Optimiser la communication over-the-top, c’est possible
La popularité de l’OTT (over-the-top) est de plus en plus importante, c’est indéniable. Son succès s’explique d’abord par son prix abordable, ses innovations constantes et enfin par la multitude de ses fonctionnalités.
Le 15 février 2013, Skype déclarait « Tous les mois, 280 millions de personnes choisissent d’utiliser Skype pour contacter leurs proches et leurs collègues » [1] et plus récemment, Viber, qui a fait ses débuts en 2010, affirmait de son côté avoir atteint 160 millions d’utilisateurs et 750 000 utilisations par jour [2].
Malgré cet engouement, la télécommunication OTT est bien
souvent accusée de certaines faiblesses. Au quotidien, les utilisateurs
rencontrent des problèmes liés à la sécurité et à la rigidité des
pare-feu. En outre, la qualité et la
continuité des appels dans de mauvaises
conditions de réseau restent un problème pour la communication en temps réel
sur certains réseaux.
Par exemple, lors d'un appel OTT depuis un café, la réception d'un hôtel ou dans un centre de conférence, il est fréquent que des pare-feu suppriment ou coupent
les sessions vidéo/voix/texte. Certains
fournisseurs de services Wifi et mobiles très connus limitent les connexions
UDP qui acheminent les données multimédia et SIP (Session Initiation Protocole –
il s’agit de données collectées dans le cadre d’applications de visiophonie ou
de messagerie instantanée par exemple).
D’autres coupent les longues connexions TCP (Transmission Control
Protocole) pourtant essentielles à la
voix et à la vidéo sur IP (pour des conférences téléphoniques par exemple). Dans ces situations, les appels semblent
aboutir mais le son et la vidéo ne suivent jamais.
L’utilisation d’un accès Wifi gratuit ou d’un accès
Internet des clients depuis une autre localisation, soulève des problèmes de
sécurité récurrents. Les services OTT peuvent exposer les utilisateurs à des
attaques « man in the middle » ou à un « packet sniffing », pouvant lire ou enregistrer les données qui
transitent sur ces réseaux. Récemment,
T-Mobile a fait l'objet d'une enquête approfondie par des chercheurs d'UC
Berkeley pour des questions de vulnérabilité de la voix via Wifi [3].
A ce jour, les protocoles SIP, Transport Layer Security (TLS), Secure RTP et
l’utilisation de technologies de signalisation et média propriétaires ont résolu
les problèmes de confidentialité et d’intégrité des données. Malheureusement, les
responsables informatiques ne savent pas encore bien diagnostiquer les
problèmes pouvant être associés aux appels cryptés, ni en traiter les
défaillances. La tentation de lever le cryptage pour contourner le problème est
grande, mais cela exposerait inévitablement les utilisateurs à des risques contre
lesquels ils étaient censés être protégés.
Lorsqu’on quitte une zone Wifi pour pénétrer un réseau 4G
ou 3G, les appels réalisés en temps réel avec une application OTT mobile
n’aboutiront pas dans la majorité des cas. Pour renforcer l’adhésion des
consommateurs et intégrer des services PBX hébergés over-the-top fiables, les
services OTT ne peuvent plus être délivrés a minima. Ils doivent
pouvoir garantir une qualité de service et de fiabilité.
La communication OTT pour tous
Les réseaux privés virtuels (VPN) standard et les
technologies de tunnellisation sont une réponse à ces problèmes qui pèsent sur
les déploiements de l'OTT. Depuis maintenant quelques années, le cryptage des
paquets vidéo et VoIP dans des tunnels IPsec était réalisé avec des contrôleurs
de session. Aujourd’hui, le projet 3GPP (Third Generation Partnership Project) passe
par les canaux Dual Ipsec pour le trafic VoLTE (voice over long term evolution)
et IMS (IP Multimedia Subsystem) [4].
