Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Skype : de l’absence de chiffrement à la surveillance proactive des liens

For the greater good

Skype : de l’absence de chiffrement à la surveillance proactive des liens

Le 22 mai 2013 à 13h21

Nos confrères d’Ars Technica se sont penchés sur la question de la sécurité dans les échanges sur Skype. Le réseau est souvent considéré comme étant capable de chiffrer les communications de bout en bout, faisant du client VoIP un moyen efficace pour discuter en dépit des surveillances en vigueur sur les réseaux. Selon les tests du site, ce chiffrement n’existe tout simplement pas.

Skype messages vidéo

Des liens analysés par Microsoft 

Skype est connu pour permettre des communications simples, soit sous forme vocale, soit sous forme textuelle. Cette facilité tient principalement au fait que le client est disponible pour bon nombre de plateformes : Windows, OS X, Linux, iOS, Android, Windows Phone, BlackBerry, etc. Ces clients sont également connus pour se connecter facilement en passant à travers la plupart des protections. Ses communications sont souvent considérées comme chiffrées, mais qu’en est-il vraiment ?

 

Ars Technica s’est penché sur la question et a mené plusieurs expériences en collaboration avec Ashkan Soltani, un chercheur indépendant en sécurité. Le principe était simple : préparer quatre liens spécifiquement conçus et les envoyer à travers des messages. Deux liens étaient de type de HTTP, tandis que les deux autres pointaient vers des adresses HTTPS. Surprise : un lien HTTP et un autre HTTPS ont été ouverts par une adresse IP (66.52.100.214) appartenant à Microsoft. Des résultats qui confirment ceux obtenus par Heise Security la semaine dernière sur le même sujet.

Recherche proactive de liens malveillants 

Le fait que les liens aient été ouverts prouve que les communications ne sont pas chiffrées puisque l’action est intervenue à la volée. Cela étant, comme l’indiquent nos confrères, absence de chiffrement n’est pas nécessairement équivalent à absence de sécurité. Microsoft applique en effet au réseau Skype la même technique que pour Live Messenger : les messages sont analysés pour détecter divers éléments tels que les liens frauduleux. La surveillance des malwares est également importante.

 

En outre, la politique de confidentialité de Skype mentionne clairement les actions qui peuvent être menées. L’éditeur parle des « mesures organisationnelles et techniques qui s'imposent pour protéger les données personnelles », en conformité avec les « lois en vigueur ». Skype peut également « avoir recours à une analyse automatique des messages instantanés et des SMS pour (a) identifier le courrier suspecté indésirable et/ou (b) identifier les URL précédemment signalées comme étant à l'origine de courriers indésirables, de tentatives de fraude ou de liens de hameçonnage ». Dans tous les cas, les services agréés, tant internes que tiers, peuvent accéder aux données, des opérations manuelles peuvent intervenir, et Skype peut procéder à des suppressions de contenus s’ils sont jugés inappropriés et/ou indésirables.

 

Le problème n’est pas tant un fait qui n’est finalement pas une nouveauté que l’opposition entre ce qui est généralement « pensé » et la réalité. Matt Green, professeur spécialisé dans le chiffrement à l’université Johns Hopkins, résume la situation : « Le problème aujourd’hui est qu’il existe un décalage entre le respect imaginé de la vie privée et ce que Microsoft propose réellement. Même si Microsoft analyse les liens pour de « bonnes » raisons, disons la détection des liens malveillants, ceci indique qu’ils peuvent intercepter certains de vos messages textuels. Ce qui signifie qu’ils peuvent potentiellement en intercepter beaucoup plus ».

Le flou sur les informations gardées 

En fait, la seule vraie inconnue dans l’équation, sur un plan technique, est de savoir où se situe l’interception. Pour le reste, les opérations menées ressemblent fortement à ce que l’on trouve sur d’autres réseaux ou produits. Difficile de ne pas penser à Facebook ou encore Apple, dont les filtres parfois un peu trop zélés empêchent de laisser passer certains emails.

 

Sur le plan pratique cependant, la situation est beaucoup plus floue. On ne sait pas en effet ce qui se passe une fois que Microsoft a extrait le contenu des messages, combien de temps ces informations sont gardées et ainsi de suite. Le contexte légal est évidemment important, surtout au regard de lois telles que le Patriot Act, mais la firme ne fait rien pour l’instant pour répondre clairement aux questions posées, et donc pour apaiser les craintes.

