Documentation de Conformité à l'Interception ANSSI R226

Objet du Document : Ce document fournit les spécifications techniques requises pour l'autorisation ANSSI R226 en vertu des Articles R226-3 et R226-7 du Code Pénal Français pour le Serveur d'Applications OmniTAS IMS.

Classification : Documentation de Conformité Réglementaire

Autorité Cible : Agence nationale de la sécurité des systèmes d'information (ANSSI)

Réglementation : R226 - Protection de la Vie Privée des Correspondances et Interception Légale

1. SPÉCIFICATIONS TECHNIQUES DÉTAILLÉES

1.1 Fiche Technique Commerciale

Nom du Produit : Serveur d'Applications OmniTAS IMS
Type de Produit : Serveur d'Applications de Télécommunications (TAS)
Fonction Principale : Traitement des appels IMS (IP Multimedia Subsystem) et gestion des sessions
Protocoles Réseau : SIP, Diameter, HTTP/HTTPS, SS7/MAP
Modèle de Déploiement : Application serveur sur site

Capacités Principales

Traitement des Appels :

Fonctionnalité proxy SIP et B2BUA
Traitement des Critères de Filtrage Initiaux IMS (iFC)
Routage des sessions et contrôle des appels
Gestion des appels d'urgence (routage PSAP E.164)
Génération de Détails d'Appel (CDR)

Interfaces Réseau :

Nord : Interface IMS S-CSCF (SIP sur TCP/UDP)
Sud : Interface SBC/Passerelle (trunking SIP)
Diameter : Sh (données d'abonné), Ro (facturation en ligne)
SS7 : Interface de passerelle MAP pour l'interopérabilité HLR/MSC
HTTP/HTTPS : Intégration de services externes (SMS, TTS, passerelle MAP)

Stockage et Traitement :

Gestion de l'état de session en temps réel
Stockage et récupération des CDR
Base de données d'enregistrement des abonnés (Sofia SIP)
Base de données de configuration (SQLite)

1.2 Capacités d'Interception

1.2.1 Acquisition de Signal

Capture de Signalisation SIP :

L'OmniTAS traite tous les messages de signalisation SIP entre les abonnés IMS et les réseaux externes
Accès complet aux en-têtes SIP, y compris :
- Identification de la partie appelante (From, P-Asserted-Identity)
- Identification de la partie appelée (To, Request-URI)
- URIs de contact et localisation réseau
- Informations de routage des appels
- Description de session (SDP) incluant codecs médias et points de terminaison

Acquisition de Métadonnées d'Appel :

D��tails d'Appel Complets (CDR) stockés dans la base de données avec :
- Horodatage (heures de début, de réponse, de fin)
- Identifiants de l'appelant et du appelé (MSISDN, IMSI, SIP URI)
- Direction de l'appel (mobile d'origine/terminant)
- Résultat de l'appel (répondu, occupé, échoué, etc.)
- Informations sur la durée et la facturation
- Données de localisation réseau (informations sur la tour cellulaire lorsque disponibles)

Interface d'Enregistrement de Session (SIPREC) :

Support du protocole SIPREC pour l'interception légale
Capacité à répliquer la signalisation SIP vers des serveurs d'enregistrement externes
Politiques d'enregistrement de session configurables
Contrôle de Licence : La fonctionnalité SIPREC nécessite une autorisation de licence explicite
Contrôle d'Accès : La configuration SIPREC est restreinte aux administrateurs autorisés

1.2.2 Capacités de Traitement des Médias

Plan Média :

B2BUA avec capacités de relais médias RTP
Flux RTP passant par le serveur
Accès aux flux médias à des fins d'interception
Analyse SDP pour les informations sur les points de terminaison et les codecs médias

Plan de Signalisation :

Analyse et parsing des messages SIP
Encodage/décodage des messages Diameter (interfaces Sh, Ro)
Traitement des requêtes/réponses HTTP/HTTPS

1.2.3 Capacités d'Analyse

Surveillance des Appels en Temps Réel :

Tableau de bord UI Web affichant les appels actifs avec :
- État de l'appel (tentative, sonnerie, actif, terminé)
- Informations sur l'appelant/l'appelé
- Durée de l'appel
- Informations sur le codec média
- Points de terminaison réseau

Analyse Historique :

Base de données CDR interrogeable par :
- Plage horaire
- Numéro de la partie appelante/appelée
- Type d'appel (voix, urgence, etc.)
- Résultat/disposition de l'appel
- Seuils de durée

Suivi des Abonnés :

Surveillance de l'enregistrement actif
Suivi de la localisation des abonnés via :
- URI de contact d'enregistrement IMS
- En-tête P-Access-Network-Info (identification de la tour cellulaire)
- Informations sur l'adresse IP et le port
Enregistrements d'enregistrement historiques

Analyse Réseau :

Métriques de volume d'appels (intégration Prometheus)
État et connectivité de la passerelle
Connectivité des pairs Diameter
Métriques de performance du système

Pour une documentation complète des métriques : Voir metrics.md pour la configuration détaillée de la surveillance, des alertes et de l'observabilité.

Intelligence de Localisation :

Intégration de la base de données des tours cellulaires
Mappage des numéros E.164 à la localisation géographique (Plan de Numérotation Nord-Américain)
Routage des services d'urgence (mappage PSAP)

1.3 Capacités de Contre-Mesures

1.3.1 Mécanismes de Protection de la Vie Privée

Confidentialité des Communications :

Sécurité du transport TLS Diameter
HTTPS pour les interfaces web et les API
Chiffrement de la base de données au repos (configurable)

Contrôle d'Accès :

Contrôle d'accès basé sur les rôles (RBAC) pour l'UI web
Hachage des mots de passe avec SHA-512 et sel (65 532 itérations)

Journalisation d'Audit :

Piste d'audit complète des actions administratives
Journalisation des modifications de configuration
Journalisation des événements d'authentification
Stockage des journaux à preuve de falsification

1.3.2 Fonctionnalités Anti-Interception

Communications Sécurisées :

TLS obligatoire pour les interfaces externes (configurable)
Authentification par certificat
Suites de chiffrement à Parfaite Confidentialité Avancée (PFS)

Protection des Données :

Politiques de conservation automatique des CDR
Capacités de suppression sécurisée des données
Contrôles d'accès à la base de données
Support de la segmentation réseau (réseaux de gestion/signalisation/média séparés)

Renforcement du Système :

Protection des paramètres de démarrage
Mécanismes de vérification d'intégrité
Surface d'attaque minimale (seuls les services requis activés)

1.4 Architecture Technique pour l'Interception Légale

Points d'Intégration de l'Interception Légale

1. Interface SIPREC (Protocole d'Enregistrement de Session - RFC 7866) :

2. Interface d'Exportation CDR :

Exportation des CDR vers des systèmes externes
Formats standards (CSV, JSON)
Transfert sécurisé (HTTPS)

3. Accès Direct à la Base de Données :

Identifiants de base de données en lecture seule pour les systèmes autorisés
Accès aux requêtes SQL pour les tables CDR
Accès aux données d'enregistrement des abonnés
Accès aux journaux d'audit

4. Intégration API :

API RESTful pour la surveillance des appels
Requêtes d'appels actifs en temps réel
Récupération historique des CDR
Statut d'enregistrement des abonn��s

Mécanismes de Déclenchement de l'Interception

Interception Basée sur la Cible :

Correspondance de l'identifiant de l'abonné (MSISDN, IMSI, SIP URI)
Règles d'interception configurables dans la logique de l'application
Forking de session SIPREC basé sur l'identité de l'appelant/appelé

Interception Basée sur des Événements :

Détection et enregistrement des appels d'urgence
Surveillance de numéros de destination spécifiques
Déclenchement basé sur des zones géographiques (localisation de la tour cellulaire)

Interception Basée sur le Temps :

Fenêtres d'enregistrement programmées
Application des périodes de conservation
Expiration automatique des mandats d'interception

2. CAPACITÉS DE CHIFFREMENT ET DE CRYPTANALYSE

2.1 Vue d'Ensemble des Capacités Cryptographiques

Le Serveur d'Applications OmniTAS IMS met en œuvre des mécanismes cryptographiques pour sécuriser les communications et protéger les données sensibles. Cette section documente toutes les capacités cryptographiques conformément aux exigences de l'ANSSI.

2.2 Chiffrement de la Couche de Transport

2.2.1 Mise en Œuvre TLS/SSL

Protocoles Supportés :

TLS 1.2 (RFC 5246)
TLS 1.3 (RFC 8446)
SSL 2.0/3.0 : DÉSACTIVÉ (vulnérabilités connues)
TLS 1.0/1.1 : D��PRÉCIÉ (configurable, désactivé par défaut)

Suites de Chiffrement (Liste de Priorité Configurable) :

Préféré - TLS 1.3 :

TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
TLS_AES_128_GCM_SHA256

Supporté - TLS 1.2 :

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

Fonctionnalités de Sécurité :

Confidentialité Parfaite Avancée (PFS) requise
Groupes Diffie-Hellman forts (minimum 2048 bits)
Cryptographie à Courbe Élliptique : NIST P-256, P-384, P-521
Support de l'Indication de Nom de Serveur (SNI)
Stapling OCSP pour la validation des certificats

Gestion des Certificats :

Support des certificats X.509
Tailles de clé RSA : minimum 2048 bits, recommandé 4096 bits
Support ECDSA (P-256, P-384)
Validation de la chaîne de certificats
Vérification de révocation CRL et OCSP
Certificats auto-signés (développement uniquement)
Intégration CA externe