L’IPsec garantit la sécurité au niveau de la
couche du réseau IP et est le plus souvent intégré à des éléments du réseau,
des serveurs, des clients et des systèmes d'exploitation (par ex. contrôleurs
de session, concentrateurs VPN dédiés ou pare-feu).
L’IPSec n’est cependant pas adapté aux applications OTT
fonctionnant sur un terminal mobile ou sur un ordinateur portable. Les VPN
IPsec limitent en effet l’appareil au VPN, et de nombreux pare-feu
n’autoriseront pas les tunnels IPsec par défaut. Mais à l’ère du Web et du e-commerce, le
protocole TLS et son prédécesseur Secure Sockets Layer (SSL) sont capables de
proposer une sécurité de tunnellisation par session, offrant une plus grande
transparence pour les pare-feu. En bref,
un tunnel TLS ou encore mieux, un tunnel DTLS (Datagram Transport Layer
Security), peuvent tout-à-fait convenir pour optimiser des applications OTT.
Mais il y a encore mieux. Un nouvel élément de réseau est actuellement proposé en tant que standard dans le cadre du 3GPP, afin de gérer la traversée de pare-feu rigides en utilisant les VPN SSL/TLS. Il s’agit de la technologie TSCF (Tunneled Services Control Function), qui permettra de relayer les messages SIP et IMS en utilisant des tunnels VPN spécifiquement paramétrés. Le tunnel est partagé entre plusieurs protocoles (comme par exemple SIP, RTP, MSRP, adresse IP, DNS et TFTP), mais il est unique et spécifique à l’application VoIP installée sur le terminal. Les tunnels TLS et DTLS sont dédiés à l’application et ne monopolisent pas toute la capacité dudit terminal lorsqu’ils sont intégrés à une application OTT mobile.
La technologie TSCF tire parti des capacités d’accélération matérielle du SBC pour garantir une connectivité rapide, le cryptage et le décryptage de la fréquence de ligne et une grande qualité de contrôle du service. Les premiers déploiements de la TSCF donnent d’impressionnants résultats pour les services OTT :
- Chaque session est sécurisée : tous les signaux et tous les médias sont encapsulés dans un tunnel crypté.
- La VoIP sans fil et le Wifi ne sont ni supprimés ni interrompus par des pare-feu trop rigides.
- Le diagnostic des problèmes liés aux signaux et aux médias est simplifié : les paquets VoIP sont décryptés à l’intérieur même du tunnel.
- Lors de la transition du Wifi au réseau 4G/3G et inversement, les appels VoIP commutent sans coupure.
L’un des grands avantages du standard TSCF proposé est la facilité de traversée des pare-feu. La voix et la vidéo se présentent aux pare-feu comme une session OpenSSL VPN ou HTTPS sécurisée sur le port 443. Par conséquent, lorsque de l’émission d’un appel, l’application VoIP mobile créera un tunnel qui traversera tous les pare-feu existants et se connectera directement à un SBC ou à un serveur VoIP compatible TSCF.
Sur le serveur VoIP de l’autre côté de la TSCF, le client
se présente comme une adresse IP locale à l’intérieur du tunnel. Cela simplifie
la signalisation SIP, les architectures, le diagnostic et le dépannage. En cas de problème de connectivité du réseau
dans le tunnel créé, le tunnel est rapidement dupliqué sur un réseau secondaire. Quel que soit le réseau, l’adresse IP de
l’application VoIP reste identique sur le serveur SIP. Si le son est diffusé, l’appel peut reprendre
dès que le VPN est rétabli sans qu’il soit nécessaire de reconfigurer le point
d’extrémité SIP ou l’application VoIP.
Des fournisseurs de softphone VoIP réputés, tels que
CounterPath et Cicero Networks, exploitent aujourd’hui les capacités TSCF. Les appels VoIP peuvent parfaitement
transiter entre la 4G et le Wifi et la traversée des pare-feu est facilitée.
Résultat : les appels voix et vidéo sur IP atteignent de meilleurs niveaux de
qualité, de fiabilité et de sécurité afin d’améliorer la communication OTT pour
tous.