Illustration : Momma Propaganda
Une faille dans Skype permet de jouer à l’Hadopi

« N’importe qui peut désormais jouer a l’HADOPI, depuis chez soi, et envoyer des PVs à des individus ayant vraiment téléchargés des fichiers piratés. N’importe qui peut traquer la mobilité des stars qu’il préfère ou des hommes politique qu’il déteste. »

Des chercheurs viennent de démontrer que tous les utilisateurs de Skype, le logiciel de téléphonie par internet récemment racheté par Microsoft, pouvaient voir leurs adresses IP* identifiées, et donc les zones géographiques d’où ils se connectent, mais également qu’il était possible de savoir s’ils téléchargeaient ou partageaint des fichiers sur un système de partage de fichiers P2P. Et ce, quand bien même ils auraient configué leur logiciel pour ne permettre qu’à leurs amis de voir s’ils sont connectés, ou pas…

Le titre de leur publication, qui sera présentée lors de l’Internet Measurement Conference 2011, qui se tient à Berlin du 2 au 4 novembre : « Je sais où tu es et ce que tu partages : comment exploiter les communications P2P pour violer la vie privée d’un internaute ». D’ordinaire, quand on trouve un trou dans un logiciel, on parle de « faille de sécurité ». Pour le coup, il s’agirait plutôt de « faille de vie privée »… Explications.

Skype, le principal logiciel de téléphonie par Internet (VOIP), revendique plus de 500 millions d’utilisateurs, dont 170 millions qui s’en servent, chaque mois, pour communiquer, par téléphone, messages instantanés ou vidéo-conférence. Skype est censé garantir la confidentialité de nos télécommunications, en les chiffrant via un algorithme propriétaire. Nul ne sait jusqu’où cet algorithme propriétaire est fiable, ou pas (en vertu du Principe de Kerckhoffs, on estime qu’un système ne peut être considéré comme sécurisé que si l’on en connaît le code source, et donc le mode d’emploi, le secret ne devant reposer que sur la clef, secrète, en tout cas personnelle).

En l’espèce, le problème identifié par les chercheurs ne relève pas d’un problème de type « faille de sécurité » qu’il serait plus ou moins facile de corriger, mais d’un problème de conception : par défaut, Skype transmet en effet l’adresse IP de ses utilisateurs, quand bien même ils aient pourtant interdit aux autres utilisateurs de savoir s’ils étaient connectés… ce que les chercheurs ont pu vérifier en traquant 20 volontaires, et 10 000 utilisateurs de Skype choisis aléatoirement (et anonymisés).

A les en croire, il serait ainsi possible, pour 500$ seulement, de se créer une base de données client circonstanciée de 10 000 utilisateurs (avec leurs noms, prénoms, adresses, professions et employeurs), en croisant ces données avec celles disponibles sur les réseaux sociaux… ou encore de s’en servir pour harceler les utilisateurs de Skype, ou encore les faire chanter…

Un porte-parole de Skype a depuis reconnu que « à l’instar de tout logiciel de communication par Internet, les utilisateurs de Skype sont à même d’identifier l’adresse IP de n’importe quel autre utilisateur », ce que déplorent les découvreurs de la faille en question, pour qui seuls les contacts dûment autorisés devraient être en mesure de pouvoir (géo)localiser un internaute. D’autant que leurs adresses IP permettent donc aussi de savoir ce qu’ils téléchargent sur les réseaux P2P…

Stevens Le Blond, chercheur post-doctoral au Max Planck Institute, co-auteur de cette découverte avec Chao Zhang, Arnaud Legout, Keith W. Ross et Walid Dabbous et qui a déjà écrit plusieurs articles sur ces questions, a bien voulu m’expliquer ce dont il retournait :

manhack : D’ordinaire, on parle de « faille de sécurité »? Pourquoi parlez-vous d’une « faille de vie privée » ?

Ce n’est peut-etre pas aussi sexy qu’une « faille de securite » qui pourrait permettre à un blackhat (pirate informatique, NDLR) de s’introduire dans un système informatique. Pourtant, c’est tout aussi dangereux, sinon plus. Par exemple, la faille que nous avons decouverte permet de trouver l’addresse IP de n’importe quel identifiant Skype, sans se faire remarquer. En particulier, nous avons trouvé un moyen d’appeler un client Skype sans que ce dernier ne sonne et de lier les informations personnelles associées à ce compte avec l’addresse IP de son utilisateur (si ce dernier s’est connecte à Skype dans les trois derniers jours).

Cette faille pourrait être utilisée par n’importe qui pour traquer la mobilité ou les téléchargements P2P d’individus pouvant être identifiés à partir de leur compte Skype. On pourrait aussi imaginer que cette faille soit utilisée par un blackhat afin de s’introduire dans le système informatique d’un individu cible.

manhack : Si je comprends bien, vous pouvez identifier l’IP de n’importe quel utilisateur de Skype, même s’il ne vous a pas accepté dans sa liste de contacts, et même s’il a bloqué votre contact ?

C’est exact. Et même si l’utilisateur refuse explicitement les appels venant de personnes ne se trouvant pas dans sa liste de contacts (il y a un paramètre de configuration qui permet de faire cela).

Nous pensons que les contacts ne devraient pas être en mesure de collecter leurs adresses IP sans que l’appelé accepte l’appel.

manhack : Est-il possible de corriger cette « faille », et comment interprétez-vous le silence de Skype ?