Applications :

HTTPS pour l'accès à l'UI web et à l'API
Diameter sur TLS

2.3 Chiffrement des Données au Repos

2.3.1 Chiffrement de la Base de Données

Chiffrement SQLite :

Support d'intégration SQLCipher
Chiffrement AES-256
Stockage chiffré pour les données sensibles (CDR, données d'abonnés)

2.3.2 Chiffrement du Système de Fichiers

Stockage de Données Sensibles :

Fichiers CDR : chiffrement AES-256 (optionnel)
Fichiers de configuration : stockage chiffré pour les identifiants
Clés privées : magasins de clés chiffrés (PKCS#12, PEM avec phrase de passe)
Fichiers journaux : support de chiffrement pour les journaux archivés

Stockage de Clés :

Magasins de clés basés sur des fichiers avec protection par phrase de passe
Mécanismes de rotation sécurisée des clés

2.4 Authentification et Cryptographie des Mots de Passe

2.4.1 Hachage des Mots de Passe

Algorithme : SHA-512 avec sel
Configuration :

Sel généré aléatoirement (minimum 128 bits)
65 532 tours d'itérations (configurable)
Sel stocké avec le hachage
Résistant aux attaques par tables arc-en-ciel

Format de Stockage :

$6$rounds=65532$<sel>$<hash>

Applications :

Authentification des utilisateurs de l'UI web
Génération de jetons API
Stockage des mots de passe administrateurs
Identifiants des utilisateurs de la base de données

2.4.2 Authentification par Clé SSH

Types de Clés Supportés :

RSA : 1024-4096 bits (2048 bits minimum recommandé)
DSA : 1024-4096 bits (déprécié, RSA préféré)
ECDSA : courbes P-256, P-384, P-521
Ed25519 : 256 bits (préféré pour les nouveaux déploiements)

Gestion des Clés :

Support de génération de clés externes
Importation de clés publiques pour l'authentification des clients
Gestion des clés d'hôte du serveur
Révocation de clés individuelles
Procédures de rotation des clés

Protocole SSH :

Protocole SSH-2 uniquement (SSH-1 désactivé)
Algorithmes MAC forts (HMAC-SHA2-256, HMAC-SHA2-512)
Échange de clés : curve25519-sha256, ecdh-sha2-nistp256, diffie-hellman-group14-sha256

2.5 Sécurité du Protocole Diameter

2.5.1 Mécanismes de Sécurité Diameter

Sécurité de Transport :

TLS sur TCP pour les connexions entre pairs Diameter
Authentification mutuelle par certificat

Sécurité au Niveau de l'Application :

Authentification des pairs via validation Origin-Host/Origin-Realm
Configuration de secret partagé (héritage, déprécié)
Chiffrement AVP (Attribute-Value Pair) pour les données sensibles
Sécurité de bout en bout avec CMS (Cryptographic Message Syntax)

2.6 Mécanismes d'Identité SIP

P-Asserted-Identity :

Assertion de réseau de confiance
Validation et traduction d'identité
Support d'en-tête de confidentialité

Remarque : L'authentification des abonnés est effectuée par le Noyau IMS (P-CSCF/S-CSCF), et non par le TAS.

2.7 Capacités de Cryptanalyse et d'Évaluation de la Sécurité

2.7.1 Outils d'Analyse de Protocole

Capacités de Débogage Intégrées :

Traçage des messages SIP avec capture complète des en-têtes/corps
Journalisation des messages Diameter (décodage AVP)
Débogage de la poignée de main TLS
Journalisation de la validation de la chaîne de certificats

Intégration Externe :

Support de capture de paquets Wireshark/tcpdump
Export SSLKEYLOGFILE pour le déchiffrement TLS (développement uniquement)
Export PCAP pour analyse hors ligne

2.7.2 Considérations d'Évaluation des Vulnérabilités

Faiblesses Cryptographiques Connues :

Support MD5 hérité dans le Digest SIP (maintenu pour compatibilité)
Suites de chiffrement faibles configurables (désactivées par défaut)
Support de certificats auto-signés (développement/test uniquement)

Tests de Sécurité :

Audits de sécurité réguliers recommandés
Support de tests de pénétration
Validation de la force des suites de chiffrement
Surveillance de l'expiration des certificats

2.8 Infrastructure de Gestion des Clés

2.8.1 Génération de Clés

Génération de Clés Interne :

Génération de clés RSA : bibliothèque OpenSSL (algorithmes conformes à FIPS 140-2)
Génération de nombres aléatoires : /dev/urandom (CSPRNG du noyau Linux)
Sources d'entropie : RNG matériel, pool d'entropie système

2.8.2 Stockage et Protection des Clés

Stockage des Clés Privées :

