Skype : les entreprises doivent gérer elles-mêmes les risques

Mobilité

La dernière vulnérabilité identifiée dans le logiciel de VoIP souligne les dangers de son utilisation en entreprises, prévient Gartner.

Les entreprises devraient « agir maintenant » pour faire face au danger croissant que représentent Skype et les autres services de voix sur IP (VoIP), préviennent des experts de l’industrie.

Selon le cabinet d’analyses Gartner, la dernière vulnérabilité découverte dans le logiciel client de Skype pour Windows met en lumière les risques de son utilisation en entreprises. Lawrence Orans, directeur de recherche de Gartner, a émis cette alerte après la publication par Skype d’un bulletin de sécurité faisant état d’une faille de sécurité de la version Windows de son application représentant un « risque moyen ».

Cette nouvelle vulnérabilité permettrait à un pirate de télécharger un fichier particulier à partir de l’ordinateur de sa victime. Celle-ci devra auparavant avoir visité un site Web malveillant contrôlé par le hacker, lequel doit connaître l’emplacement du fichier sur la machine, explique l’analyste. Cette faille fait suite à trois incidents distincts survenus en 2005, dont deux ont été jugés à « haut risque » et le troisième de « risque faible ».

Skype étant disponible en libre téléchargement, la plupart des sociétés n’ont aucune idée du nombre de logiciels clients installés sur leurs systèmes, ni du volume de données que Skype fait transiter sur leurs réseaux. « Les entreprises sont livrées à elles-mêmes pour faire face à cette dernière menace. Lorsque des utilisateurs d’une version vulnérable du logiciel s’enregistrent auprès de Skype, ils reçoivent une proposition de mise à jour vers la plus récente version mais ne sont pas prévenus de l’existence de la faille ou des risques associés. Ils ont toujours la possibilité d’accéder au service avec un client vulnérable », a déclaré l’analyste de Gartner.

Une attitude plus prudente de la part de Microsoft

« Au contraire, Microsoft a immédiatement restreint l’accès à son service de messagerie instantanée MSN Messenger en 2005 lorsqu’une vulnérabilité de son application a été découverte (…) Seuls les utilisateurs disposant d’une version mise à jour et non vulnérable du client étaient autorisés à accéder au service, ce qui signifie que Microsoft a envisagé la gestion de cette vulnérabilité essentiellement du point de vue des entreprises. Skype n’offre pas un tel niveau de protection. »

Selon Gartner, les entreprises doivent mesurer les risques de l’utilisation de Skype pour la téléphonie et « mettre en oeuvre les actions appropriées ». Compte tenu des dangers identifiés par le cabinet d’analyses, la solution la plus sûre consiste à bloquer complètement le trafic Skype. Si, après évaluation des risques, une entreprise décide d’autoriser l’utilisation de Skype, Lawrence Owans préconise d’adopter des outils de configuration permettant de gérer de manière active les versions du client Skype et leur distribution aux utilisateurs autorisés.

(Traduction d’un article de VNUnet.com en date du 30 mai 2006)