Documentation de conformité à l'interception ANSSI R226

Objet du document : Ce document fournit les spécifications techniques requises pour l'autorisation ANSSI R226 en vertu des articles R226-3 et R226-7 du Code pénal français pour le serveur d'applications OmniTAS IMS.

Classification : Documentation de conformité réglementaire

Autorité cible : Agence nationale de la sécurité des systèmes d'information (ANSSI)

Réglementation : R226 - Protection de la vie privée des correspondances et interception légale

1. SPÉCIFICATIONS TECHNIQUES DÉTAILLÉES

1.1 Fiche technique commerciale

Nom du produit : Serveur d'applications OmniTAS IMS
Type de produit : Serveur d'applications de télécommunications (TAS)
Fonction principale : Traitement des appels IMS (IP Multimedia Subsystem) et gestion des sessions
Protocoles réseau : SIP, Diameter, HTTP/HTTPS, SS7/MAP
Modèle de déploiement : Application serveur sur site

Capacités principales

Traitement des appels :

Fonctionnalité proxy et B2BUA du protocole SIP
Traitement des critères de filtrage initiaux IMS (iFC)
Routage des sessions et contrôle des appels
Gestion des appels d'urgence (routage PSAP E.164)
Génération de dossiers de détails d'appels (CDR)

Interfaces réseau :

Nord : Interface IMS S-CSCF (SIP sur TCP/UDP)
Sud : Interface SBC/Passerelle (trunking SIP)
Diameter : Sh (données d'abonné), Ro (facturation en ligne)
SS7 : Interface de passerelle MAP pour l'interopérabilité HLR/MSC
HTTP/HTTPS : Intégration de services externes (SMS, TTS, passerelle MAP)

Stockage et traitement :

Gestion de l'état de session en temps réel
Stockage et récupération des CDR
Base de données d'enregistrement des abonnés (Sofia SIP)
Base de données de configuration (SQLite)

1.2 Capacités d'interception

1.2.1 Acquisition de signal

Capture de signalisation SIP :

L'OmniTAS traite tous les messages de signalisation SIP entre les abonnés IMS et les réseaux externes
Accès complet aux en-têtes SIP, y compris :
- Identification de l'appelant (From, P-Asserted-Identity)
- Identification du destinataire (To, Request-URI)
- URIs de contact et localisation réseau
- Informations de routage des appels
- Description de session (SDP) incluant codecs médias et points de terminaison

Acquisition de métadonnées d'appel :

Dossiers de détails d'appels (CDR) complets stockés dans la base de données avec :
- Horodatage (heures de début, de réponse, de fin)
- Identifiants de l'appelant et du destinataire (MSISDN, IMSI, SIP URI)
- Direction de l'appel (mobile d'origine/terminant)
- Résultat de l'appel (répondu, occupé, échoué, etc.)
- Informations sur la durée et la facturation
- Données de localisation réseau (informations sur la tour cellulaire lorsque disponibles)

Interface d'enregistrement de session (SIPREC) :

Support du protocole SIPREC pour l'interception légale
Capacité à répliquer la signalisation SIP vers des serveurs d'enregistrement externes
Politiques d'enregistrement de session configurables
Contrôle de licence : La fonctionnalité SIPREC nécessite une autorisation de licence explicite
Contrôle d'accès : La configuration SIPREC est restreinte aux administrateurs autorisés

1.2.2 Capacités de traitement des médias

Plan média :

B2BUA avec capacités de relais média RTP
Flux RTP passent par le serveur
Accès aux flux médias à des fins d'interception
Analyse SDP pour les informations sur les points de terminaison et codecs médias

Plan de signalisation :

Analyse et parsing des messages SIP
Encodage/décodage des messages Diameter (interfaces Sh, Ro)
Traitement des requêtes/réponses HTTP/HTTPS

1.2.3 Capacités d'analyse

Surveillance des appels en temps réel :

Tableau de bord de l'interface Web affichant les appels actifs avec :
- État de l'appel (tentative, sonnerie, actif, terminé)
- Informations sur l'appelant/destinataire
- Durée de l'appel
- Informations sur le codec média
- Points de terminaison réseau

Analyse historique :

Base de données CDR interrogeable par :
- Plage horaire
- Numéro de l'appelant/destinataire
- Type d'appel (voix, urgence, etc.)
- Résultat/disposition de l'appel
- Seuils de durée

Suivi des abonnés :

Surveillance de l'enregistrement actif
Suivi de la localisation des abonnés via :
- URI de contact d'enregistrement IMS
- En-tête P-Access-Network-Info (identification de la tour cellulaire)
- Informations sur l'adresse IP et le port
Enregistrements d'enregistrement historiques

Analyse réseau :

Métriques de volume d'appels (intégration Prometheus)
État de la passerelle et connectivité
Connectivité des pairs Diameter
Métriques de performance système

Pour une documentation complète des métriques : Voir metrics.md pour la configuration détaillée de la surveillance, des alertes et de l'observabilité.

