Crypter correctement la téléphonie IP

Depuis l’été 2013, lorsque Edward Snowden a révélé au monde l’ampleur des pratiques d’écoute et de surveillance de la NSA, le sujet du chiffrement des données a retrouvé toute son importance. Et la NSA n’est pas la seule à pouvoir intercepter des communications.

Pour les entreprises en particulier, chiffrer la téléphonie IP n’est plus une option, mais une nécessité.
En France, l’ANSSI (Agence nationale de la sécurité des systèmes d’information) recommande d’ailleurs clairement : « Pour tout échange contenant des données sensibles, utilisez systématiquement des mécanismes de chiffrement. »

Il ne s’agit pas seulement de protéger votre vie privée, mais aussi de sécuriser des informations professionnelles critiques. Alors que l’ISDN / RNIS ou les accès Primaires ne proposent aucune solution de chiffrement, les SIP Trunks, eux, reposent sur des protocoles codés et sécurisés.

Pour mieux comprendre comment fonctionne ce chiffrement et ce qui se cache derrière les différents acronymes, j’ai fait appel à notre expert en sécurité chez Easybell, Johannes Jünger, afin de clarifier tout cela.

Méthodes de chiffrement sécurisées pour la VoIP

« Globalement, lorsqu’on parle de téléphonie IP, on distingue deux grandes catégories : les solutions propriétaires proposant un chiffrement de bout en bout, et les mécanismes standards comme SIPS/SRTP », explique Johannes.
« Mais les chiffrements SRTP et TLS restent également des techniques essentielles, utilisées par la plupart des opérateurs VoIP. »

Chiffrement de bout en bout (End-to-End)

Un véritable chiffrement de bout en bout, donc totalement sécurisé, repose sur des logiciels ou applications propriétaires. Il ne fonctionne que si les deux correspondants utilisent la même application.

Vous connaissez probablement ce principe via certaines applications de messagerie privée (comme Threema, Signal, etc.).
Non seulement les messages textes et vocaux sont protégés, mais aussi les photos, vidéos et appels.

Le mécanisme SIPS/SRTP

SIPS

SIPS signifie Session Initiation Protocol Secure. Il s’agit d’un SIP classique, mais dont la signalisation est protégée via TLS.

SRTP

RTP (Real-Time Transport Protocol) est le protocole chargé de transporter en continu les flux multimédias (voix, vidéo…) sur des réseaux basés sur IP.
SRTP (Secure RTP) en est la version chiffrée, empêchant quiconque sur le réseau ou sur Internet d’intercepter ou d’écouter un appel.

Ensemble, SIPS + SRTP chiffrent la signalisation (TLS/SIPS) et la voix (SRTP) entre le terminal VoIP et le fournisseur.

Ce n’est pas une vraie solution de bout en bout, car dans le SBC (Session Border Controller) de l’opérateur, les flux doivent être déchiffrés avant d’être retransmis. « La raison : les interfaces non cryptées doivent être tenues à la disposition des personnes qui en ont besoin, comme les douanes ou la police. Les fournisseurs d'accès y sont tenus par la loi », explique Johannes.

Cryptage ZRTP

ZRTP (inventé par Phil Zimmermann, le Z dans ZRTP vient de son nom) est un protocole d’échange de clés permettant de chiffrer directement la communication entre deux terminaux.
Il repose sur RTP et utilise notamment :

le Diffie-Hellman pour l’échange des clés,
SRTP pour le chiffrement du flux voix.

Contrairement à SIPS/SRTP classiques, le serveur de l’opérateur n’a pas accès aux clés → davantage de confidentialité.

Chiffrement TLS

TLS (Transport Layer Security) chiffre la signalisation de la communication VoIP (les messages SIP).
C’est l’équivalent de ce qui protège aussi la connexion HTTPS sur le web.

Voilà pour les différentes méthodes de cryptage.

Mais que se passe-t-il exactement lorsque votre téléphonie d'entreprise est cryptée chez Easybell ?

Ainsi fonctionne le cryptage sécurisé chez Easybell

Grâce à SIPS/SRTP, la communication entre un correspondant et Easybell est sécurisée. Pour vous, en tant que client, cela signifie que vos données d’appel sont protégées lorsque vous utilisez la téléphonie via Easybell.

