Optimiser la communication over-the-top, c’est possible

La popularité de l’OTT (over-the-top) est de plus en plus importante, c’est indéniable. Son succès s’explique d’abord par son prix abordable, ses innovations constantes et enfin par la multitude de ses fonctionnalités.

Le 15 février 2013, Skype déclarait  « Tous les mois, 280 millions de personnes choisissent d’utiliser Skype pour contacter leurs proches et leurs collègues » [1] et plus récemment, Viber, qui a fait ses débuts en 2010, affirmait de son côté avoir atteint 160 millions d’utilisateurs et 750 000 utilisations par jour [2].
Malgré cet engouement, la télécommunication OTT est bien souvent accusée de certaines faiblesses. Au quotidien, les utilisateurs rencontrent des problèmes liés à la sécurité et à la rigidité des pare-feu. En outre, la qualité et la continuité des appels dans  de mauvaises conditions de réseau restent un problème pour la communication en temps réel sur certains réseaux.
Par exemple, lors d'un appel OTT depuis un café, la réception d'un hôtel ou dans un centre de conférence, il est fréquent que des pare-feu suppriment ou coupent les sessions vidéo/voix/texte.  Certains fournisseurs de services Wifi et mobiles très connus limitent les connexions UDP qui acheminent les données multimédia et SIP (Session Initiation Protocole – il s’agit de données collectées dans le cadre d’applications de visiophonie ou de messagerie instantanée par exemple).  D’autres coupent les longues connexions TCP (Transmission Control Protocole) pourtant essentielles à la voix et à la vidéo sur IP (pour des conférences téléphoniques par exemple). Dans ces situations, les appels semblent aboutir mais le son et la vidéo ne suivent jamais.

L’utilisation d’un accès Wifi gratuit ou d’un accès Internet des clients depuis une autre localisation, soulève des problèmes de sécurité récurrents. Les services OTT peuvent exposer les utilisateurs à des attaques « man in the middle » ou à un « packet sniffing »,  pouvant lire ou enregistrer les données qui transitent sur ces  réseaux. Récemment, T-Mobile a fait l'objet d'une enquête approfondie par des chercheurs d'UC Berkeley pour des questions de vulnérabilité de la voix via Wifi [3]. A ce jour, les protocoles SIP, Transport Layer Security (TLS), Secure RTP et l’utilisation de technologies de signalisation et média propriétaires ont résolu les problèmes de confidentialité et d’intégrité des données. Malheureusement, les responsables informatiques ne savent pas encore bien diagnostiquer les problèmes pouvant être associés aux appels cryptés, ni en traiter les défaillances. La tentation de lever le cryptage pour contourner le problème est grande, mais cela exposerait inévitablement les utilisateurs à des risques contre lesquels ils étaient censés être protégés.
Lorsqu’on quitte une zone Wifi pour pénétrer un réseau 4G ou 3G, les appels réalisés en temps réel avec une application OTT mobile n’aboutiront pas dans la majorité des cas. Pour renforcer l’adhésion des consommateurs et intégrer des services PBX hébergés over-the-top fiables, les services OTT ne peuvent plus être délivrés a minima. Ils doivent pouvoir garantir une qualité de service et de fiabilité.