Intelligence de localisation :

Intégration de la base de données des tours cellulaires
Cartographie des numéros E.164 vers des emplacements géographiques (Plan de numérotation nord-américain)
Routage des services d'urgence (cartographie PSAP)

1.3 Capacités de contre-mesures

1.3.1 Mécanismes de protection de la vie privée

Confidentialité des communications :

Sécurité de transport TLS Diameter
HTTPS pour les interfaces Web et les API
Chiffrement de la base de données au repos (configurable)

Contrôle d'accès :

Contrôle d'accès basé sur les rôles (RBAC) pour l'interface Web
Hachage des mots de passe avec SHA-512 et sel (65 532 itérations)

Journalisation d'audit :

Piste d'audit complète des actions administratives
Journalisation des modifications de configuration
Journalisation des événements d'authentification
Stockage des journaux à preuve de falsification

1.3.2 Fonctionnalités anti-interception

Communications sécurisées :

TLS obligatoire pour les interfaces externes (configurable)
Authentification basée sur des certificats
Suites de chiffrement à parfaite confidentialité (PFS)

Protection des données :

Politiques de conservation automatique des CDR
Capacités de suppression sécurisée des données
Contrôles d'accès à la base de données
Support de la segmentation réseau (réseaux de gestion/signalisation/média séparés)

Durcissement du système :

Protection des paramètres de démarrage
Mécanismes de vérification d'intégrité
Surface d'attaque minimale (seuls les services nécessaires activés)

1.4 Architecture technique pour l'interception légale

Points d'intégration de l'interception légale

1. Interface SIPREC (Session Recording Protocol - RFC 7866) :

2. Interface d'exportation CDR :

Exportation des CDR vers des systèmes externes
Formats standard (CSV, JSON)
Transfert sécurisé (HTTPS)

3. Accès direct à la base de données :

Identifiants de base de données en lecture seule pour les systèmes autorisés
Accès par requête SQL aux tables CDR
Accès aux données d'enregistrement des abonnés
Accès aux journaux d'audit

4. Intégration API :

API RESTful pour la surveillance des appels
Requêtes d'appels actifs en temps réel
Récupération historique des CDR
État d'enregistrement des abonnés

Mécanismes de déclenchement de l'interception

Interception basée sur la cible :

Correspondance de l'identifiant de l'abonné (MSISDN, IMSI, SIP URI)
Règles d'interception configurables dans la logique de l'application
Forking de session SIPREC basé sur l'identité de l'appelant/destinataire

Interception basée sur des événements :

Détection et enregistrement des appels d'urgence
Surveillance de numéros de destination spécifiques
Déclenchement basé sur des zones géographiques (localisation de la tour cellulaire)

Interception basée sur le temps :

Fenêtres d'enregistrement programmées
Application des périodes de conservation
Expiration automatique des mandats d'interception

2. CAPACITÉS DE CHIFFREMENT ET DE CRYPTANALYSE

2.1 Vue d'ensemble des capacités cryptographiques

Le serveur d'applications OmniTAS IMS met en œuvre des mécanismes cryptographiques pour sécuriser les communications et protéger les données sensibles. Cette section documente toutes les capacités cryptographiques conformément aux exigences de l'ANSSI.

2.2 Chiffrement de la couche de transport

2.2.1 Mise en œuvre de TLS/SSL

Protocoles pris en charge :

TLS 1.2 (RFC 5246)
TLS 1.3 (RFC 8446)
SSL 2.0/3.0 : DÉSACTIVÉ (vulnérabilités connues)
TLS 1.0/1.1 : DÉPRÉCIÉ (configurable, désactivé par défaut)

Suites de chiffrement (liste de priorité configurable) :

Préféré - TLS 1.3 :

TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
TLS_AES_128_GCM_SHA256

Pris en charge - TLS 1.2 :

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

Fonctionnalités de sécurité :

Confidentialité parfaite (PFS) requise
Groupes Diffie-Hellman forts (minimum 2048 bits)
Cryptographie à courbe elliptique : NIST P-256, P-384, P-521
Support de l'indication de nom de serveur (SNI)
OCSP stapling pour la validation des certificats

Gestion des certificats :