Système de fichiers avec permissions restreintes (0600)
Format PEM chiffré avec phrase de passe
Suppression sécurisée lors de la rotation des clés

Sauvegarde des Clés :

Procédures de sauvegarde chiffrées
Mécanismes de récupération de clé fractionnée
Escroquerie de clés sécurisée (si requise par la réglementation)

2.8.3 Distribution des Clés

Distribution de Certificats :

Importation manuelle via l'UI web
Provisionnement automatisé via API
Support du protocole ACME (Let's Encrypt, amélioration future)

Distribution de Clés Symétriques :

Échange de clés hors bande pour les pairs Diameter
Accord de clé Diffie-Hellman dans TLS
Pas de transmission de clé en clair

2.9 Conformité et Normes

Conformité aux Normes Cryptographiques :

NIST SP 800-52 : directives TLS
NIST SP 800-131A : transitions d'algorithmes cryptographiques
RFC 7525 : recommandations TLS
ETSI TS 133 310 : sécurité des réseaux IMS
3GPP TS 33.203 : sécurité d'accès IMS

Réglementations Françaises sur la Cryptographie :

Déclaration des moyens cryptographiques (le cas échéant)
Certification de produit cryptographique ANSSI (si requis)
Pas de cryptographie restreinte à l'exportation (tous les algorithmes standards)

2.10 Résistance à la Cryptanalyse

2.10.1 Principes de Conception

Défense Contre la Cryptanalyse :

Pas d'algorithmes cryptographiques personnalisés/propriétaires
Algorithmes standard de l'industrie, examinés par des pairs uniquement
Mises à jour de sécurité régulières pour les bibliothèques cryptographiques
Dépréciation des algorithmes faibles

2.10.2 Sécurité Opérationnelle

Rotation des Clés :

Renouvellement des certificats TLS (annuel recommandé)
Rotation des clés de session (par session pour TLS)
Politiques d'expiration des mots de passe (configurable)

Surveillance et Détection :

Journalisation des tentatives d'authentification échouées
Alertes d'expiration de certificats
Journalisation de la négociation des suites de chiffrement
Détection d'anomalies pour les échecs de chiffrement

3. CONTRÔLE ET AUTORISATION D'INTERCEPTION

3.1 Contrôle d'Accès pour l'Interception Légale

Autorisation Administrative :

Les fonctionnalités d'interception légale nécessitent des privilèges de niveau administrateur
Accès à la configuration SIPREC : rôle de super-admin uniquement
Accès aux CDR : permissions basées sur des rôles configurables
Journalisation d'audit de toutes les actions liées à l'interception

Intégration du Cadre Juridique :

Suivi des mandats d'interception (intégration de systèmes externes)
Listes d'autorisation d'identifiants cibles
Activation d'interception limitée dans le temps
Désactivation automatique à l'expiration du mandat

3.2 Conservation des Données et Vie Privée

Politiques de Conservation :

Conservation des CDR : configurable (90 jours par défaut, exigence réglementaire de 1 an)
Journaux d'enregistrement : conservation configurable
Journaux d'audit : conservation minimale de 1 an
Purge automatique des données expirées

Protections de la Vie Privée :

Principe de collecte minimale de données
Limitation de finalité (fourniture de services de télécommunications)
Journalisation et surveillance des accès

3.3 Interfaces de Remise pour les Forces de l'Ordre

Interfaces Standard d'Interception Légale :

Support de l'interface ETSI LI (Interception Légale) (via un dispositif de médiation externe)
Intégration de SIPREC à la passerelle LI
Support des interfaces X1, X2, X3 (système externe)

Formats de Livraison :

IRI (Informations Relatives à l'Interception) : métadonnées CDR
CC (Contenu de la Communication) : signalisation SIP + média (via MRF)
Rapport structuré : formats XML, JSON

4. SÉCURITÉ ET INTÉGRITÉ DU SYSTÈME

4.1 Sécurité au Démarrage

Mécanismes de Démarrage Sécurisés :

Protection des paramètres de démarrage (exigence ANSSI R226)
Vérification de l'intégrité de la configuration
Détection de falsification au démarrage
Chargement sécurisé de la configuration

4.2 Sécurité Réseau

Sécurité Réseau :

Ports exposés minimaux (SIP, Diameter, HTTPS uniquement)
Contrôle d'accès basé sur les ports
Liste blanche/noire d'adresses IP

4.3 Détection d'Intrusion

Capacités de Surveillance :

Surveillance des authentifications échouées
Détection de modèles d'appels inhabituels
Détection de trafic Diameter anormal
Alertes d'événements de sécurité (intégration SIEM)

5. RÉFÉRENCES DOCUMENTAIRES

5.1 Manuels Techniques

Documentation disponible dans le dépôt du projet :

README.md : Vue d'ensemble du système, architecture et fonctionnalités opérationnelles
doc/deployment_guide.md : Instructions de déploiement (si disponibles)
doc/configuration.md : Référence de configuration (si disponible)