La communication OTT pour tous

Les réseaux privés virtuels (VPN) standard et les technologies de tunnellisation sont une réponse à ces problèmes qui pèsent sur les déploiements de l'OTT. Depuis maintenant quelques années, le cryptage des paquets vidéo et VoIP dans des tunnels IPsec était réalisé avec des contrôleurs de session. Aujourd’hui, le projet 3GPP (Third Generation Partnership Project) passe par les canaux Dual Ipsec pour le trafic VoLTE (voice over long term evolution) et IMS (IP Multimedia Subsystem) [4]. 
L’IPsec garantit la sécurité au niveau de la couche du réseau IP et est le plus souvent intégré à des éléments du réseau, des serveurs, des clients et des systèmes d'exploitation (par ex. contrôleurs de session, concentrateurs VPN dédiés ou pare-feu).
L’IPSec n’est cependant pas adapté aux applications OTT fonctionnant sur un terminal mobile ou sur un ordinateur portable. Les VPN IPsec limitent en effet l’appareil au VPN, et de nombreux pare-feu n’autoriseront pas les tunnels IPsec par défaut.  Mais à l’ère du Web et du e-commerce, le protocole TLS et son prédécesseur Secure Sockets Layer (SSL) sont capables de proposer une sécurité de tunnellisation par session, offrant une plus grande transparence pour les pare-feu.  En bref, un tunnel TLS ou encore mieux, un tunnel DTLS (Datagram Transport Layer Security), peuvent tout-à-fait convenir pour optimiser des applications OTT.

Mais il y a encore mieux. Un nouvel élément de réseau est actuellement proposé en tant que standard dans le cadre du 3GPP, afin de gérer la traversée de pare-feu rigides en utilisant les VPN SSL/TLS. Il s’agit de la technologie TSCF (Tunneled Services Control Function), qui permettra de relayer les messages SIP et IMS en utilisant des tunnels VPN spécifiquement paramétrés. Le tunnel est partagé entre plusieurs protocoles (comme par exemple SIP, RTP, MSRP, adresse IP, DNS et TFTP), mais il est unique et spécifique à l’application VoIP installée sur le terminal.  Les tunnels TLS et DTLS sont dédiés à l’application et ne monopolisent pas toute la capacité dudit terminal lorsqu’ils sont intégrés à une application OTT mobile.

La technologie TSCF tire parti des capacités d’accélération matérielle du SBC pour garantir une connectivité rapide, le cryptage et le décryptage de la fréquence de ligne et une grande qualité de contrôle du service. Les premiers déploiements de la TSCF donnent d’impressionnants résultats pour les services OTT :

  • Chaque session est sécurisée : tous les signaux et tous les médias sont encapsulés dans un tunnel crypté.
  • La VoIP sans fil et le Wifi ne sont ni supprimés ni interrompus par des pare-feu trop rigides.
  • Le diagnostic des problèmes liés aux signaux et aux médias est simplifié : les paquets VoIP sont décryptés à l’intérieur même du tunnel.
  • Lors de la transition du Wifi au réseau 4G/3G et inversement, les appels VoIP commutent sans coupure.

L’un des grands avantages du standard TSCF proposé est la facilité de traversée des pare-feu. La voix et la vidéo se présentent aux pare-feu comme une session OpenSSL VPN ou HTTPS sécurisée sur le port 443. Par conséquent, lorsque de l’émission d’un appel, l’application VoIP mobile créera un tunnel qui traversera tous les pare-feu existants et se connectera directement à un SBC ou à un serveur VoIP compatible TSCF.

Sur le serveur VoIP de l’autre côté de la TSCF, le client se présente comme une adresse IP locale à l’intérieur du tunnel. Cela simplifie la signalisation SIP, les architectures, le diagnostic et le dépannage.  En cas de problème de connectivité du réseau dans le tunnel créé, le tunnel est rapidement dupliqué sur un réseau secondaire. Quel que soit le réseau, l’adresse IP de l’application VoIP reste identique sur le serveur SIP.  Si le son est diffusé, l’appel peut reprendre dès que le VPN est rétabli sans qu’il soit nécessaire de reconfigurer le point d’extrémité SIP ou l’application VoIP.
Des fournisseurs de softphone VoIP réputés, tels que CounterPath et Cicero Networks, exploitent aujourd’hui les capacités TSCF.  Les appels VoIP peuvent parfaitement transiter entre la 4G et le Wifi et la traversée des pare-feu est facilitée. Résultat : les appels voix et vidéo sur IP atteignent de meilleurs niveaux de qualité, de fiabilité et de sécurité afin d’améliorer la communication OTT pour tous.