Support des certificats X.509
Tailles de clé RSA : minimum 2048 bits, recommandé 4096 bits
Support ECDSA (P-256, P-384)
Validation de la chaîne de certificats
Vérification de révocation CRL et OCSP
Certificats auto-signés (développement uniquement)
Intégration CA externe

Applications :

HTTPS pour l'accès à l'interface Web et à l'API
Diameter sur TLS

2.3 Chiffrement des données au repos

2.3.1 Chiffrement de la base de données

Chiffrement SQLite :

Support de l'intégration SQLCipher
Chiffrement AES-256
Stockage chiffré pour les données sensibles (CDR, données d'abonné)

2.3.2 Chiffrement du système de fichiers

Stockage de données sensibles :

Fichiers CDR : chiffrement AES-256 (optionnel)
Fichiers de configuration : stockage chiffré pour les identifiants
Clés privées : magasins de clés chiffrés (PKCS#12, PEM avec phrase de passe)
Fichiers journaux : support de chiffrement pour les journaux archivés

Stockage des clés :

Magasins de clés basés sur des fichiers avec protection par phrase de passe
Mécanismes de rotation sécurisée des clés

2.4 Authentification et cryptographie des mots de passe

2.4.1 Hachage des mots de passe

Algorithme : SHA-512 avec sel
Configuration :

Sel généré aléatoirement (minimum 128 bits)
65 532 tours d'itération (configurable)
Sel stocké avec le hachage
Résistant aux attaques par tables arc-en-ciel

Format de stockage :

$6$rounds=65532$<sel>$<hash>

Applications :

Authentification des utilisateurs de l'interface Web
Génération de jetons API
Stockage des mots de passe des administrateurs
Identifiants des utilisateurs de la base de données

2.4.2 Authentification par clé SSH

Types de clés pris en charge :

RSA : 1024-4096 bits (2048 bits minimum recommandé)
DSA : 1024-4096 bits (déprécié, RSA préféré)
ECDSA : courbes P-256, P-384, P-521
Ed25519 : 256 bits (préféré pour les nouveaux déploiements)

Gestion des clés :

Support de génération de clés externes
Importation de clés publiques pour l'authentification des clients
Gestion des clés d'hôte du serveur
Révocation de clés individuelles
Procédures de rotation des clés

Protocole SSH :

Protocole SSH-2 uniquement (SSH-1 désactivé)
Algorithmes MAC forts (HMAC-SHA2-256, HMAC-SHA2-512)
Échange de clés : curve25519-sha256, ecdh-sha2-nistp256, diffie-hellman-group14-sha256

2.5 Sécurité du protocole Diameter

2.5.1 Mécanismes de sécurité Diameter

Sécurité de transport :

TLS sur TCP pour les connexions entre pairs Diameter
Authentification mutuelle par certificat

Sécurité au niveau de l'application :

Authentification des pairs via validation de l'Origin-Host/Origin-Realm
Configuration de secret partagé (héritage, déprécié)
Chiffrement AVP (Attribute-Value Pair) pour les données sensibles
Sécurité de bout en bout avec CMS (Cryptographic Message Syntax)

2.6 Mécanismes d'identité SIP

P-Asserted-Identity :

Assertion de réseau de confiance
Validation et traduction d'identité
Support de l'en-tête de confidentialité

Remarque : L'authentification des abonnés est effectuée par le cœur IMS (P-CSCF/S-CSCF), et non par le TAS.

2.7 Capacités de cryptanalyse et d'évaluation de la sécurité

2.7.1 Outils d'analyse de protocole

Capacités de débogage intégrées :

Traçage des messages SIP avec capture complète des en-têtes/corps
Journalisation des messages Diameter (décodage AVP)
Débogage de la poignée de main TLS
Journalisation de la validation de la chaîne de certificats

Intégration externe :

Support de capture de paquets Wireshark/tcpdump
Export SSLKEYLOGFILE pour le déchiffrement TLS (développement uniquement)
Export PCAP pour analyse hors ligne

2.7.2 Considérations d'évaluation des vulnérabilités

Vulnérabilités cryptographiques connues :

Support MD5 hérité dans le Digest SIP (maintenu pour la compatibilité)
Suites de chiffrement faibles configurables (désactivées par défaut)
Support de certificats auto-signés (développement/test uniquement)

Tests de sécurité :

Audits de sécurité réguliers recommandés
Support des tests de pénétration
Validation de la force des suites de chiffrement
Surveillance de l'expiration des certificats

2.8 Infrastructure de gestion des clés

2.8.1 Génération de clés

Génération de clés internes :

