Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

WebRTC : introduction et modèle de sécurité

WebRTC : introduction et modèle de sécurité
2014-05-212014-05-21sécurité des communications unifiéesfr
Dans les années à venir le WebRTC pourrait s’imposer comme le nouveau blockbuster en matière de communications unifiées sur Internet. Le WebRTC (pour Real Time Communication) va permettre aux navigateurs web de gérer de façon native, sans plugin ou applications à installer, des flux voix, vidéo, etc
Publié le 21 Mai 2014 par Philippe Macia dans sécurité des communications unifiées
WebRTC : introduction et modèle de sécurité

Dans les années à venir le WebRTC pourrait s’imposer comme le nouveau blockbuster en matière de communications unifiées sur Internet. Le WebRTC (pour Real Time Communication) va permettre aux navigateurs web de gérer de façon native, sans plugin ou applications à installer, des flux voix, vidéo, etc en Peer to Peer !

Pour l’instant limité à Chrome, Opera et Firefox (pour ne parler que des blockbusters) le WebRTC, si son succès se confirme, sera sans doute un nouveau challenge pour le monde de la sécurité.

Le but de cet article est de faire une rapide introduction non technique à WebRTC  et d’en présenter le modèle de sécurité.

WebRTC  qu’est-ce que c’est ?

Le WebRTC  à l’origine développé en HTML5 est en cours de standardisation par le W3C et l’IETF sous la forme d’une API JavaScript. Cette API dote le navigateur internet d’un terminal multimédia intégré supportant l’ensemble des flux : vidéo, audio, chat, transfert de fichier, partage d’écrans etc. Et comme le WebRTC  est indépendant par rapport à la plateforme ou au type d’équipement (PC, tablette, smartphones etc) il sera possible de communiquer nativement urbi et orbi.

Le but de l’API étant de permettre à des navigateurs différents d’utiliser des fonctions de communications temps réels en Peer to Peer, elle contient :

  • Une composante voix
  • Une composante vidéo
  • Un composant transport

Schéma de la Webrtc.org

Cependant même si le Web RTC a été développé pour la communication Peer to Peer il ne permet pas de s’affranchir d’un serveur, qui fournira les services, et d’un système d’échange de signalisation. Cette partie est assurée par le Websocket protocole de transport définit en HTML5.

Les codecs voix/vidéo supportés sont nombreux. Les principaux sont le G.711 et OPUS pour la voix et  VP8 pour la vidéo. Il y a aujourd’hui des débats sur le support du codec vidéo H264 pour que celui-ci soit supporté nativement par WebRTC.

Même s’il faut garder en tête que le WebRTC  est en cours de développement et qu’à ce jour les usages sont encore balbutiants, l’adoption pourrait être très rapide et les aspects de sécurité sont au cœur des débats.

Le WebRTC se base sur plusieurs principes pour assurer la sécurité des échanges:

  • Le chiffrement obligatoire pour tous les flux media du WebRTC. Pour cela WebRTC utilise des protocoles sécurisés tels que DTLS et SRTP. Le schéma ci-dessous (emprunté à Cisco) le démontre.

  • Rappelons que WebRTC n'est pas un plugin supplémentaire ajouté à un navigateur. Les composants WebRTC  font partie intégrante du navigateur. Ils sont donc mis à jour chaque fois que le navigateur est à jour. Il y a donc une gestion centralisée des mises à jour et non une gestion au cas par cas comme pour les plugins.
  • Les composants du RTC s'exécutent dans la Sandbox du navigateur et non dans des processus séparés.
  • Les accès à la Web Cam et au micro doivent être validés par l’utilisateur quand un interlocuteur le demande. De même lorsque la caméra ou le microphone sont en cours d'exécution, cela est clairement indiqué par l'interface utilisateur. Ceci pour éviter les enregistrements à l’insu de l’utilisateur comme dans les exemples ci-dessous

Demande de partage

Partage en cours

Voilà, le décor est planté il ne reste plus qu’à examiner dans un second volet les menaces qui pèsent d’ors et déjà sur le WebRTC !

Philippe, qui remercie Franck L’HEREEC pour sa relecture.

Crédit photo : © Julien Eichinger - Fotolia.com

4 Commentaires

  • 11 Septembre 2015
    2015-09-11
    par
    Didier
    Merci Philippe pour la réponse.
    Est ce qu'il est possible de communiquer depuis son navigateur via les fonctions WebRTC, avec un autre utilisateur raccordé quant à lui à une infra VoIP/ToiP (PBX + Combiné) ? Existe t-il une passerelle entre les deux domaines (existence d'un lien entre serveur WebRTC - PBX) ?
  • 10 Septembre 2015
    2015-09-11
    par

    Bonjour Didier. En général c'est un opérateur externe à l'entreprise dans le cadre d'un service web qui va fournir le serveur. Cordialement. Philippe

     

  • 9 Septembre 2015
    2015-09-11
    par
    Didier
    Qui fourni le serveur ? L'entreprise ou un opérateur internet externe ?
  • 14 Septembre 2014
    2015-09-11
    par
    Laurent dufour
    Bonjour Philippe et Merci pour cet article très instructif !! effectivement les services WebRTC "poussent de partout" sur internet et il va y avoir bcp à faire pour sécuriser tous ces nouveaux flux qui feront, à n'en pas douter, "le web de demain (donc compter fev/mars 2015 ! :-)) ... à suivre donc (aec bcp d'interêts ! :-))
    LD

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage