P2P d'abord. Relais si nécessaire.
Le trafic voix emprunte le chemin le plus court que le réseau autorise. Lorsque le NAT ou la politique de pare-feu bloque les connexions directes, un relay passif transmet le ciphertext entre les points de terminaison — sans jamais détenir de clés, sans jamais inspecter la charge utile.
Architecture réseau
P2P direct ou relais serveur. Dans les deux cas, le serveur est aveugle.
Mode A
P2P Direct
Appelant
Peer
Lorsque le NAT le permet. Latence et coût minimaux.
Mode B
Mode Relais
Appelant
Peer
Lorsque les réseaux bloquent le P2P. Le relais transmet uniquement du ciphertext.
Le serveur ne détient jamais les clés
Les endpoints dérivent le secret de session
ML-KEM-1024 + AES-GCM
Même cryptographie dans les deux modes
Sélection automatique
Essaie d'abord le P2P, bascule en douceur
Le relais est un transmetteur passif de paquets. Il ne peut ni lire, ni modifier, ni rejouer le flux de ciphertext — même sous contrainte.
Mécanique de la traversée NAT
La plupart des réseaux domestiques et d'entreprise se trouvent derrière un NAT ou des pare-feu stricts qui bloquent l'UDP entrant. Notre client sonde la joignabilité du pair par une collecte de candidats de type ICE, puis ouvre un chemin direct lorsque les deux points de terminaison sont joignables.
- Collecte de candidats sur les transports host, server-reflexive et relayed
- La détection d'un NAT symétrique bascule automatiquement vers le relay
- Aucune dépendance à un STUN externe dans les déploiements contrôlés par l'opérateur
Logique de bascule
La session négocie toujours la même clé post-quantique. Le mode réseau est choisi selon la joignabilité, pas selon la confiance : si le P2P échoue, le relay intervient dans le même budget de RTT. L'enveloppe cryptographique ne change pas.
- Fenêtre de tentative P2P : ≤ 800 ms avant l'engagement du relay
- Bascule en cours d'appel prise en charge lorsque les conditions réseau changent
- Même secret de session ML-KEM-1024 dans les deux modes
Aucune conservation de métadonnées
Le relay transmet les paquets puis les rejette. Aucun call detail record, aucun journal de durée d'appel, aucun graphe de participants. Le seul état conservé est le mappage NAT éphémère nécessaire pour acheminer le paquet suivant.
- Aucun CDR, aucun journal de facturation par appel, aucun graphe de participants stocké
- Métadonnées de paquets conservées uniquement pendant la durée de vie du mappage NAT
- Déployable par l'opérateur : le relay peut fonctionner dans votre propre datacenter
Besoin d'un déploiement relay privé ?
Air-gapped, souverain, on-premise — vos opérateurs, votre réseau, votre plan de contrôle.
Demander le brief d'architecture