Pendant trente ans, téléphoner depuis une entreprise signifiait louer des lignes analogiques ou un accès RNIS, brancher un autocommutateur propriétaire dans un local technique, et payer chaque communication à la minute. Ce modèle a presque disparu. Aujourd’hui, la voix circule sur les mêmes câbles Ethernet que vos e-mails, sous forme de paquets IP, pilotée par des logiciels que vous contrôlez entièrement. C’est la téléphonie sur IP — la VoIP — et sa maturité a rendu accessible à une PME ce qui était hier réservé aux grands comptes : files d’attente intelligentes, serveurs vocaux, enregistrement légal, appels depuis un navigateur, le tout pour le prix d’un VPS.
Cet article sert de point d’entrée à une série de quatorze tutoriels pratiques. Il pose les fondations conceptuelles — comment un appel SIP fonctionne réellement, quelles plateformes choisir, comment WebRTC fait entrer la voix dans le navigateur, et où se cachent les risques de sécurité — puis renvoie vers chaque tutoriel pas-à-pas qui creuse un sujet précis. Si vous découvrez la VoIP, lisez d’abord ce guide principal. Si vous savez déjà ce qu’est un trunk SIP, sautez directement au tutoriel qui vous concerne.
Du réseau téléphonique commuté à la voix sur IP
Le réseau téléphonique commuté public (RTC) reposait sur la commutation de circuits : pour chaque appel, un chemin physique dédié était réservé de bout en bout pendant toute la durée de la conversation. C’était fiable mais rigide et coûteux. La VoIP repose au contraire sur la commutation de paquets : la voix est numérisée, découpée en petits paquets, et acheminée sur un réseau IP partagé exactement comme n’importe quelle donnée. Aucun circuit n’est réservé ; la bande passante n’est consommée que lorsque l’on parle.
Ce changement a trois conséquences majeures. D’abord, le coût s’effondre : un appel local et un appel international empruntent la même infrastructure. Ensuite, la téléphonie devient logicielle : un autocommutateur (PBX) n’est plus une armoire métallique mais un programme qui tourne sur un serveur Linux ordinaire. Enfin, la voix devient intégrable : on peut la coupler à un CRM, déclencher un enregistrement, transcrire un appel, ou afficher un bouton « Appeler » directement dans une page web. Toute la série explore cette dernière promesse.
Anatomie d’un appel : signalisation et média séparés
La confusion la plus fréquente chez les débutants est de croire qu’un seul flux transporte « l’appel ». En réalité, un appel VoIP repose sur deux canaux distincts qui voyagent souvent par des chemins différents : la signalisation, qui établit, modifie et termine la session, et le média, qui transporte la voix elle-même. Comprendre cette séparation est la clé pour diagnostiquer la moitié des problèmes de téléphonie IP.
SIP, le langage qui établit l’appel
Le protocole SIP (Session Initiation Protocol), défini par la RFC 3261, est la grammaire de la signalisation. Il ressemble étonnamment à HTTP : des messages texte lisibles, des méthodes (INVITE pour démarrer un appel, ACK, BYE pour raccrocher, REGISTER pour s’enregistrer auprès d’un serveur), et des codes de réponse familiers (200 OK, 404 Not Found, 486 Busy Here). Quand un téléphone IP « s’enregistre », il envoie un REGISTER au serveur pour annoncer où le joindre. Quand vous composez un numéro, votre poste émet un INVITE.
SIP ne transporte jamais la voix. Il se contente de négocier les paramètres de l’appel — qui parle à qui, quels codecs sont disponibles, sur quelles adresses IP et quels ports échanger le média. Cette négociation s’appuie sur un second format, le SDP (Session Description Protocol), encapsulé dans le corps des messages SIP. Une fois l’accord trouvé, les deux extrémités ouvrent un canal média séparé.
RTP et SRTP, le transport de la voix
La voix elle-même voyage en RTP (Real-time Transport Protocol), au-dessus d’UDP, car pour de l’audio temps réel il vaut mieux perdre un paquet que d’attendre sa retransmission. Chaque paquet RTP porte un horodatage et un numéro de séquence qui permettent au récepteur de remettre les morceaux dans l’ordre et de lisser la gigue. Sans chiffrement, ce flux est interceptable : quiconque capture les paquets peut reconstituer la conversation. C’est pourquoi la version sécurisée, SRTP, chiffre la charge utile audio. En téléphonie moderne, on couple TLS (pour chiffrer la signalisation SIP) et SRTP (pour chiffrer le média) — un duo que l’on retrouve dans tous les tutoriels de sécurité de cette série.