Génération de clés RSA : bibliothèque OpenSSL (algorithmes conformes à FIPS 140-2)
Génération de nombres aléatoires : /dev/urandom (CSPRNG du noyau Linux)
Sources d'entropie : RNG matériel, pool d'entropie système

2.8.2 Stockage et protection des clés

Stockage de clés privées :

Système de fichiers avec permissions restreintes (0600)
Format PEM chiffré avec phrase de passe
Suppression sécurisée lors de la rotation des clés

Sauvegarde des clés :

Procédures de sauvegarde chiffrées
Mécanismes de récupération de clés divisées
Escroquerie sécurisée des clés (si requis par la réglementation)

2.8.3 Distribution des clés

Distribution de certificats :

Importation manuelle via l'interface Web
Provisionnement automatisé via API
Support du protocole ACME (Let's Encrypt, amélioration future)

Distribution de clés symétriques :

Échange de clés hors bande pour les pairs Diameter
Accord de clés Diffie-Hellman dans TLS
Pas de transmission de clés en clair

2.9 Conformité et normes

Conformité aux normes cryptographiques :

NIST SP 800-52 : directives TLS
NIST SP 800-131A : transitions d'algorithmes cryptographiques
RFC 7525 : recommandations TLS
ETSI TS 133 310 : sécurité des réseaux IMS
3GPP TS 33.203 : sécurité d'accès IMS

Réglementations françaises sur la cryptographie :

Déclaration des moyens cryptographiques (le cas échéant)
Certification de produit cryptographique ANSSI (si requis)
Pas de cryptographie restreinte à l'exportation (tous les algorithmes standards)

2.10 Résistance à la cryptanalyse

2.10.1 Principes de conception

Défense contre la cryptanalyse :

Pas d'algorithmes cryptographiques personnalisés/propriétaires
Algorithmes standard de l'industrie, examinés par des pairs uniquement
Mises à jour de sécurité régulières pour les bibliothèques cryptographiques
Dépréciation des algorithmes faibles

2.10.2 Sécurité opérationnelle

Rotation des clés :

Renouvellement des certificats TLS (annuel recommandé)
Rotation des clés de session (par session pour TLS)
Politiques d'expiration des mots de passe (configurables)

Surveillance et détection :

Journalisation des tentatives d'authentification échouées
Alertes d'expiration des certificats
Journalisation de la négociation des suites de chiffrement
Détection d'anomalies pour les échecs de chiffrement

3. CONTRÔLE D'INTERCEPTION ET AUTORISATION

3.1 Contrôle d'accès pour l'interception légale

Autorisation administrative :

Les fonctionnalités d'interception légale nécessitent des privilèges de niveau administrateur
Accès à la configuration SIPREC : rôle super-admin uniquement
Accès aux CDR : permissions basées sur des rôles configurables
Journalisation d'audit de toutes les actions liées à l'interception

Intégration du cadre juridique :

Suivi des mandats d'interception (intégration de systèmes externes)
Listes d'autorisation d'identifiants cibles
Activation d'interception limitée dans le temps
Désactivation automatique à l'expiration du mandat

3.2 Conservation des données et vie privée

Politiques de conservation :

Conservation des CDR : configurable (90 jours par défaut, exigence réglementaire 1 an)
Journaux d'enregistrement : conservation configurable
Journaux d'audit : conservation minimale de 1 an
Purge automatique des données expirées

Protections de la vie privée :

Principe de minimisation de la collecte de données
Limitation des finalités (fourniture de services de télécommunications)
Journalisation et surveillance des accès

3.3 Interfaces de transfert pour les forces de l'ordre

Interfaces standard d'interception légale :

Support de l'interface ETSI LI (Lawful Interception) (via un dispositif de médiation externe)
Intégration de SIPREC à la passerelle LI
Support des interfaces X1, X2, X3 (système externe)

Formats de livraison :

IRI (Intercept Related Information) : métadonnées CDR
CC (Content of Communication) : signalisation SIP + média (via MRF)
Reporting structuré : formats XML, JSON

4. SÉCURITÉ ET INTÉGRITÉ DU SYSTÈME

4.1 Sécurité de démarrage

Mécanismes de démarrage sécurisé :

Protection des paramètres de démarrage (exigence ANSSI R226)
Vérification de l'intégrité de la configuration
Détection de falsification au démarrage
Chargement sécurisé de la configuration

4.2 Sécurité réseau

Sécurité réseau :

Ports exposés minimaux (SIP, Diameter, HTTPS uniquement)
Contrôle d'accès basé sur les ports
Liste blanche/noire d'adresses IP

4.3 Détection d'intrusion

Capacités de surveillance :