5.2 Certifications de Sécurité

Rapports de Test de Pénétration : [À fournir sur demande]
Rapports d'Audit de Sécurité : [À fournir sur demande]
Validation de Module Cryptographique : Conformité OpenSSL FIPS 140-2

5.3 Documentation de Conformité

Demande d'Autorisation ANSSI R226 : Ce document
Conformité à l'Interception Légale : Comme requis par les réglementations françaises sur les télécommunications

6. INFORMATIONS DE CONTACT

Informations sur le Fournisseur/Opérateur :

Nom de la Société : Omnitouch Network Services Pty Ltd
Adresse : PO BOX 296, QUINNS ROCKS WA 6030, AUSTRALIE
Personne de Contact : Équipe de Conformité
Email : compliance@omnitouch.com.au

Contact Technique Sécurité :

Nom : Équipe de Conformité
Email : compliance@omnitouch.com.au

Contact Juridique/Conformité :

Nom : Équipe de Conformité
Email : compliance@omnitouch.com.au

ANNEXES

Annexe A : Exemples de Flux de Messages SIP

A.1 Flux d'Appel Mobile d'Origine avec Points d'Interception

Légende : [INTERCEPTION] = Points où les données d'interception légale sont capturées

A.2 Appel d'Urgence avec Suivi de Localisation

A.3 Établissement de Session d'Enregistrement SIPREC

Annexe B : Schéma CDR

Le système OmniTAS stocke les Détails d'Appel dans une base de données SQLite (format CDR FreeSWITCH) située à /etc/freeswitch/db/cdr.db.

B.1 Champs Clés CDR pour l'Interception Légale

Nom du Champ	Type	Description	Pertinence pour l'Interception
`uuid`	TEXT	Identifiant unique de l'appel	Corrélation de session
`caller_id_number`	TEXT	Numéro de la partie appelante (MSISDN)	Identifiant principal pour le suivi de la cible
`caller_id_name`	TEXT	Nom d'affichage de la partie appelante	Vérification d'identité
`destination_number`	TEXT	Numéro de la partie appelée	Suivi de la destination cible
`start_stamp`	DATETIME	Horodatage de début d'appel	Chronologie des événements
`answer_stamp`	DATETIME	Horodatage de réponse d'appel	Temps d'établissement de l'appel
`end_stamp`	DATETIME	Horodatage de fin d'appel	Calcul de la durée de session
`duration`	INTEGER	Durée totale de l'appel (secondes)	Longueur de la session
`billsec`	INTEGER	Secondes facturables (temps répondu)	Durée réelle de la conversation
`hangup_cause`	TEXT	Raison de la terminaison de l'appel	Analyse des résultats d'appel
`sip_hangup_disposition`	TEXT	Détails de terminaison SIP	Terminaison au niveau du protocole
`network_addr`	TEXT	Adresse IP réseau	Suivi de la localisation source
`sip_from_user`	TEXT	Partie utilisateur de l'en-tête SIP From	Identité SIP d'origine
`sip_to_user`	TEXT	Partie utilisateur de l'en-tête SIP To	Destination SIP
`sip_call_id`	TEXT	En-tête SIP Call-ID	Corrélation de session SIP

B.2 Exemples de Requêtes CDR pour l'Interception Légale

Requête des appels par numéro cible :

SELECT * FROM cdr
WHERE caller_id_number = '+33612345678'
   OR destination_number = '+33612345678'
ORDER BY start_stamp DESC;

Requête des appels dans une fenêtre temporelle :

SELECT * FROM cdr
WHERE start_stamp BETWEEN '2025-11-01 00:00:00' AND '2025-11-30 23:59:59'
  AND (caller_id_number = '+33612345678' OR destination_number = '+33612345678')
ORDER BY start_stamp DESC;

Exportation au format CSV pour les forces de l'ordre :

.mode csv
.output /tmp/interception_report.csv
SELECT caller_id_number, destination_number, start_stamp, end_stamp, duration, hangup_cause
FROM cdr
WHERE caller_id_number = '+33612345678'
ORDER BY start_stamp DESC;
.output stdout

B.3 Accès API CDR

Le TAS fournit un accès programmatique via le module Tas.Cdr :

# Obtenir tous les appels pour un numéro spécifique
Tas.Cdr.get_records_by(:caller_id_number, "+33612345678")

# Obtenir des appels dans une plage de dates
Tas.Cdr.get_records_by_date_range("2025-11-01 00:00:00", "2025-11-30 23:59:59")

# Recherche avec filtrage avancé
Tas.Cdr.get_filtered_records(search: "33612345678", limit: 1000)

# Obtenir des statistiques
Tas.Cdr.get_statistics()

B.4 Conservation des CDR

Conservation par défaut : configurable (typiquement 90 jours à 1 an)
Purge automatique : supportée
Exportation manuelle : via l'UI Web à /cdr ou API
Format : base de données SQLite, exportable en CSV/JSON

Annexe C : Exemples de Configuration SIPREC

SIPREC (Protocole d'Enregistrement d'Initiation de Session) permet à l'OmniTAS d'envoyer à la fois la signalisation des appels et les médias vers des Serveurs d'Enregistrement de Session externes pour l'interception légale.