Les codecs : compresser la voix sans la trahir
Un codec décide comment numériser et compresser la voix. Le choix arbitre entre qualité, bande passante et compatibilité. Les plus courants en 2026 :
- G.711 (a-law/µ-law) : aucune compression, qualité « téléphone » irréprochable, mais 64 kbit/s par sens. Universellement supporté, idéal en réseau local.
- G.722 : voix haute définition (large bande), même débit que G.711, recommandé entre postes internes.
- Opus : codec moderne à débit variable (6 à 510 kbit/s), excellent en bande passante limitée et résistant à la perte de paquets. C’est le codec natif de WebRTC.
- G.729 : compression à 8 kbit/s, historiquement prisé sur liaisons étroites, mais qualité moindre et longtemps soumis à brevets (désormais libres).
Sur une liaison Internet à débit modeste ou partagée, privilégier Opus vers l’extérieur et G.722 en interne offre le meilleur compromis. Un trunk opérateur impose souvent G.711 : il faudra alors transcoder, opération qui consomme du CPU sur le serveur.
Les plateformes IP-PBX en 2026 : quel moteur choisir
Quatre familles de logiciels dominent l’autocommutation open source et clé-en-main. Elles ne s’opposent pas vraiment : trois d’entre elles partagent le même cœur, Asterisk.
Asterisk, le moteur de référence
Asterisk est la bibliothèque logicielle qui fait réellement le travail de téléphonie : enregistrer les postes, router les appels, jouer des messages, gérer les conférences. La branche stable de long terme en 2026 est Asterisk 22 LTS, maintenue quatre ans plus une année de correctifs de sécurité. Asterisk est puissant mais s’administre via des fichiers de configuration texte (pjsip.conf, extensions.conf) : c’est l’outil des intégrateurs qui veulent tout contrôler. Le module de canal moderne, chan_pjsip, remplace l’ancien chan_sip et gère nativement le WebRTC.
FreePBX, la console graphique d’Asterisk
FreePBX ajoute une interface web à Asterisk : on configure extensions, trunks et files d’attente à la souris plutôt qu’en éditant des fichiers. La version actuelle est FreePBX 17. C’est le choix le plus répandu pour une PME qui veut la puissance d’Asterisk sans la ligne de commande. Une série dédiée couvre déjà l’installation en production, l’interconnexion avec les opérateurs et la sécurisation : voir le guide Asterisk + FreePBX en production et le tutoriel configurer un trunk SIP sur FreePBX 17.
Issabel 5, la distribution unifiée
Issabel est une distribution complète — système d’exploitation, Asterisk, interface d’administration, messagerie, fax et outils de collaboration — livrée sous forme d’image ISO à installer sur un serveur dédié. La version 5, stable depuis 2024, repose sur Rocky Linux 8 (support jusqu’en 2029) et embarque Asterisk 16 et 18 ainsi que des fonctions de visioconférence. Issabel séduit ceux qui veulent un système prêt à l’emploi en une installation, sans assembler les briques eux-mêmes. Quatre tutoriels de cette série lui sont consacrés, de l’installation à la supervision.
3CX V20, l’approche clé-en-main moderne
3CX se distingue : ce n’est pas du tout du Asterisk, mais un PBX propriétaire (gratuit jusqu’à un certain nombre d’appels simultanés) avec une expérience très soignée. La version 20, dont la mise à jour 9 est sortie en mai 2026, tourne sur Debian 12 et propose un client web repensé, des files d’attente avancées (rappel automatique, temps d’attente estimé) et des applications mobiles natives. 3CX vise l’entreprise qui veut déployer vite, avec un minimum de configuration manuelle. Quatre tutoriels couvrent son installation, ses trunks, le provisionnement des postes et sa sécurisation.