Surveillance des authentifications échouées
Détection de modèles d'appels inhabituels
Détection de trafic Diameter anormal
Alertes d'événements de sécurité (intégration SIEM)

5. RÉFÉRENCES DOCUMENTAIRES

5.1 Manuels techniques

Documentation disponible dans le dépôt du projet :

README.md : Vue d'ensemble du système, architecture et fonctionnalités opérationnelles
doc/deployment_guide.md : Instructions de déploiement (si disponibles)
doc/configuration.md : Référence de configuration (si disponible)

5.2 Certifications de sécurité

Rapports de tests de pénétration : [À fournir sur demande]
Rapports d'audit de sécurité : [À fournir sur demande]
Validation de module cryptographique : Conformité OpenSSL FIPS 140-2

5.3 Documentation de conformité

Demande d'autorisation ANSSI R226 : Ce document
Conformité à l'interception légale : Comme requis par les réglementations françaises en matière de télécommunications

6. INFORMATIONS DE CONTACT

Informations sur le fournisseur/opérateur :

Nom de la société : Omnitouch Network Services Pty Ltd
Adresse : PO BOX 296, QUINNS ROCKS WA 6030, AUSTRALIE
Personne de contact : Équipe de conformité
Email : compliance@omnitouch.com.au

Contact technique en matière de sécurité :

Nom : Équipe de conformité
Email : compliance@omnitouch.com.au

Contact juridique/conformité :

Nom : Équipe de conformité
Email : compliance@omnitouch.com.au

ANNEXES

Annexe A : Exemples de flux de messages SIP

A.1 Flux d'appel mobile d'origine avec points d'interception

Légende : [INTERCEPTION] = Points où les données d'interception légale sont capturées

A.2 Appel d'urgence avec suivi de localisation

A.3 Établissement de session d'enregistrement SIPREC

Annexe B : Schéma CDR

Le système OmniTAS stocke les dossiers de détails d'appels dans une base de données SQLite (format CDR FreeSWITCH) située à /etc/freeswitch/db/cdr.db.

B.1 Champs clés CDR pour l'interception légale

Nom du champ	Type	Description	Pertinence pour l'interception
`uuid`	TEXT	Identifiant d'appel unique	Corrélation de session
`caller_id_number`	TEXT	Numéro de l'appelant (MSISDN)	Identifiant principal pour le suivi de la cible
`caller_id_name`	TEXT	Nom d'affichage de l'appelant	Vérification d'identité
`destination_number`	TEXT	Numéro de la partie appelée	Suivi de la destination cible
`start_stamp`	DATETIME	Horodatage de début d'appel	Chronologie des événements
`answer_stamp`	DATETIME	Horodatage de réponse d'appel	Heure d'établissement de l'appel
`end_stamp`	DATETIME	Horodatage de fin d'appel	Calcul de la durée de session
`duration`	INTEGER	Durée totale de l'appel (secondes)	Longueur de session
`billsec`	INTEGER	Secondes facturables (temps répondu)	Durée réelle de conversation
`hangup_cause`	TEXT	Raison de la terminaison de l'appel	Analyse des résultats d'appel
`sip_hangup_disposition`	TEXT	Détails de terminaison SIP	Terminaison au niveau du protocole
`network_addr`	TEXT	Adresse IP réseau	Suivi de la localisation source
`sip_from_user`	TEXT	Partie utilisateur de l'en-tête SIP From	Identité SIP d'origine
`sip_to_user`	TEXT	Partie utilisateur de l'en-tête SIP To	Destination SIP
`sip_call_id`	TEXT	En-tête SIP Call-ID	Corrélation de session SIP

B.2 Exemples de requêtes CDR pour l'interception légale

Requête des appels par numéro cible :

SELECT * FROM cdr
WHERE caller_id_number = '+33612345678'
   OR destination_number = '+33612345678'
ORDER BY start_stamp DESC;

Requête des appels dans une fenêtre temporelle :

SELECT * FROM cdr
WHERE start_stamp BETWEEN '2025-11-01 00:00:00' AND '2025-11-30 23:59:59'
  AND (caller_id_number = '+33612345678' OR destination_number = '+33612345678')
ORDER BY start_stamp DESC;

Exportation au format CSV pour les forces de l'ordre :

.mode csv
.output /tmp/interception_report.csv
SELECT caller_id_number, destination_number, start_stamp, end_stamp, duration, hangup_cause
FROM cdr
WHERE caller_id_number = '+33612345678'
ORDER BY start_stamp DESC;
.output stdout

B.3 Conservation des CDR

Conservation par défaut : configurable (typiquement 90 jours à 1 an)
Purge automatique : supportée
Exportation manuelle : via l'interface Web à /cdr ou API
Format : base de données SQLite, exportable en CSV/JSON

Annexe C : Exemples de configuration SIPREC

SIPREC (Session Initiation Protocol Recording) permet à l'OmniTAS d'envoyer à la fois la signalisation d'appel et les médias vers des serveurs d'enregistrement de session externes pour une interception légale.