C.1 Architecture SIPREC

C.2 Déclenchement de l'Enregistrement SIPREC

L'enregistrement peut être déclenché en fonction de :

Basé sur la Cible :

Numéro de téléphone de l'appelant (caller_id_number)
Numéro de téléphone de la partie appelée (destination_number)
Correspondance de l'URI SIP

Basé sur des Événements :

Tous les appels d'urgence (911, 112, etc.)
Appels vers/depuis des destinations spécifiques
Enregistrement basé sur des fenêtres temporelles

Géographique :

Localisation de la tour cellulaire (via l'en-tête P-Access-Network-Info)
Plages d'adresses IP

C.3 Contenu de la Session SIPREC

La session SIPREC envoie au SRS :

Métadonnées de Signalisation :

En-têtes SIP complets (From, To, P-Asserted-Identity)
Call-ID et identifiants de session
Horodatages (début, réponse, fin)
Informations sur l'appelant/l'appelé

Flux Médias :

Flux RTP participant 1 (audio de l'appelant)
Flux RTP participant 2 (audio de l'appelé)
Informations sur les codecs
Tons DTMF

C.4 Intégration avec les Forces de l'Ordre

Le Serveur d'Enregistrement de Session fournit :

Interface X1 : Fonction administrative (gestion des mandats)
Interface X2 : Informations Relatives à l'Interception (IRI) - métadonnées d'appel
Interface X3 : Contenu de la Communication (CC) - contenu audio/média réel

L'OmniTAS sert de Client d'Enregistrement de Session (SRC) et livre à la fois l'IRI et le CC au SRS pour remise aux forces de l'ordre via des interfaces standardisées.

Annexe D : Guide de Configuration du Chiffrement

D.1 Génération de Certificat

Générer un Certificat TLS :

# Générer la clé privée
openssl genrsa -out server.key 4096

# Générer la demande de signature de certificat
openssl req -new -key server.key -out server.csr

# Certificat auto-signé (pour les tests)
openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

# Production : Obtenir un certificat d'une CA de confiance

Remarque : La signalisation SIP vers/depuis l'IMS n'utilise pas TLS. La communication SIP est en TCP/UDP non chiffré.

D.2 Configuration HTTPS pour l'UI Web

TLS pour le Serveur API/Web (config/runtime.exs) :

config :api_ex,
  api: %{
    enable_tls: true,
    tls_cert_path: "priv/cert/server.crt",
    tls_key_path: "priv/cert/server.key",
    tls_versions: [:"tlsv1.2", :"tlsv1.3"],
    ciphers: [
      "ECDHE-RSA-AES256-GCM-SHA384",
      "ECDHE-RSA-AES128-GCM-SHA256",
      "TLS_AES_256_GCM_SHA384",
      "TLS_AES_128_GCM_SHA256"
    ]
  }

D.3 Configuration SIP

Les interfaces SIP utilisent un transport TCP/UDP non chiffré. Aucune configuration TLS requise.

Profil SIP FreeSWITCH :

<!-- Le profil SIP utilise uniquement TCP/UDP -->
<profile name="external">
  <settings>
    <param name="sip-port" value="5060"/>
    <param name="context" value="public"/>
  </settings>
</profile>

D.4 Configuration TLS Diameter

Pair Diameter TLS :

# Activer TLS pour les connexions Diameter
config :diameter_ex,
  peers: [
    %{
      host: "dra.example.com",
      port: 3868,
      transport: :tls,
      tls_opts: [
        certfile: "priv/cert/diameter.crt",
        keyfile: "priv/cert/diameter.key",
        cacertfile: "priv/cert/ca.crt",
        verify: :verify_peer
      ]
    }
  ]

D.5 Chiffrement de la Base de Données

Chiffrement SQLite avec SQLCipher :

# config/runtime.exs
config :exqlite,
  encryption: true,
  encryption_key: System.get_env("DB_ENCRYPTION_KEY")

Remarque : Le chiffrement de la base de données est optionnel. Pour des raisons d'interception légale, les contrôles d'accès physiques et la journalisation des accès à la base de données peuvent être suffisants.

D.6 Configuration de Sécurité des Mots de Passe

Le hachage des mots de passe est automatiquement configuré avec SHA-512 et sel :

# Configuration par défaut du hachage des mots de passe
config :pbkdf2_elixir,
  rounds: 65_532,
  salt_len: 16

Aucune configuration supplémentaire requise - sécurisé par défaut.