Tableau comparatif
| Critère | Asterisk seul | FreePBX | Issabel 5 | 3CX V20 |
|---|---|---|---|---|
| Cœur | Asterisk 22 | Asterisk 22 | Asterisk 16/18 | Propriétaire |
| Administration | Fichiers texte | Web | Web | Web |
| Installation | Manuelle | Sur Asterisk | ISO complète | Script Debian |
| Coût licence | Gratuit | Gratuit | Gratuit | Gratuit (limité) / payant |
| Profil idéal | Intégrateur | PME technique | Tout-en-un | Déploiement rapide |
WebRTC : la téléphonie sans logiciel à installer
WebRTC (Web Real-Time Communication) est la technologie qui permet à un navigateur d’émettre et de recevoir de la voix et de la vidéo sans plug-in ni application. Pour un autocommutateur, c’est une révolution : un agent peut prendre ses appels depuis Chrome ou Firefox, sans téléphone physique ni softphone à déployer. Couplé à SIP, WebRTC transforme un onglet en poste téléphonique.
Ce que WebRTC ajoute au SIP classique
WebRTC impose trois exigences techniques absentes de la VoIP traditionnelle. D’abord, la signalisation passe par WebSocket sécurisé (WSS) et non par UDP : un navigateur ne sait pas ouvrir un socket SIP brut. Ensuite, le média est obligatoirement chiffré en DTLS-SRTP — pas de voix en clair, jamais. Enfin, pour traverser les pare-feu et les routeurs NAT, WebRTC s’appuie sur le mécanisme ICE, assisté de serveurs STUN (qui révèlent l’adresse publique d’un client) et TURN (qui relaient le média quand la connexion directe échoue). Sans serveur TURN correctement déployé, un appel WebRTC entre deux utilisateurs derrière des box différentes échoue silencieusement.
Cette série consacre cinq tutoriels à WebRTC : activer le support côté Asterisk, construire un softphone avec les bibliothèques JsSIP puis SIP.js, déployer un serveur TURN avec coturn, et diagnostiquer la qualité des appels. Pour la visioconférence pair-à-pair sans serveur SIP, l’article WebRTC : appel vidéo navigateur sans serveur pose les bases du protocole côté JavaScript.
La sécurité n’est pas optionnelle : le spectre du toll-fraud
Un serveur de téléphonie exposé à Internet est une cible immédiate. Le scénario classique, appelé toll-fraud, voit un attaquant deviner les identifiants d’une extension, puis passer des milliers d’appels vers des numéros surtaxés à l’étranger en quelques heures — laissant à la victime une facture qui peut atteindre plusieurs millions de FCFA avant même qu’elle ne s’en aperçoive. Les robots qui scannent les ports SIP (5060/UDP en tête) opèrent en permanence.
La défense repose sur des principes cumulatifs : mots de passe d’extension longs et aléatoires, chiffrement TLS/SRTP, listes d’autorisation d’adresses IP (ACL) pour n’accepter la signalisation que des réseaux connus, bannissement automatique des IP suspectes avec Fail2ban, et restriction des destinations internationales autorisées. Le tutoriel sécuriser Asterisk contre le toll-fraud détaille cette défense en profondeur ; les tutoriels 3CX et WebRTC de cette série reprennent les mêmes réflexes adaptés à chaque plateforme.
Le SBC, gardien de la frontière SIP
Dès que l’on dépasse un seul serveur, ou que l’on expose la téléphonie à Internet à grande échelle, une brique devient incontournable : le Session Border Controller (SBC). Placé en frontière de réseau, le SBC filtre, normalise et protège le trafic SIP avant qu’il n’atteigne le PBX. Il masque la topologie interne, absorbe les attaques par déni de service, répare les incompatibilités entre opérateurs (un travail appelé SIP normalization) et répartit la charge entre plusieurs serveurs.
Le logiciel libre de référence pour ce rôle est Kamailio, dont la branche 6.1 est sortie début 2026. Kamailio ne traite pas le média : il manipule la signalisation à très haut débit (des dizaines de milliers d’appels simultanés sur un serveur modeste). Le tutoriel placer un SBC Kamailio devant Asterisk montre comment l’interposer pour filtrer le SIP entrant.
Mesurer ce que l’on ne voit pas : la qualité d’appel
Un appel VoIP peut « fonctionner » tout en étant inaudible. Trois métriques déterminent la qualité perçue. La latence (délai bout-en-bout) doit rester sous 150 ms pour une conversation naturelle ; au-delà de 300 ms, les interlocuteurs se coupent la parole. La gigue (variation du délai entre paquets) doit être absorbée par un tampon ; trop forte, elle hache la voix. La perte de paquets au-delà de 1 % devient audible. Ces trois facteurs se résument dans un score synthétique, le MOS (Mean Opinion Score), de 1 (inutilisable) à 5 (parfait), une valeur de 4 ou plus étant l’objectif.