C.1 Architecture SIPREC

C.2 Déclenchement de l'enregistrement SIPREC

L'enregistrement peut être déclenché en fonction de :

Basé sur la cible :

Numéro de téléphone de l'appelant (caller_id_number)
Numéro de téléphone de la partie appelée (destination_number)
Correspondance de l'URI SIP

Basé sur des événements :

Tous les appels d'urgence (911, 112, etc.)
Appels vers/depuis des destinations spécifiques
Enregistrement basé sur une fenêtre temporelle

Géographique :

Localisation de la tour cellulaire (via l'en-tête P-Access-Network-Info)
Plages d'adresses IP

C.3 Contenu de session SIPREC

La session SIPREC envoie au SRS :

Métadonnées de signalisation :

En-têtes SIP complets (From, To, P-Asserted-Identity)
Call-ID et identifiants de session
Horodatages (début, réponse, fin)
Informations sur l'appelant/destinataire

Flux médias :

Flux RTP du participant 1 (audio de l'appelant)
Flux RTP du participant 2 (audio du destinataire)
Informations sur le codec
Tons DTMF

C.4 Intégration avec les forces de l'ordre

Le serveur d'enregistrement de session fournit :

Interface X1 : Fonction administrative (gestion des mandats)
Interface X2 : Informations liées à l'interception (IRI) - métadonnées d'appel
Interface X3 : Contenu de la communication (CC) - contenu média réel

L'OmniTAS sert de client d'enregistrement de session (SRC) et livre à la fois l'IRI et le CC au SRS pour remise aux forces de l'ordre via des interfaces standardisées.

Annexe D : Guide de configuration du chiffrement

D.1 Génération de certificats

Générer un certificat TLS :

# Générer une clé privée
openssl genrsa -out server.key 4096

# Générer une demande de signature de certificat
openssl req -new -key server.key -out server.csr

# Certificat auto-signé (pour les tests)
openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

# Production : Obtenir un certificat d'une CA de confiance

Remarque : La signalisation SIP vers/depuis IMS n'utilise pas TLS. La communication SIP est en TCP/UDP non chiffré.

D.2 Configuration HTTPS pour l'interface Web

API/Serveur Web TLS (config/runtime.exs) :

config :api_ex,
  api: %{
    enable_tls: true,
    tls_cert_path: "priv/cert/server.crt",
    tls_key_path: "priv/cert/server.key",
    tls_versions: [:"tlsv1.2", :"tlsv1.3"],
    ciphers: [
      "ECDHE-RSA-AES256-GCM-SHA384",
      "ECDHE-RSA-AES128-GCM-SHA256",
      "TLS_AES_256_GCM_SHA384",
      "TLS_AES_128_GCM_SHA256"
    ]
  }

D.3 Configuration SIP

Les interfaces SIP utilisent un transport TCP/UDP non chiffré. Aucune configuration TLS requise.

Profil SIP FreeSWITCH :

<!-- Le profil SIP utilise uniquement TCP/UDP -->
<profile name="external">
  <settings>
    <param name="sip-port" value="5060"/>
    <param name="context" value="public"/>
  </settings>
</profile>

D.4 Configuration TLS Diameter

TLS pour les pairs Diameter :

# Activer TLS pour les connexions Diameter
config :diameter_ex,
  peers: [
    %{
      host: "dra.example.com",
      port: 3868,
      transport: :tls,
      tls_opts: [
        certfile: "priv/cert/diameter.crt",
        keyfile: "priv/cert/diameter.key",
        cacertfile: "priv/cert/ca.crt",
        verify: :verify_peer
      ]
    }
  ]

D.5 Chiffrement de la base de données

Chiffrement SQLite avec SQLCipher :

# config/runtime.exs
config :exqlite,
  encryption: true,
  encryption_key: System.get_env("DB_ENCRYPTION_KEY")

Remarque : Le chiffrement de la base de données est optionnel. Pour des raisons d'interception légale, les contrôles d'accès physique et la journalisation d'accès à la base de données peuvent être suffisants.

