Couche Transport

P2P d'abord. Relais si nécessaire.

Le trafic voix emprunte le chemin le plus court que le réseau autorise. Lorsque le NAT ou la politique de pare-feu bloque les connexions directes, un relay passif transmet le ciphertext entre les points de terminaison — sans jamais détenir de clés, sans jamais inspecter la charge utile.

Mécanique de la traversée NAT

La plupart des réseaux domestiques et d'entreprise se trouvent derrière un NAT ou des pare-feu stricts qui bloquent l'UDP entrant. Notre client sonde la joignabilité du pair par une collecte de candidats de type ICE, puis ouvre un chemin direct lorsque les deux points de terminaison sont joignables.

  • Collecte de candidats sur les transports host, server-reflexive et relayed
  • La détection d'un NAT symétrique bascule automatiquement vers le relay
  • Aucune dépendance à un STUN externe dans les déploiements contrôlés par l'opérateur

Logique de bascule

La session négocie toujours la même clé post-quantique. Le mode réseau est choisi selon la joignabilité, pas selon la confiance : si le P2P échoue, le relay intervient dans le même budget de RTT. L'enveloppe cryptographique ne change pas.

  • Fenêtre de tentative P2P : ≤ 800 ms avant l'engagement du relay
  • Bascule en cours d'appel prise en charge lorsque les conditions réseau changent
  • Même secret de session ML-KEM-1024 dans les deux modes

Aucune conservation de métadonnées

Le relay transmet les paquets puis les rejette. Aucun call detail record, aucun journal de durée d'appel, aucun graphe de participants. Le seul état conservé est le mappage NAT éphémère nécessaire pour acheminer le paquet suivant.

  • Aucun CDR, aucun journal de facturation par appel, aucun graphe de participants stocké
  • Métadonnées de paquets conservées uniquement pendant la durée de vie du mappage NAT
  • Déployable par l'opérateur : le relay peut fonctionner dans votre propre datacenter

Besoin d'un déploiement relay privé ?

Air-gapped, souverain, on-premise — vos opérateurs, votre réseau, votre plan de contrôle.

Demander le brief d'architecture
ANTI-DEEPFAKE TOUJOURS ACTIF · APPELS CHIFFRÉS ET NON CHIFFRÉS · ZÉRO DONNÉE TRANSMISE · SOVEREIGN OPERATIONS · POST-QUANTUM ML-KEM-1024 · 3 BREVETS DÉPOSÉS
ANTI-DEEPFAKE TOUJOURS ACTIF · APPELS CHIFFRÉS ET NON CHIFFRÉS · ZÉRO DONNÉE TRANSMISE · SOVEREIGN OPERATIONS · POST-QUANTUM ML-KEM-1024 · 3 BREVETS DÉPOSÉS