Pour observer concrètement ce qui se passe, des outils comme sngrep (capture et visualisation des dialogues SIP en console) et Homer (plateforme de capture et corrélation à grande échelle) sont indispensables. Le tutoriel diagnostiquer la qualité d’appel SIP avec sngrep et Homer en fait une démonstration pas-à-pas.
Obtenir des numéros : trunks et lignes directes
Un PBX interne ne sert à rien s’il ne peut pas joindre l’extérieur. Le lien avec le réseau téléphonique mondial s’appelle un trunk. Un trunk SIP est une connexion logique, vendue par un opérateur ou un fournisseur spécialisé, qui transporte vos appels entrants et sortants sur Internet plutôt que sur une ligne physique. Il se définit par un nom d’hôte, des identifiants d’authentification et un nombre de canaux simultanés (combien d’appels en parallèle vous pouvez passer).
À ce trunk sont rattachés des numéros, appelés SDA (sélection directe à l’arrivée, ou DID en anglais) : ce sont les numéros publics que composent vos correspondants. Un même trunk peut porter plusieurs SDA, que votre plan de numérotation interne route ensuite vers le bon service — accueil, commercial, support. Chez les opérateurs locaux comme Sonatel ou Orange, l’offre de trunk SIP s’adresse aux entreprises et se facture souvent à l’abonnement plus la consommation. Des fournisseurs internationaux proposent des numéros virtuels dans de nombreux pays, payables en ligne, ce qui permet d’afficher une présence locale sans implantation physique. Le coût d’un canal varie typiquement de quelques milliers de FCFA par mois à davantage selon la qualité et le volume.
Le dimensionnement du nombre de canaux suit une règle simple : il dépend du nombre d’appels simultanés, pas du nombre d’employés. Une équipe de vingt personnes passe rarement vingt appels en même temps ; huit à dix canaux suffisent souvent. Sur-dimensionner coûte de l’argent inutilement, sous-dimensionner provoque des appels refusés aux heures de pointe.
Architecture type d’un déploiement
Avant d’installer quoi que ce soit, il faut visualiser où se place chaque brique. Une installation saine sépare clairement trois zones. En frontière, face à Internet, on trouve idéalement un SBC ou au minimum un pare-feu qui filtre la signalisation ; c’est lui qui reçoit le trunk de l’opérateur et qui encaisse les attaques. Au cœur, sur un serveur isolé du grand public, tourne le PBX (Asterisk, FreePBX, Issabel ou 3CX) qui contient toute la logique d’appel, les boîtes vocales et les enregistrements. En périphérie interne, sur le réseau local ou en télétravail via VPN, se connectent les postes : téléphones IP physiques, softphones sur ordinateur, ou clients WebRTC dans un navigateur.
Cette séparation a une vertu de sécurité majeure : le PBX ne devrait jamais être directement exposé sur Internet avec ses ports SIP ouverts à tous. Soit on le place derrière un SBC, soit on restreint l’accès aux seules adresses de l’opérateur et des télétravailleurs connus, soit on impose un VPN. Le jour où un robot scanne votre port 5060 et tente des milliers d’enregistrements, cette architecture fait la différence entre une tentative bloquée en frontière et une facture frauduleuse. L’alimentation électrique mérite aussi attention : un PBX qui s’éteint à chaque coupure laisse l’entreprise sans téléphone, d’où l’intérêt d’un onduleur dimensionné pour le serveur et l’équipement réseau.
Par où commencer : les tutoriels de cette série
Chaque sujet abordé ci-dessus dispose d’un tutoriel pas-à-pas dédié. Voici l’itinéraire recommandé, regroupé par plateforme.
Déployer 3CX V20
- Installer 3CX V20 sur un VPS Debian 12 — le point de départ pour un déploiement clé-en-main.
- Configurer un trunk SIP sur 3CX V20 et router les appels — connecter le PBX au monde extérieur.
- Provisionner téléphones IP et softphones sur 3CX V20 — équiper les utilisateurs.
- Sécuriser 3CX V20 : anti-fraude, TLS et autorisations IP — verrouiller le système.
