6. Considérations de sécurité

Les messages définis ont certaines propriétés qui ont des implications en matière de sécurité. Celles-ci doivent être traitées et prises en compte par les utilisateurs de ce protocole.

Le mécanisme de signalisation d'établissement défini est sensible aux attaques par modification pouvant entraîner la création de session avec une configuration sous-optimale et, dans le pire des cas, le rejet de session. Pour prévenir ce type d'attaque, l'authentification et la protection de l'intégrité de la signalisation d'établissement sont requises.

Des messages de feedback falsifiés ou créés de manière malveillante du type défini dans cette spécification peuvent avoir les implications suivantes:

a) débit binaire média fortement réduit en raison de faux messages TMMBR qui fixent le maximum à une valeur très faible;

b) attribution de la propriété d'un tuple de délimitation au mauvais participant dans un message TMMBN, provoquant potentiellement une oscillation inutile dans l'ensemble délimité lorsque le propriétaire incorrectement identifié signale un changement de son tuple et que le vrai propriétaire retient peut-être les changements jusqu'à ce qu'un message TMMBN correct atteigne les participants;

c) envoi de TSTRs entraînant une qualité vidéo différente du souhait de l'utilisateur, rendant la session moins utile;

d) envoi de plusieurs commandes FIR pour réduire le taux de trame et rendre la vidéo saccadée, en raison de l'utilisation fréquente de points de rafraîchissement du décodeur.

Pour prévenir ces attaques, il faut appliquer l'authentification et la protection de l'intégrité des messages de feedback. Ceci peut être accompli contre les menaces externes à la session RTP courante en utilisant le profil RTP qui combine Secure RTP [SRTP] et AVPF en SAVPF [SAVPF]. Dans les cas de mixeur, des contextes de sécurité distincts et un filtrage peuvent être appliqués entre le mixeur et les participants, protégeant ainsi les autres utilisateurs du mixeur contre un participant malveillant.