Skype : une vulnérabilité permet d’espionner les utilisateurs
Des chercheurs ont mis en évidence une faille de sécurité dans Skype. Celle-ci permet de connaître l’identité d’un utilisateur du service de VoIP, son activité de partage de fichiers en P2P et de le géo-localiser.
Ce sont des chercheurs du Polytechnic Institute of New York University (NYU-Poly), de l’INRIA en France et du MPI-SWS en Allemagne qui sont à l’origine de la découverte d’une vulnérabilité dans Skype.
Leur travail a été publié dans un article intitulé « I know where you are and what you are sharing. » (« Je sais où tu es et ce que tu partages« ). Il pointe du doigt la possibilité offerte par quiconque d’espionner n’importe qui sur Skype.
Car il s’agit bien d’obtenir des données personnelles qui peuvent en apprendre beaucoup sur l’individu.
En utilisant la faille de sécurité découverte, il est possible d’intercepter et d’exploiter l’adresse IP des personnes qui téléphonent via le logiciel de VoIP, ce qui permet aisément de connaître une myriade d’informations personnelles.
Des services commerciaux de cartographie géo-IP permettent ainsi de connaître l’emplacement géographique de personnes et de leurs fournisseurs de services internet grâce à leur adresse IP. La faille permet également de connaître l’activité de partage de fichiers en P2P d’un individu.
Pour connaître l’adresse IP, il suffit d’appeler la personne. Les chercheurs ont même montré qu’en initiant un appel sur Skype et en le bloquant rapidement, cela suffisait pour intercepter l’adresse IP de l’appelé.
De surcroît, même si la personne a configuré Skype pour n’être appelé que par ses contacts, il est possible de passer outre. Un appel refusé ou même si la personne appelée se trouve derrière un routeur de type NAT (Network Address Translation) n’y changent rien.
Ensuite, il est relativement aisé de relier les informations obtenues à celles accessibles sur les réseaux sociaux tels que Facebook ou LinkedIn, et de dresser une fiche d’identité et de connaître les activités d’une personne donnée.
Microsoft est conscient du problème et ses ingénieurs travaillent pour trouver une solution.
Mais cette faille remet en question le principe prôné par Skype de la sécurité par l’obscurité. Obscurité de la méthode utilisée puisque le code source du service de voix sur Internet n’est pas public.
A ce sujet Bruce Schneier, un expert en sécurité, déclare : « Dans le monde de la cryptographie, nous estimons depuis des décennies que l’open source est nécessaire pour obtenir une bonne sécurité. »
Par ailleurs, on peut légitimement s’interroger sur d’autres services de VoIP susceptibles d’être également touchés par cette vulnérabilité.
Crédit photo : Copyright auremar – Fotolia.com