Malheureusement, cette sécurité ne s’applique que dans les limites du réseau du fournisseur Trunk SIP. Concrètement, cela veut dire que, par exemple, les appels vers le réseau mobile sont déchiffrés à la frontière du réseau, car dans le réseau mobile (comme c’est le cas avec le RNIS ou l'accès RNIS primaire), la communication se fait en clair, et les métadonnées peuvent donc être « lues » par toute personne suffisamment équipée.

Néanmoins : en utilisant un Trunk SIP, vous pouvez atteindre un niveau de sécurité très élevé à l’intérieur des limites du réseau de votre fournisseur, sans compromettre la qualité de vos communications.

Téléphoner en toute sécurité avec les Trunks SIP Easybell

Il est également possible de déplacer certaines extensions en tant que comptes SIP dans le cloud. Cela vous permet de profiter de fonctionnalités téléphoniques comme les salles de conférence gratuites, Fax2Mail, Web2Fax ou Callthrough. Les collaborateurs travaillant à domicile ou en déplacement peuvent ainsi être intégrés facilement au système. Les mécanismes et procédures de sécurité mis en place par Easybell continuent de s’appliquer.

« Avec nos Trunks SIP, vos communications sont protégées grâce au chiffrement TLS et SRTP », explique Johannes. « Cela signifie que vos appels restent sécurisés jusqu’à la frontière du réseau Easybell. »

Vous pouvez le faire aussi ! Tant que votre terminal supporte les standards TLS et SRTP, il n’y a aucun problème — surtout si vous utilisez un Trunk SIP Easybell.

Vers nos offres

Sources et liens complémentaires

(état au 22.07.2019)

La FAQ Easybell :
- Est-ce que Easybell prend en charge le cryptage des données SRTP pour la VoIP ?
- Puis-je crypter les communications téléphoniques ?
threema.ch : Threema Messenger pour une communication cryptée
twitter.com : Edward Snowden
articles Wikipedia vérifiés sur TLS, RTP, ZRTP et l'échange de clés Diffie-Hellman

Créé par : Julia Jünger

Créé le : 02. décembre 2025

Nom	Motif	Durée de vie	Type	Fournisseur
CookieConsent	Enregistre votre consentement à l'utilisation des cookies.	2 an	HTML	Website
_pk_id	Utilisé pour attribuer un ID de visiteur unique.	13 mois	HTML	Matomo
_pk_ses	Cookie pour inclure les détails de votre visite dans une statistique d'utilisation.	30 minutes	HTML	Matomo
fe_typo_user	Attribue votre navigateur à une session sur le serveur.	session	HTTP	Website
order_session	Stocke le résultat de la vérification de disponibilité DSL	12 heures	HTML	Website
order-available	Stocke le résultat de la vérification de disponibilité DSL	12 heures	HTML	Website