Annexe E : Glossaire

Organismes Réglementaires et Normes

ANSSI : Agence nationale de la sécurité des systèmes d'information - Agence Nationale de Cybersécurité Française
ETSI : European Telecommunications Standards Institute
3GPP : 3rd Generation Partnership Project - Organisation de normes de télécommunications mobiles
IETF : Internet Engineering Task Force - Organe de normalisation d'Internet

Composants du Réseau IMS

IMS : IP Multimedia Subsystem - Architecture réseau tout IP pour les services multimédias
CSCF : Call Session Control Function - Serveur SIP dans le noyau IMS
- P-CSCF : Proxy-CSCF - Premier point de contact pour l'UE, proxy SIP
- I-CSCF : Interrogating-CSCF - Point d'entrée dans le réseau de l'opérateur
- S-CSCF : Serving-CSCF - Contrôle de session et déclenchement de services
HSS : Home Subscriber Server - Base de données des abonnés
TAS : Serveur d'Applications de Téléphonie/Télécommunications - Exécution de la logique de service

Protocoles et Signalisation

SIP : Session Initiation Protocol (RFC 3261) - Protocole de signalisation pour les appels voix/vidéo
SDP : Session Description Protocol (RFC 4566) - Paramètres de session média
RTP : Real-time Transport Protocol (RFC 3550) - Transport de flux médias
RTCP : RTP Control Protocol - Surveillance de la qualité pour RTP
SRTP : Secure RTP (RFC 3711) - Flux médias chiffrés
Diameter : Protocole AAA utilisé dans IMS (authentification, autorisation, comptabilité)
- Sh : Interface Diameter pour l'accès aux données d'abonné
- Ro : Interface Diameter pour la facturation en ligne
SIPREC : Session Initiation Protocol Recording (RFC 7866) - Protocole d'enregistrement d'appel

Équipements de Télécommunications

SBC : Session Border Controller - Sécurité en bordure de réseau et passerelle média
MRF : Media Resource Function - Traitement des médias (transcodage, mixage, enregistrement)
UE : Équipement Utilisateur - Appareil mobile ou terminal
PSAP : Public Safety Answering Point - Centre d'appel des services d'urgence
DRA : Diameter Routing Agent - Routage des messages Diameter

Interception Légale

LI : Interception Légale - Surveillance légale des télécommunications
IRI : Informations Relatives à l'Interception - Métadonnées d'appel pour les forces de l'ordre
CC : Contenu de la Communication - Contenu audio/média réel
SRC : Client d'Enregistrement de Session - Client SIPREC (rôle OmniTAS)
SRS : Serveur d'Enregistrement de Session - Serveur SIPREC pour le stockage des enregistrements
Interface X1 : Interface administrative LI (gestion des mandats)
Interface X2 : Interface LI pour la livraison de l'IRI
Interface X3 : Interface LI pour la livraison du CC
R226 : Articles R226-3 et R226-7 du Code Pénal Français régissant l'équipement d'interception

Traitement des Appels

CDR : Détails d'Appel - Enregistrement de facturation et de journalisation pour chaque appel
B2BUA : Back-to-Back User Agent - Élément SIP agissant à la fois comme client et serveur
DTMF : Dual-Tone Multi-Frequency - Signaux de tonalité
MSISDN : Mobile Station International Subscriber Directory Number - Numéro de téléphone
IMSI : International Mobile Subscriber Identity - Identifiant unique d'abonné
E.164 : Plan de numérotation international pour les numéros de téléphone

Sécurité et Chiffrement

TLS : Transport Layer Security (RFC 5246, RFC 8446) - Protocole de chiffrement
PFS : Confidentialité Parfaite Avancée - Propriété cryptographique assurant la sécurité des clés de session
SHA-512 : Algorithme de Hachage Sécurisé avec sortie de 512 bits
AES : Advanced Encryption Standard
RSA : Rivest-Shamir-Adleman - Algorithme de cryptographie à clé publique
ECDSA : Elliptic Curve Digital Signature Algorithm
PKI : Infrastructure à Clé Publique - Système de gestion des certificats
CA : Autorité de Certification - Émet des certificats numériques
CRL : Liste de Révocation de Certificats
OCSP : Protocole de Statut de Certificat en Ligne

Réseau et Localisation

MAP : Mobile Application Part - Protocole SS7 pour les r��seaux mobiles
HLR : Home Location Register - Base de données de localisation des abonnés (héritage)
SS7 : Signaling System No. 7 - Signalisation téléphonique héritée
NANP : Plan de Numérotation Nord-Américain
Tour Cellulaire/ID de Cellule : Identifiant de station de base du réseau mobile pour le suivi de localisation

