Retour aux articles
Recherche PQC10 juillet 20268 min de lecture

Qu'est-ce qu'un DMA Air-Gap ? L'isolation matérielle de la voix, expliquée

Un DMA Air-Gap est une architecture de sécurité matérielle qui isole galvaniquement le chemin audio d'un dispositif du téléphone hôte : la voix est capturée et chiffrée dans une enclave sécurisée séparée, si bien que le système d'exploitation — et tout logiciel espion le contrôlant — ne touche jamais l'audio en clair.

La réponse en bref

Un DMA Air-Gap est une architecture de sécurité matérielle qui isole galvaniquement le chemin audio d'un dispositif vocal du téléphone ou de l'ordinateur hôte. La voix est capturée, chiffrée et déchiffrée entièrement dans une enclave sécurisée séparée, de sorte que le système d'exploitation hôte — et tout logiciel espion le contrôlant via le Direct Memory Access — ne manipule jamais d'audio en clair. Seul du texte chiffré parvient au téléphone.

Le terme nomme une réponse architecturale à un problème architectural. Toute application de messagerie sécurisée sur smartphone hérite du microphone du smartphone, et ce microphone appartient au système d'exploitation, pas à l'application. Un DMA Air-Gap déplace le microphone — et la cryptographie — entièrement hors du téléphone. BCrypto a forgé ce terme pour son implémentation en instance de brevet, mais le problème d'ingénierie qu'il traite est général, et cet article commence par expliquer ce problème.

Pourquoi le chiffrement logiciel ne peut pas protéger le microphone d'un smartphone

Le Direct Memory Access (DMA) est le mécanisme par lequel les ordinateurs modernes déplacent les données entre les périphériques et la RAM sans impliquer le CPU à chaque transfert. Quand vous parlez dans un smartphone, le codec audio transmet votre voix via DMA vers des tampons gérés par le noyau du système d'exploitation. Toute application — Signal, WhatsApp ou un composeur chiffré sur mesure — reçoit une copie de cet audio du système d'exploitation et ne le chiffre qu'ensuite. Le texte en clair a existé d'abord, dans une mémoire contrôlée par le système. Le chiffrement de bout en bout protège le chemin réseau ; il ne peut pas protéger le point de capture.

Ce n'est pas une faille théorique. En août 2016, Citizen Lab a documenté comment le logiciel espion Pegasus de NSO Group, livré sur l'iPhone du défenseur des droits humains émirati Ahmed Mansoor via une chaîne d'exploits zero-day, était conçu pour utiliser le microphone et la caméra du téléphone afin de surveiller l'activité autour de l'appareil [1]. Le Forensic Methodology Report d'Amnesty International du 18 juillet 2021 a retracé des infections Pegasus sur des appareils iOS et Android de 2014 à juillet 2021, y compris des attaques zero-click — observées depuis mai 2018 — qui compromettent un téléphone entièrement à jour sans aucune interaction de l'utilisateur [2].

L'échelle est également documentée. En scannant Internet entre août 2016 et août 2018, Citizen Lab a trouvé 1 091 adresses IP correspondant à l'infrastructure Pegasus et identifié des opérations Pegasus présumées dans 45 pays, menées par 36 opérateurs distincts [3]. Le 15 juin 2023, le Parlement européen — après une enquête d'un an — a adopté sa recommandation sur les logiciels espions par 411 voix contre 97, concluant que l'usage illicite de logiciels espions avait mis « la démocratie elle-même en jeu » et adressant des recommandations ciblées à cinq États membres [4]. Face à un adversaire disposant d'un accès au niveau du noyau, l'application de chiffrement est simplement contournée : la voix est prise avant que le chiffrement n'ait lieu.

Ce que signifie l'isolation galvanique

L'isolation galvanique est un terme d'électrotechnique : deux circuits sont galvaniquement isolés quand aucun chemin conducteur direct ne les relie, de sorte qu'aucun courant ne peut passer de l'un à l'autre. Les signaux ne traversent que des barrières délibérées et contrôlées. Appliqué à la sécurité vocale, cela signifie que le microphone n'est pas du tout un périphérique du téléphone. Dans une conception à DMA air-gap, un microphone dédié est câblé exclusivement à un processeur sécurisé séparé. Il ne se trouve pas sur le bus mémoire de l'hôte : l'hôte ne peut ni l'adresser, ni le mapper, ni configurer de transferts DMA depuis lui — il n'y a physiquement rien qu'un logiciel espion sur le téléphone puisse détourner.

