M. Jackson (Skype) : « Nous n’avons pas repéré d’attaques importantes visant Skype »

En qualité de vice-president en charge des services mobiles et télécoms chez Skype, Michael Jackson a supervisé le développement des services payants du service de téléphonie IP le plus populaire au monde (Skype In, Skype Out, voice mail, services mobiles?).

Cet ingénieur télécoms a rejoint l’équipe de Skype en février 2004. En marge de la XVIème édition de l’European IT Forum d’IDC organisée les 25 et 26 septembre derniers à Paris, Vnunet.fr a rencontré Michael Jackson pour faire le point sur les questions de sécurité liées à Skype. En guise d’avant-goût des débats de la Convention VoIP qui ouvre ses portes mardi à Paris. (Interview réalisée le 25 septembre 2006)

Vnunet : quelle est votre priorité concernant la sécurité dédiée à Skype ?
Michael Jackson : Il est important de prendre en compte le volet sécurisation dès la conception fondamentale du produit. Nous avons des experts en noyau informatique, mathématique et cryptographie pour cela. Nous n’avons pas de problèmes « actifs » concernant la sécurité. Il s’agit essentiellement de conception de produits futurs et de la maintenance des services actuels. Bien sûr, il est de notre devoir de veiller à la qualité du code que nous diffusons et de sécuriser les produits lors de leur sortie. Je ne sais même pas combien de personnes travaillent sur le sujet. La principale équipe est localisée à Tallinn en Estonie. Nous avons environ 15 000 collaborateurs en charge de la qualité des produits et des services mais je ne sais pas exactement combien travaille plus spécifiquement sur le volet de la sécurité.

Vous ne considérez pas le piratage comme l’une de vos priorités en termes de sécurité ?
Il est évident que tout développeur de logiciels gratuits est concerné par la sécurité. Mais ce n’est pas un problème majeur pour nous. Car, en fait, nous n’avons pas constatés « d’évènements ». Ce qui est plutôt un bon signe pour mesurer la qualité nos produits.

Vous n’avez jamais fait face à une attaque d’importance concernant Skype ?
Jamais.

Avez-vous recensé des cas d’attaques par phishing inquiétants ?
Nous n’avons jamais recensé le cas d’une attaque par Skype liée au phishing. C’est fréquent lorsqu’un pirate veut récupérer les données confidentielles d’accès à une compte bancaire ou de crédit. Pour le cas de Skype, un pirate pourrait peut-être détourner les crédits de communication d’un client payant.

Comment expliquez-vous qu’un outil aussi populaire que Skype échappent à des tentatives de piratage importantes ?
C’est vrai que cela peut paraître étonnant. Tout acteur exploitant un site Internet n’est pas à l’abri d’un défaçage par exemple. C’est assez normal dans le cadre de l’exploitation d’un site Web. Mais je pense qu’il est plus difficile de pirater du code source émanant d’un logiciel depuis une chambre. Nous avons placé plusieurs couches de sécurité sur notre produit. Notre équipe est vraiment centrée sur la sécurité. Nous passons beaucoup d’energie sur le sujet. C’est un véritable défi pour notre équipe dédiée au core engineering.

Certains experts critiquent le manque de sécurité de Skype?
Je pense que c’est une méconnaissance de la manière dont le système fonctionne. La technologie P2P est très différente des architectures de type clients-serveurs. Lorsque nous avons l’opportunité de discuter avec eux de notre technologie, nos interlocuteurs en ressortent généralement satisfaits. Je ne vois pas de raisons pourquoi on devrait percevoir les services voix sur IP et plus particulièrement Skype comme des outils de communication plus dangereux que d’autres.

En qualité de vice-president en charge des services mobiles et télécoms chez Skype, Michael Jackson a supervisé le développement des services payants du service de téléphonie IP le plus populaire au monde (Skype In, Skype Out, voice mail, services mobiles?).

Cet ingénieur télécoms a rejoint l’équipe de Skype en février 2004. En marge de la XVIème édition de l’European IT Forum d’IDC organisée les 25 et 26 septembre derniers à Paris, Vnunet.fr a rencontré Michael Jackson pour faire le point sur les questions de sécurité liées à Skype. En guise d’avant-goût des débats de la Convention VoIP qui ouvre ses portes mardi à Paris. (Interview réalisée le 25 septembre 2006)

Vnunet : quelle est votre priorité concernant la sécurité dédiée à Skype ?
Michael Jackson : Il est important de prendre en compte le volet sécurisation dès la conception fondamentale du produit. Nous avons des experts en noyau informatique, mathématique et cryptographie pour cela. Nous n’avons pas de problèmes « actifs » concernant la sécurité. Il s’agit essentiellement de conception de produits futurs et de la maintenance des services actuels. Bien sûr, il est de notre devoir de veiller à la qualité du code que nous diffusons et de sécuriser les produits lors de leur sortie. Je ne sais même pas combien de personnes travaillent sur le sujet. La principale équipe est localisée à Tallinn en Estonie. Nous avons environ 15 000 collaborateurs en charge de la qualité des produits et des services mais je ne sais pas exactement combien travaille plus spécifiquement sur le volet de la sécurité.

Vous ne considérez pas le piratage comme l’une de vos priorités en termes de sécurité ?
Il est évident que tout développeur de logiciels gratuits est concerné par la sécurité. Mais ce n’est pas un problème majeur pour nous. Car, en fait, nous n’avons pas constatés « d’évènements ». Ce qui est plutôt un bon signe pour mesurer la qualité nos produits.

Vous n’avez jamais fait face à une attaque d’importance concernant Skype ?
Jamais.

Avez-vous recensé des cas d’attaques par phishing inquiétants ?
Nous n’avons jamais recensé le cas d’une attaque par Skype liée au phishing. C’est fréquent lorsqu’un pirate veut récupérer les données confidentielles d’accès à une compte bancaire ou de crédit. Pour le cas de Skype, un pirate pourrait peut-être détourner les crédits de communication d’un client payant.

Comment expliquez-vous qu’un outil aussi populaire que Skype échappent à des tentatives de piratage importantes ?
C’est vrai que cela peut paraître étonnant. Tout acteur exploitant un site Internet n’est pas à l’abri d’un défaçage par exemple. C’est assez normal dans le cadre de l’exploitation d’un site Web. Mais je pense qu’il est plus difficile de pirater du code source émanant d’un logiciel depuis une chambre. Nous avons placé plusieurs couches de sécurité sur notre produit. Notre équipe est vraiment centrée sur la sécurité. Nous passons beaucoup d’energie sur le sujet. C’est un véritable défi pour notre équipe dédiée au core engineering.

Certains experts critiquent le manque de sécurité de Skype?
Je pense que c’est une méconnaissance de la manière dont le système fonctionne. La technologie P2P est très différente des architectures de type clients-serveurs. Lorsque nous avons l’opportunité de discuter avec eux de notre technologie, nos interlocuteurs en ressortent généralement satisfaits. Je ne vois pas de raisons pourquoi on devrait percevoir les services voix sur IP et plus particulièrement Skype comme des outils de communication plus dangereux que d’autres.