D.6 Configuration de sécurité des mots de passe

Le hachage des mots de passe est automatiquement configuré avec SHA-512 et sel :

# Configuration par défaut du hachage des mots de passe
config :pbkdf2_elixir,
  rounds: 65_532,
  salt_len: 16

Aucune configuration supplémentaire requise - sécurisé par défaut.

Annexe E : Glossaire

Organismes réglementaires et normes

ANSSI : Agence nationale de la sécurité des systèmes d'information - Agence nationale de cybersécurité française
ETSI : European Telecommunications Standards Institute
3GPP : 3rd Generation Partnership Project - Organisation de normalisation des télécommunications mobiles
IETF : Internet Engineering Task Force - Organisme de normalisation Internet

Composants du réseau IMS

IMS : IP Multimedia Subsystem - Architecture réseau tout-IP pour les services multimédias
CSCF : Call Session Control Function - Serveur SIP dans le cœur IMS
- P-CSCF : Proxy-CSCF - Premier point de contact pour l'UE, proxy SIP
- I-CSCF : Interrogating-CSCF - Point d'entrée dans le réseau de l'opérateur
- S-CSCF : Serving-CSCF - Contrôle de session et déclenchement de services
HSS : Home Subscriber Server - Base de données des abonnés
TAS : Serveur d'applications de téléphonie/télécommunications - Exécution de la logique de service

Protocoles et signalisation

SIP : Session Initiation Protocol (RFC 3261) - Protocole de signalisation pour les appels voix/vidéo
SDP : Session Description Protocol (RFC 4566) - Paramètres de session média
RTP : Real-time Transport Protocol (RFC 3550) - Transport de flux média
RTCP : RTP Control Protocol - Surveillance de la qualité pour RTP
SRTP : Secure RTP (RFC 3711) - Flux média chiffrés
Diameter : Protocole AAA utilisé dans IMS (authentification, autorisation, comptabilité)
- Sh : Interface Diameter pour l'accès aux données d'abonné
- Ro : Interface Diameter pour la facturation en ligne
SIPREC : Session Initiation Protocol Recording (RFC 7866) - Protocole d'enregistrement d'appel

Équipements de télécommunications

SBC : Session Border Controller - Sécurité réseau et passerelle média
MRF : Media Resource Function - Traitement média (transcodage, mixage, enregistrement)
UE : Équipement utilisateur - Appareil mobile ou terminal
PSAP : Public Safety Answering Point - Centre d'appel des services d'urgence
DRA : Diameter Routing Agent - Routage des messages Diameter

Interception légale

LI : Interception légale - Surveillance légale des télécommunications
IRI : Intercept Related Information - Métadonnées d'appel pour les forces de l'ordre
CC : Content of Communication - Contenu réel de la voix/média
SRC : Client d'enregistrement de session - Client SIPREC (rôle OmniTAS)
SRS : Serveur d'enregistrement de session - Serveur SIPREC pour le stockage d'enregistrements
Interface X1 : Interface administrative LI (gestion des mandats)
Interface X2 : Interface LI pour la livraison d'IRI
Interface X3 : Interface LI pour la livraison de CC
R226 : Articles R226-3 et R226-7 du Code pénal français régissant l'équipement d'interception

Traitement des appels

CDR : Call Detail Record - Dossier de facturation et de journalisation pour chaque appel
B2BUA : Back-to-Back User Agent - Élément SIP agissant à la fois comme client et serveur
DTMF : Dual-Tone Multi-Frequency - Signaux à tonalité
MSISDN : Mobile Station International Subscriber Directory Number - Numéro de téléphone
IMSI : International Mobile Subscriber Identity - Identifiant unique d'abonné
E.164 : Plan de numérotation international pour les numéros de téléphone

Sécurité et chiffrement

TLS : Transport Layer Security (RFC 5246, RFC 8446) - Protocole de chiffrement
PFS : Perfect Forward Secrecy - Propriété cryptographique garantissant la sécurité des clés de session
SHA-512 : Algorithme de hachage sécurisé avec sortie de 512 bits
AES : Advanced Encryption Standard
RSA : Rivest-Shamir-Adleman - Algorithme de cryptographie à clé publique
ECDSA : Elliptic Curve Digital Signature Algorithm
PKI : Public Key Infrastructure - Système de gestion des certificats
CA : Certificate Authority - Émet des certificats numériques
CRL : Certificate Revocation List
OCSP : Online Certificate Status Protocol

Réseau et localisation

MAP : Mobile Application Part - Protocole SS7 pour les réseaux mobiles
HLR : Home Location Register - Base de données de localisation des abonnés (héritage)
SS7 : Signaling System No. 7 - Signalisation téléphonique héritée
NANP : North American Numbering Plan
Tour cellulaire/ID de cellule : Identifiant de station de base du réseau mobile pour le suivi de localisation