Maîtriser Issabel 5
- Installer Issabel 5 et prendre en main l’interface — la distribution tout-en-un.
- Créer extensions et plan de numérotation dans Issabel 5 — la configuration de base.
- Monter une file d’attente et un centre d’appels avec Issabel 5 — pour le support client.
- Sauvegarder, superviser et restaurer un serveur Issabel 5 — la continuité de service.
Faire entrer la voix dans le navigateur (WebRTC)
- Activer WebRTC sur Asterisk : WebSocket WSS et PJSIP — la fondation côté serveur.
- Construire un softphone navigateur avec JsSIP et Asterisk — un client en quelques lignes.
- Développer un client SIP WebRTC avec SIP.js — une approche plus riche et typée.
- Déployer un serveur TURN coturn pour WebRTC — l’élément qui fait fonctionner les appels en production.
- Diagnostiquer la qualité d’appel SIP avec sngrep et Homer — voir ce qui se passe sur le fil.
Industrialiser et protéger
- Placer un SBC Kamailio devant Asterisk pour filtrer le SIP — la frontière de sécurité et de répartition de charge.
Erreurs fréquentes en téléphonie IP
| Erreur | Cause | Solution |
|---|---|---|
| Appel établi mais aucun son (audio à sens unique) | NAT mal traversé, média bloqué par le pare-feu | Configurer le NAT côté PBX, ouvrir la plage de ports RTP, déployer un serveur TURN pour WebRTC |
| Le poste ne s’enregistre pas | Identifiants erronés ou port 5060 filtré | Vérifier REGISTER avec sngrep, contrôler l’ACL et le mot de passe |
| Facture anormale (toll-fraud) | Extension à mot de passe faible exposée à Internet | Mots de passe forts, Fail2ban, restriction des destinations internationales |
| Voix hachée | Gigue et perte de paquets sur une liaison saturée | QoS sur le réseau, codec Opus, tampon de gigue adapté |
| WebRTC qui ne sonne pas | Absence de WSS ou de certificat valide | Activer le WebSocket sécurisé et un certificat TLS reconnu |
Questions fréquentes
Faut-il un serveur dédié ou un VPS suffit-il ?
Un VPS de 2 vCPU et 4 Go de RAM gère confortablement quelques dizaines d’appels simultanés sans transcodage. Le transcodage (changer de codec en temps réel) est l’opération la plus gourmande : si vos trunks imposent G.711 et vos postes Opus, prévoyez davantage de CPU.
3CX ou une solution basée sur Asterisk ?
3CX se déploie plus vite et offre une expérience utilisateur très soignée, mais reste propriétaire avec des limites sur l’édition gratuite. Asterisk (via FreePBX ou Issabel) est totalement libre et infiniment personnalisable, au prix d’une courbe d’apprentissage plus raide.
WebRTC remplace-t-il les téléphones de bureau ?
Il les complète. Pour un agent de centre d’appels mobile ou en télétravail, un softphone WebRTC dans le navigateur évite tout déploiement matériel. Pour un poste fixe permanent, un téléphone IP physique reste plus ergonomique.
Quel codec choisir par défaut ?
Opus pour tout ce qui traverse Internet (robuste à la perte), G.722 entre postes internes en réseau local, et G.711 imposé par la plupart des trunks opérateurs.
Comment éviter la fraude téléphonique ?
Ne jamais exposer un PBX sans pare-feu, utiliser des mots de passe d’extension aléatoires, activer Fail2ban, restreindre les indicatifs internationaux autorisés et surveiller les pics d’appels sortants.
Un SBC est-il nécessaire pour une petite installation ?
Non, un PBX bien sécurisé suffit en dessous d’une centaine de postes. Le SBC devient utile pour masquer la topologie, répartir la charge sur plusieurs serveurs ou résoudre les incompatibilités entre opérateurs.
Ressources et références
- RFC 3261 — SIP : Session Initiation Protocol (spécification officielle)
- Documentation officielle Asterisk
- Projet Issabel
- Documentation 3CX
- WebRTC.org — ressources officielles
- Documentation Kamailio
Choisissez votre première étape selon votre objectif : un déploiement rapide vous orientera vers 3CX, un système tout-en-un vers Issabel 5, et un projet de voix dans le navigateur vers la section WebRTC. Chaque tutoriel est autonome et reprend les prérequis nécessaires.