. Elle remplace les technologies de téléphonie sans fil d'entreprise de type DECT. Grace au téléphone dual mode GSM/Wi-Fi, la VoWLAN favorise l'utilisation du Wi-Fi, au dépend du GSM. L'économie ainsi générée aide les entreprises à financer les évolutions nécessaires du réseau local.
Mais pour que la VoWLAN révolutionne la ToIP, il reste à maîtriser sa sécurité et sa qualité de service.
Les enjeux de la sécurité dans la VoWLAN
Peut-on garantir la confidentialité des discussions entre un téléphone Wi-Fi et un autre correspondant ? Peut-on vérifier l'identité de l'appelant ? Si la VoWLAN relève ces challenges avec succès, elle apportera une sécurité bien plus avancée que tous les types de téléphonies classiques mobiles ou fixes.
Les enjeux de la sécurité de la VoWLAN reposent sur deux principes. Le premier est la sécurité des réseaux traversés, Wi-Fi et LAN, jusqu'au poste de l'appelé lorsqu'il est sur le même site ou à défaut l'IPBX gérant les communications du site. Le second est l'ensemble des mécanismes de sécurité prévus dans les protocoles VoIP.
Le Wi-Fi, une sécurité mature et éprouvée
Le Wi-Fi a prouvé depuis ces dernières années sa maturité en matière de sécurité. La confidentialité des informations est garantie par un mécanisme de chiffrement directement hérité des VPN mais parfaitement intégré au Wi-Fi. Il s'agit du mécanisme AES-CCMP, un chiffrement symétrique basé sur l'algorithme AES avec rotation des clés.
L'identité de l'utilisateur est validée grâce à des méthodes d'authentification 802.1x/EAP. Depuis 2005, convaincu par la force de cette authentification, les entreprises l'étendent à la sécurisation de leurs réseaux locaux traditionnels.
Le label WPA2 de la Wi-Fi Alliance assure à l'entreprise de disposer de ces mécanismes dans les matériels Wi-Fi choisis. La norme 802.11i édictée par l'IEEE implémente ces mécanismes indispensables et facilite la sécurisation des réseaux Wi-Fi.
La voix sur Wi-Fi, une sécurité adaptée ?
Les mécanismes de sécurité Wi-Fi éprouvés pour transmettre les données vont-ils répondre à toutes les exigences de la transmission de la voix ? Le bon fonctionnement des téléphones sur Wi-Fi est étroitement lié à la sécurité.
Afin de profiter pleinement de la VoWLAN, l'utilisateur d'un téléphone sur Wi-Fi doit pouvoir se déplacer librement au sein de l'entreprise avec une qualité de communication parfaite. Tout au long de l'itinéraire de l'utilisateur, le téléphone Wi-Fi se connecte à la borne la plus proche offrant la meilleure qualité de communication.
Ce mécanisme est appelé Roaming. Aucune coupure de connexion ou dégradation ne doit être perceptible. Pour cela, le temps de roaming nécessaire au téléphone pour changer de borne Wi-Fi ne doit pas excéder 100 ms.
Une sécurité mal adaptée l'augmente de façon significative jusqu'à perturber la communication téléphonique. L'authentification du téléphone à chaque changement de borne pénalise le temps de roaming de plusieurs dizaines de milliseconde. La voix risque d'être déformée voire la communication interrompue.
Lors de l'activation de la sécurité 802.11i, les mécanismes de type fast-roaming, Key Caching ou pre-authentication doivent être configurés pour garantir des temps de roaming optimaux.
Le 802.11i bien configuré permet de garantir la sécurité des communications sur le média Wi-Fi sans pénaliser la qualité de service.
La voix, dans le LAN
Une fois le Wi-Fi sécurisé, comment garantir la sécurité des communications sur le réseau local ? Aujourd'hui, aucun mécanisme normalisé dans les commutateurs Ethernet ne permet de chiffrer de façon simple les données circulant dans les réseaux locaux. Un individu se connectant au réseau local, ou VLAN Virtual Local Area Network pourra écouter les conversations circulant en clair.
Des protocoles VoIP sécurisés existent ; srtp pour le transport de la voix ; sips pour les trames de gestion. Peu supportés par la plupart des téléphones et des IPBX, ils ne sont pas encore la solution.
Dans une architecture VoWLAN construite sur une solution Wi-Fi composée de bornes et d'un contrôleur de mobilité placé au coeur du réseau local, tout le trafic Wi-Fi converge vers le contrôleur de mobilité, qui gère de façon centralisée l'authentification des téléphones et le roaming. Certains constructeurs permettent d'établir un tunnel chiffré entre la borne Wi-Fi et le contrôleur de mobilité garantissant la confidentialité des communications au travers du LAN.
La VoWLAN est donc plus sécurisée qu'une solution traditionnelle de ToIP avec des postes connectés directement au réseau local.
La VoWLAN, c'est avant tout votre numéro de téléphone qui vous suit quel que soit l'endroit couvert en Wi-Fi où vous vous trouvez. Vous travaillez à votre domicile. Quelqu'un cherche à vous joindre sur votre numéro du bureau. Sans aucune manipulation de renvoi d'appel, il est acheminé jusqu'à votre domicile par Internet puis sur votre téléphone Wi-Fi.
Inversement, vous passez un appel professionnel de chez vous en VoWLAN, vous ne payez rien puisqu'il est pris en charge directement par votre entreprise via sa solution VoIP. Cela fonctionne également avec le numéro de votre domicile fourni par certains opérateurs grand public. Le protocole normalisé offrant ces possibilités est SIP (Session Initialization Protocol).
Un nouveau type de numérotation va remplacer nos numéros à 10 chiffres : la numérotation SIP. Votre futur numéro de téléphone pourra être votre adresse e-mail. La possibilité de passer de Wi-Fi vers GSM et inversement est un autre débat, aux enjeux financiers colossaux.