Formats de Données et Stockage

SQLite : Base de données relationnelle intégrée
SQLCipher : Extension SQLite avec support de chiffrement
CSV : Valeurs Séparées par des Virgules - Format d'exportation
JSON : JavaScript Object Notation - Format d'échange de données
XML : eXtensible Markup Language - Format de données structuré

Composants d'Application

API : Interface de Programmation d'Application - Accès programmatique
UI : Interface Utilisateur - Panneau de contrôle basé sur le web
RBAC : Contrôle d'Accès Basé sur les Rôles - Système de permissions
UUID : Identifiant Universel Unique - Suivi de session

Version du Document : 1.0
Date : 2025-11-29
Préparé pour : Demande d'Autorisation ANSSI R226
Classification du Document : Conformité Réglementaire - Confidentiel

1. SPÉCIFICATIONS TECHNIQUES DÉTAILLÉES​

1.1 Fiche Technique Commerciale​

Capacités Principales​

1.2 Capacités d'Interception​

1.2.1 Acquisition de Signal​

1.2.2 Capacités de Traitement des Médias​

1.2.3 Capacités d'Analyse​

1.3 Capacités de Contre-Mesures​

1.3.1 Mécanismes de Protection de la Vie Privée​

1.3.2 Fonctionnalités Anti-Interception​

1.4 Architecture Technique pour l'Interception Légale​

Points d'Intégration de l'Interception Légale​

Mécanismes de Déclenchement de l'Interception​

2. CAPACITÉS DE CHIFFREMENT ET DE CRYPTANALYSE​

2.1 Vue d'Ensemble des Capacités Cryptographiques​

2.2 Chiffrement de la Couche de Transport​

2.2.1 Mise en Œuvre TLS/SSL​

2.3 Chiffrement des Données au Repos​

2.3.1 Chiffrement de la Base de Données​

2.3.2 Chiffrement du Système de Fichiers​

2.4 Authentification et Cryptographie des Mots de Passe​

2.4.1 Hachage des Mots de Passe​

2.4.2 Authentification par Clé SSH​

2.5 Sécurité du Protocole Diameter​

2.5.1 Mécanismes de Sécurité Diameter​

2.6 Mécanismes d'Identité SIP​

2.7 Capacités de Cryptanalyse et d'Évaluation de la Sécurité​

2.7.1 Outils d'Analyse de Protocole​

2.7.2 Considérations d'Évaluation des Vulnérabilités​

2.8 Infrastructure de Gestion des Clés​

2.8.1 Génération de Clés​

2.8.2 Stockage et Protection des Clés​

2.8.3 Distribution des Clés​

2.9 Conformité et Normes​

2.10 Résistance à la Cryptanalyse​

2.10.1 Principes de Conception​

2.10.2 Sécurité Opérationnelle​

3. CONTRÔLE ET AUTORISATION D'INTERCEPTION​

3.1 Contrôle d'Accès pour l'Interception Légale​

3.2 Conservation des Données et Vie Privée​

3.3 Interfaces de Remise pour les Forces de l'Ordre​

4. SÉCURITÉ ET INTÉGRITÉ DU SYSTÈME​

4.1 Sécurité au Démarrage​

4.2 Sécurité Réseau​

4.3 Détection d'Intrusion​

5. RÉFÉRENCES DOCUMENTAIRES​

5.1 Manuels Techniques​

5.2 Certifications de Sécurité​

5.3 Documentation de Conformité​

6. INFORMATIONS DE CONTACT​

ANNEXES​

Annexe A : Exemples de Flux de Messages SIP​

A.1 Flux d'Appel Mobile d'Origine avec Points d'Interception​

A.2 Appel d'Urgence avec Suivi de Localisation​

A.3 Établissement de Session d'Enregistrement SIPREC​

Annexe B : Schéma CDR​

B.1 Champs Clés CDR pour l'Interception Légale​

B.2 Exemples de Requêtes CDR pour l'Interception Légale​

B.3 Accès API CDR​

B.4 Conservation des CDR​

Annexe C : Exemples de Configuration SIPREC​

C.1 Architecture SIPREC​

C.2 Déclenchement de l'Enregistrement SIPREC​

C.3 Contenu de la Session SIPREC​

C.4 Intégration avec les Forces de l'Ordre​

Annexe D : Guide de Configuration du Chiffrement​

D.1 Génération de Certificat​

D.2 Configuration HTTPS pour l'UI Web​

D.3 Configuration SIP​

D.4 Configuration TLS Diameter​

D.5 Chiffrement de la Base de Données​

D.6 Configuration de Sécurité des Mots de Passe​

Annexe E : Glossaire​

Organismes Réglementaires et Normes​

Composants du Réseau IMS​

Protocoles et Signalisation​

Équipements de Télécommunications​

Interception Légale​

Traitement des Appels​

Sécurité et Chiffrement​