Notez la différence avec un air-gap réseau classique, où un ordinateur est protégé en le déconnectant des réseaux. Un DMA Air-Gap ne déconnecte rien : les appels continuent de passer par le téléphone et Internet. Ce qu'il isole, c'est le point de transduction — l'endroit où le son devient données. Tout ce que le téléphone hôte voit est du texte chiffré, et le téléphone est rétrogradé, par conception, au rang de simple canal de transport non fiable.

Trois architectures pour la voix confidentielle

Une application sur un téléphone est la référence de base. Les messageries sécurisées modernes utilisent une cryptographie de transport robuste et ne coûtent rien en matériel. Mais leur base de calcul de confiance est le téléphone entier : le noyau, les pilotes, le baseband, chaque chemin d'escalade de privilèges. Contre l'interception réseau, elles sont efficaces ; contre la classe de logiciels espions documentée ci-dessus, elles échouent silencieusement, parce que le microphone est capturé en amont [1][2].

Un téléphone sécurisé dédié — un terminal durci avec un système d'exploitation personnalisé — réduit la surface d'attaque. Mais le microphone reste relié au SoC principal d'un smartphone généraliste, le système d'exploitation demeure une cible vaste et mouvante pour le marché des exploits, et l'utilisateur doit porter, et justifier, un second appareil voyant.

Un périphérique vocal isolé matériellement — la classe DMA Air-Gap — conserve le téléphone de l'utilisateur mais cesse de lui faire confiance. Microphone, chiffrement et déchiffrement vivent dans un élément sécurisé externe ; le téléphone achemine du texte chiffré. Un téléphone totalement compromis peut encore bloquer, retarder ou couper des appels, et observer que des appels ont lieu — mais il ne peut pas en lire le contenu. La contrepartie : du matériel dédié, et une série de limites que tout fournisseur honnête devrait énoncer clairement.

Ce qu'un DMA Air-Gap ne protège pas

L'autre extrémité de l'appel. Si votre interlocuteur parle sur un smartphone ordinaire, son point de capture n'est pas protégé, et la confidentialité de la conversation se réduit à celle du maillon le plus faible. L'isolation matérielle n'aide que les extrémités qui en disposent.

Les métadonnées. Le téléphone hôte et le réseau voient toujours que du trafic a eu lieu : quand, combien de temps, sur quelle connexion. L'isolation galvanique cache le contenu, pas l'existence de la communication. La résistance à l'analyse de trafic est une discipline à part, avec ses propres outils.

L'écran et la pièce. Tout ce qui s'affiche sur l'écran du téléphone hôte est visible pour l'hôte : un téléphone compromis peut capturer ce qu'il affiche. Et aucun air-gap ne change l'acoustique : le microphone du téléphone lui-même, un ordinateur portable ou une enceinte connectée dans la même pièce peuvent toujours enregistrer votre voix dans l'air si leurs plateformes sont compromises. Un DMA Air-Gap sécurise le chemin de l'appel — pas la pièce où vous parlez, ni un humain contraint ou négligent à l'une des extrémités.

Comment Q-Audion implémente le DMA Air-Gap

Q-Audion, développé par BCrypto à Turin, est un système vocal chiffré matériellement : une oreillette chiffrée fonctionnant avec des applications Android, iOS et desktop, un serveur souverain et un VPN post-quantique. Son DMA Air-Gap est l'architecture décrite ci-dessus, implémentée littéralement : un microphone MEMS dédié se trouve à l'intérieur de l'enclave sécurisée, galvaniquement isolé du téléphone hôte, de sorte que le système d'exploitation hôte n'est jamais dans le chemin audio. Le firmware s'exécute dans un TEE fondé sur ARM TrustZone-M.