La défense la plus simple serait que Skype ne communique pas l’adresse IP d’un utilisateur à l’appelant avant que l’appelé n’accepte l’appel. De cette manière, il ne serait pas possible pour n’importe qui de collecter l’addresse IP de Dominique Strauss-Kahn pour savoir s’il est bien a NYC, ou s’il n’est pas en train de télécharger des films pornos sur un système de partage de fichiers P2P. Seulement ses contacts pourraient le faire.

Si l’on considère que c’est un problème pour un contact de DSK de connaître son addresse IP c’est plus compliqué mais c’est aussi possible…

Quant au silence de Skype, je peux penser à plusieurs facteurs. Un premier facteur est que le design de Skype ne permet pas de facilement implémenter la première défense ci-dessus. Un autre facteur est que Skype ne considère pas cette faille comme un problème important. Enfin, un dernier facteur est qu’il n’aurait pas été bon pour Skype d’avoir une mauvaise presse avant de se faire racheter. Nous parlons quand même d’une compagnie qui vient de se faire racheter plus de 8 milliards de dollars par Microsoft.

Je pense qu’il s’agit d’une combinaison de ces trois facteurs (et probablement d’autres) mais je ne connais pas l’importance de chacun d’entre eux.

manhack : Cette faille concerne-t-elle tous les autres services de VOIP, et quid de Gtalk, QQ, MSN Live & Cie ?

Partiellement. Ces systèmes connectent directement les interlocuteurs donc il est possible de les utiliser pour récuperer l’addresse IP d’un de ses contacts sans que le client logiciel de ce contact ne sonne. La principale différence avec Skype est que ce dernier communique l’addresse IP à n’importe qui, contact ou non. Une autre différence notable est que Skype fourni une API permettant de facilement automatiser la collecte d’IPs.

manhack : Il existe de nombreux autres moyens d’identifier l’adresse IP d’un internaute, en quoi cette « faille » constitue-t-elle, pour vous, un problème pour la « vie privée » des internautes ?

Je pense qu’il y a plusieurs différences majeures entre Skype et les autres moyens auxquels vous pouvez penser: des centaines de millions d’utilisateurs, des données personnelles permettant souvent d’identifier ces utilisateurs, la possibilité de collecter toutes les heures les adresses IP de milliers d’utilisateurs passivement, silencieusement, et avec peu de ressources.

N’importe qui peut désormais jouer a l’HADOPI, depuis chez soi, et envoyer des PVs a des individus ayant vraiment téléchargé des fichiers piratés. N’importe qui peut traquer la mobilité des stars qu’il préfère ou des hommes politique qu’il déteste. En tranquant également les amis de ces stars ou hommes politiques, on pourrait aussi imaginer inférer leurs relations sociales. Il y a beaucoup d’autres applications malicieuses.

manhack : Comment les utilisateurs de Skype peuvent-ils se protéger ?

Skype conserve l’IP des utilisateurs pendant 72h, il n’est donc pas suffisant, comme l’explique Le Point, de fermer Skype avant de télécharger des contenus sur un reseau P2P. Il faudrait fermer Skype 72h avant chaque téléchargement…

Arrêter Skype ne fait qu’empêcher la vérification (avec très forte probabilité) du téléchargement d’un fichier par un utilisateur de Skype. Cependant, cette astuce ne protege pas les internautes à 100%.

Ça n’est pas non plus suffisant de ne pas utiliser son nom et prénom comme pseudo. Il ne faut pas renseigner son vrai nom et prénom dans ces information personnelles et il faut aussi ne pas utiliser son adresse e-mail publique. Skype permet de chercher ses utilisateurs a partir d’une adresse e-mail donc si son adresse peut facilement être liée a une identité, on est tout aussi vulnérable.

Enfin, et contrairement à ce que laisse entendre LeMagIT, il est possible de collecter l’adresse IP sans même que le client Skype ne sonne, c’est donc induire les gens en erreur que de dire que la faille s’appuie « sur les appels passés, meme refusés » puisque l’utilisateur n’a même pas l’opportunité de refuser l’appel. Par ailleurs, nous le lançons pas du tout d’attaque man-in-the-middle.

Adresse IP : numéro d’identification qui est attribué à chaque branchement d’appareil à un réseau informatique type Internet, permettant à tout un chacun de connaître la zone géographique d’un internaute et à la police judiciaire de connaître l’identité de l’abonné.

Manhack

Source

Articles liés

Ne cherchez plus !!! voilÀ la solution qui permet À chacun, À tout ce qui est d’Être aimÉ

ॐღ Permettez à vos proches, amis, connaissances et autres de connaître cette grande vérité, sans attente, sans obligation, en respectant en tout temps leur choix de vie.  ॐღ NE CHERCHEZ PLUS !!! VOILÀ LA SOLUTION QUI…

La première et ultime faille

Publié le 15 août 2015 par Le Passeur Par Michèle Robinson. Le pouvoir et la domination: la première et ultime faille de l’homme. Qu’il soit vécu au niveau des relations entre les hommes sous forme de problèmes de couple ou…

Faille de New Madrid : Reveil ? Exercices de la FEMA

La FEMA a prévu un exercice national en mai prochain, le long de la faille de New Madrid, qui prévoit la simulation d’un tremblement de terre important… Voir : fema.gov La zone de faille de New Madrid est six fois plus…