Formats de données et stockage

SQLite : Base de données relationnelle embarquée
SQLCipher : Extension SQLite avec support de chiffrement
CSV : Valeurs séparées par des virgules - Format d'exportation
JSON : JavaScript Object Notation - Format d'échange de données
XML : eXtensible Markup Language - Format de données structuré

Composants d'application

API : Application Programming Interface - Accès programmatique
UI : User Interface - Panneau de contrôle basé sur le Web
RBAC : Role-Based Access Control - Système de permissions
UUID : Universally Unique Identifier - Suivi de session

Version du document : 1.0
Date : 2025-11-29
Préparé pour : Demande d'autorisation ANSSI R226
Classification du document : Conformité réglementaire - Confidentiel

1. SPÉCIFICATIONS TECHNIQUES DÉTAILLÉES​

1.1 Fiche technique commerciale​

Capacités principales​

1.2 Capacités d'interception​

1.2.1 Acquisition de signal​

1.2.2 Capacités de traitement des médias​

1.2.3 Capacités d'analyse​

1.3 Capacités de contre-mesures​

1.3.1 Mécanismes de protection de la vie privée​

1.3.2 Fonctionnalités anti-interception​

1.4 Architecture technique pour l'interception légale​

Points d'intégration de l'interception légale​

Mécanismes de déclenchement de l'interception​

2. CAPACITÉS DE CHIFFREMENT ET DE CRYPTANALYSE​

2.1 Vue d'ensemble des capacités cryptographiques​

2.2 Chiffrement de la couche de transport​

2.2.1 Mise en œuvre de TLS/SSL​

2.3 Chiffrement des données au repos​

2.3.1 Chiffrement de la base de données​

2.3.2 Chiffrement du système de fichiers​

2.4 Authentification et cryptographie des mots de passe​

2.4.1 Hachage des mots de passe​

2.4.2 Authentification par clé SSH​

2.5 Sécurité du protocole Diameter​

2.5.1 Mécanismes de sécurité Diameter​

2.6 Mécanismes d'identité SIP​

2.7 Capacités de cryptanalyse et d'évaluation de la sécurité​

2.7.1 Outils d'analyse de protocole​

2.7.2 Considérations d'évaluation des vulnérabilités​

2.8 Infrastructure de gestion des clés​

2.8.1 Génération de clés​

2.8.2 Stockage et protection des clés​

2.8.3 Distribution des clés​

2.9 Conformité et normes​

2.10 Résistance à la cryptanalyse​

2.10.1 Principes de conception​

2.10.2 Sécurité opérationnelle​

3. CONTRÔLE D'INTERCEPTION ET AUTORISATION​

3.1 Contrôle d'accès pour l'interception légale​

3.2 Conservation des données et vie privée​

3.3 Interfaces de transfert pour les forces de l'ordre​

4. SÉCURITÉ ET INTÉGRITÉ DU SYSTÈME​

4.1 Sécurité de démarrage​

4.2 Sécurité réseau​

4.3 Détection d'intrusion​

5. RÉFÉRENCES DOCUMENTAIRES​

5.1 Manuels techniques​

5.2 Certifications de sécurité​

5.3 Documentation de conformité​

6. INFORMATIONS DE CONTACT​

ANNEXES​

Annexe A : Exemples de flux de messages SIP​

A.1 Flux d'appel mobile d'origine avec points d'interception​

A.2 Appel d'urgence avec suivi de localisation​

A.3 Établissement de session d'enregistrement SIPREC​

Annexe B : Schéma CDR​

B.1 Champs clés CDR pour l'interception légale​

B.2 Exemples de requêtes CDR pour l'interception légale​

B.3 Conservation des CDR​

Annexe C : Exemples de configuration SIPREC​

C.1 Architecture SIPREC​

C.2 Déclenchement de l'enregistrement SIPREC​

C.3 Contenu de session SIPREC​

C.4 Intégration avec les forces de l'ordre​

Annexe D : Guide de configuration du chiffrement​

D.1 Génération de certificats​

D.2 Configuration HTTPS pour l'interface Web​

D.3 Configuration SIP​

D.4 Configuration TLS Diameter​

D.5 Chiffrement de la base de données​

D.6 Configuration de sécurité des mots de passe​

Annexe E : Glossaire​

Organismes réglementaires et normes​

Composants du réseau IMS​

Protocoles et signalisation​

Équipements de télécommunications​

Interception légale​

Traitement des appels​

Sécurité et chiffrement​

Réseau et localisation​