Nom	Motif	Durée de vie	Type	Fournisseur
_clck	Conserve l'ID utilisateur Clarity et les préférences, uniques à ce site et attribués au même ID utilisateur.	1 an	HTML	Microsoft Corporation
_clsk	Connecte plusieurs vues de page par un utilisateur dans un seul enregistrement de session Clarity.	1 jour	HTML	Microsoft Corporation
CLID	Identifie la première fois que Clarity a vu cet utilisateur sur n'importe quel site utilisant Clarity.	1 an	HTML	Microsoft Corporation
ANONCHK	Indicates whether MUID is transferred to ANID, a cookie used for advertising. Clarity doesn't use ANID and so this is always set to 0.	10 minutes	HTML	Microsoft Corporation
MR	Indicates whether to refresh MUID.	7 jours	HTML	Microsoft Corporation
MUID	Identifie les navigateurs web uniques visitant les sites Microsoft. Ces cookies sont utilisés pour la publicité, l'analyse de sites et d'autres fins opérationnelles.	1 an	HTML	Microsoft Corporation
SM	Utilisé pour synchroniser le MUID à travers les domaines Microsoft.	session	HTML	Microsoft Corporation
_uetsid	Identifiant de session Microsoft Bing Ads pour le suivi des conversions	1 jour	HTML	Microsoft
_uetvid	Identifiant visiteur Microsoft Bing Ads pour le remarketing	13 mois	HTML	Microsoft
MUIDB	Miroite MUID à travers les domaines Microsoft/Bing pour le suivi publicitaire	1 an	HTML	Microsoft
_uetmsclkid	Utilisé par Microsoft Advertising pour suivre les interactions des utilisateurs et améliorer le ciblage publicitaire.	1 an	HTML	Microsoft
_fbp	Utilisé par Facebook pour fournir une série de produits publicitaires tels que les enchères en temps réel d'annonceurs tiers.	3 mois	HTML	Facebook
fr	Cookie de ciblage publicitaire pour Facebook.	3 mois	HTML	Facebook
_fbc	Stocke l'identifiant de clic Facebook (fbclid) pour l'attribution publicitaire	90 jours	HTML	Facebook
datr	Cookie Facebook qui identifie les navigateurs pour la sécurité, la prévention de la fraude et la diffusion publicitaire	2 ans	HTML	Facebook
AnalyticsSyncHistory	Ce cookie est défini par LinkedIn. Utilisé pour stocker des informations sur le moment où une synchronisation avec le cookie lms_analytics a eu lieu.	30 jours	HTML	LinkedIn
UserMatchHistory	Synchronisation des ID publicitaires LinkedIn.	30 jours	HTML	LinkedIn
bcookie	Cookie d'identifiant de navigateur pour identifier de manière unique les appareils accédant à LinkedIn afin de détecter les abus sur la plateforme.	1 an	HTML	LinkedIn
bscookie	Utilisé pour mémoriser le paramètre de langue d'un utilisateur afin de s'assurer que LinkedIn.com s'affiche dans la langue sélectionnée par l'utilisateur dans ses paramètres.	1 an	HTML	LinkedIn
lang	Utilisé pour mémoriser le paramètre de langue d'un utilisateur.	session	HTML	LinkedIn
li_sugr	Pour faire une correspondance probabiliste avec l'identité d'un utilisateur en dehors des pays désignés.	90 jours	HTML	LinkedIn
lidc	Pour faciliter la sélection du centre de données.	24 heures	HTML	LinkedIn
li_fat_id	Stocke l'identifiant de clic LinkedIn pour l'attribution publicitaire	30 jours	HTML	LinkedIn
lms_ads	Identifie les membres LinkedIn pour le ciblage publicitaire	30 jours	HTML	LinkedIn
lms_analytics	Identifie les membres LinkedIn pour l'analyse	30 jours	HTML	LinkedIn
li_gc	Stocke le consentement invité LinkedIn pour les cookies afin de s'assurer que les choix de confidentialité sont respectés	6 mois	HTML	LinkedIn
li_mc	Cookie de conversions marketing LinkedIn pour la correspondance d'audience et l'analyse	6 mois	HTML	LinkedIn
li_oatml	Identifie les membres LinkedIn en dehors de LinkedIn pour la publicité et l'analyse	1 mois	HTML	LinkedIn
liap	Indique si un domaine non-WWW peut accéder à l'ID d'un membre LinkedIn pour le suivi et la publicité	1 an	HTML	LinkedIn
_guid	Utilisé pour identifier un membre LinkedIn pour la publicité via Google Ads.	90 jours	HTML	Google
_gcl_au	Utilisé pour mesurer les performances des publicités et des campagnes et les taux de conversion pour les publicités Google sur un site visité.	90 jours	HTML	Google
_gcl_aw	Utilisé via Google Ads pour comprendre l'interaction des utilisateurs avec le site et la publicité.	90 jours	HTML	Google
_gcl_dc	Utilisé via Google Campaign Manager et DV 360 pour comprendre l'interaction des utilisateurs avec le site et la publicité.	90 jours	HTML	Google
test_cookie	Vérifie si le navigateur accepte les cookies tiers pour que Google puisse diffuser des publicités personnalisées	15 minutes	HTML	Google
IDE	Cookie Google DoubleClick utilisé pour diffuser des publicités ciblées et mesurer l'efficacité publicitaire	13 mois	HTML	Google
DSID	Cookie Google DoubleClick qui lie l'identité de l'utilisateur entre les appareils pour la publicité personnalisée	2 weeks	HTML	Google
RUL	Cookie DoubleClick utilisé pour déterminer si les publicités ont été affichées correctement et pour le remarketing	12 mois	HTML	Google
_ga	Utilisé par Google Analytics pour distinguer les utilisateurs.	2 ans	HTML	Google
_ga_G-PKV9DJVXQH	Utilisé par Google Analytics pour distinguer les utilisateurs.	2 ans	HTML	Google
_gid	Utilisé par Google pour distinguer les utilisateurs.	1 jour	HTML	Google