L'établissement des clés utilise ML-KEM-1024, le jeu de paramètres le plus élevé du NIST FIPS 203 — le standard post-quantique d'encapsulation de clés publié le 13 août 2024 [5] — exécuté dans un accélérateur cryptographique matériel, avec AES-256-GCM pour protéger le flux vocal. Le choix post-quantique répond au risque harvest-now-decrypt-later : un texte chiffré enregistré doit rester illisible même face à un futur adversaire quantique. Un TinyML embarqué fournit une analyse anti-deepfake de la voix entrante. Le système est BYOD — il fonctionne avec le téléphone que vous possédez déjà — et la chaîne d'approvisionnement est conçue dans l'UE.

L'état des lieux, dit clairement : le DMA Air-Gap est en instance de brevet, avec trois dépôts auprès de l'UIBM en 2026. Q-Audion est au TRL 6 — firmware complet en fonctionnalités, avec une CI multiplateforme conditionnée par des known-answer tests — et ne détient encore aucune certification : pas de FIPS 140-3, pas de Critères Communs, aucune approbation d'agence nationale. La définition donnée dans cet article décrit une architecture ; la certification de son implémentation est une charge de preuve distincte, en cours.

Questions fréquentes

Un DMA Air-Gap est-il la même chose qu'un air-gap réseau ? Non. Un air-gap réseau protège un système en le déconnectant des réseaux. Un DMA Air-Gap conserve la connexion : il isole galvaniquement le microphone et la cryptographie de l'hôte connecté, qui ne transporte donc que du texte chiffré.

Qu'est-ce que le DMA exactement, et pourquoi est-ce important pour la voix ? Le Direct Memory Access permet à des périphériques comme le codec audio d'écrire des données directement en RAM sans que le CPU traite chaque échantillon. C'est efficace — et cela signifie que votre voix atterrit en clair dans une mémoire contrôlée par le système d'exploitation avant qu'une application puisse la chiffrer. Un logiciel espion au niveau du noyau la lit à cet endroit [1][2].

Un DMA Air-Gap rend-il l'interception impossible ? Aucune architecture ne le fait. Il retire le téléphone hôte du chemin de confiance, ce qui met en échec le modèle de capture documenté des logiciels espions pour smartphone. Il ne protège pas un correspondant non équipé, ne cache pas les métadonnées d'appel et n'empêche pas la capture acoustique par d'autres appareils dans la pièce.

Pourquoi de la cryptographie post-quantique pour un produit vocal ? Parce qu'un texte chiffré intercepté peut être stocké aujourd'hui et déchiffré plus tard — harvest now, decrypt later. ML-KEM, standardisé par le NIST sous le nom de FIPS 203 le 13 août 2024, est conçu pour résister à l'attaque quantique ; ML-KEM-1024 en est le jeu de paramètres le plus conservateur [5].

Le DMA Air-Gap de Q-Audion est-il certifié par un organisme public ? Pas encore. L'architecture est en instance de brevet (trois dépôts UIBM, 2026) et le produit est au TRL 6 avec une CI conditionnée par des KAT. Il n'existe aujourd'hui ni certification FIPS 140-3, ni Critères Communs, ni approbation nationale, et rien de tel ne doit être déduit de cet article.

Sources

  1. The Million Dollar Dissident: NSO Group's iPhone Zero-Days Used Against a UAE Human Rights Defender — The Citizen Lab, 24 August 2016
  2. Forensic Methodology Report: How to Catch NSO Group's Pegasus — Amnesty International, 18 July 2021
  3. Hide and Seek: Tracking NSO Group's Pegasus Spyware to Operations in 45 Countries — The Citizen Lab, 18 September 2018
  4. Spyware: MEPs call for full investigations and safeguards to prevent abuse — European Parliament press release, 15 June 2023
  5. FIPS 203: Module-Lattice-Based Key-Encapsulation Mechanism Standard — NIST, 13 August 2024

Prêt à sécuriser votre souveraineté numérique ?

Rejoignez la révolution européenne de la sécurité post-quantique. Contactez notre équipe pour des partenariats institutionnels et des collaborations stratégiques.