 

Finalement, le sujet de la surveillance des communications est toujours une problématique de « curseur » oscillant entre la liberté, au risque de plus de complexité, et la protection, même quand elle induit la surveillance. L’utilisateur peut ainsi accepter les conditions d’utilisation, hausser les épaules et convenir que les conversations sont surveillées pour son « bien ». Ou il peut refuser en bloc une telle ingérence dans sa vie privée et se passer de Skype.

 

On notera toutefois que ces constats ont été opérés quelques mois après la publication d'une lettre ouverte par un collectif réunissant notamment des journalistes et des associations telles que l'EFF (Electronic Frontier Foundation) et qui demandait justement la transparence des communications à Skype.

Commentaires (39)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar







Khalev a écrit :



Oui. Rien de bien compliqué en plus à partir du moment où tu contrôles la saisie et l’affichage.







même pour l’audio/vidéo ? et est-ce que que c’est possible de mettre ce genre de plugin dans l’app store aussi ? (je sais pas si les cgu de l’app store permettent de mettre une application qui modifie le comportement d’une autre)



Je pense que c’est mieux de s’orienter directement vers des messageries déjà sécurisés et respectueuses de l’utilisateur.


votre avatar







zwindler a écrit :



Attention… Sauf erreur de ma part ils ne parlent pas d’absence de chiffrement, seulement d’absence de chiffrement de bout en bout, ce qui n’est pas la même chose !





Ce que je comprends, c’est que le flux est chiffré, mais que Skype a une clef lui permettant d’ouvrir le flux et de faire des actions automatiques.



Donc ça confirme le fait que les opposants politiques ne doivent pas utiliser skype, car crosoft à l’habitude de filer les clef et autres certificats de sécurité aux autorités (cf cas de la Tunisie avec les vrais-faux certificats https).



<img data-src=" /> une preuve de plus de limiter son usage (perso une fois par mois, sans texte).


votre avatar







Exosta a écrit :



Alors si on veut un moyen de communication sûr et respectueux de la vie privée, que ce soit textuel, VoIP et visioconférence, on fait quoi ? Il n’y a que la solution d’un serveur maison XMPP ?





Ekiga.<img data-src=" />


votre avatar







Khalev a écrit :



Puis surtout à qui MS est prêt à donner/vendre cette capacité.



Ils avaient quand même aidé des états à faire des MIM pour qu’ils puissent faire du phishing sur leur population.





Voilà c’était en partie de ça dont je parlais, d’où ma référence à Scroogled. Même si, concrètement, pour le phishing et eux il n’y a pas vraiment eu de lien parfaitement avéré


votre avatar

Je vous annonce que comme alternative il y aura bientôt Cryptocat qui va se servir de la nouvelle techno WebRTC pour amener la vidéo/audio en plus du chat et le tout de manière totalement chiffrée et respectueuse de nos données !



twitter.com TwitterWait and see !

votre avatar







linkin623 a écrit :



Ce que je comprends, c’est que le flux est chiffré, mais que Skype a une clef lui permettant d’ouvrir le flux et de faire des actions automatiques.



Donc ça confirme le fait que les opposants politiques ne doivent pas utiliser skype, car crosoft à l’habitude de filer les clef et autres certificats de sécurité aux autorités (cf cas de la Tunisie avec les vrais-faux certificats https).



<img data-src=" /> une preuve de plus de limiter son usage (perso une fois par mois, sans texte).







C’est ce que je comprend aussi.



Cependant, j’ai vraiment eu le sentiment en lisant l’article qu’on nous disait qu’il n’y a pas “du tout” de chiffrement, ce qui n’est pas vrai à mon avis…



Typiquement :

“Le fait que les liens aient été ouverts prouve que les communications ne sont pas chiffrées” et “absence de chiffrement n’est pas nécessairement équivalent à absence de sécurité”



Ils ouvrent “juste” le flux chiffré à la volée, mais un gars sur ton réseau privé verra lui du flux chiffré (et donc pas tes URL circuler).


votre avatar

Tiens en parlant de sécurité et de Skype, c’est quand au juste qu’ils vont faire quelque chose avec les demande d’ajout ?



J’ai 34 demandes d’ajout de contacts (arnaques) par semaine et la moindre des choses serait de mettre un captcha a celui qui demande au bout d’un moment …



Ca parais le minimum quand même. <img data-src=" />

votre avatar







Whinette a écrit :



Comme sous msn, rien de nouveau sous le soleil. :(





Comme dans de très nombreuses CLUF de produits très divers, les clauses et les libertés des éditeurs vont bien au delà de ce que peut croire l’utilisateur normal (comprendre “les 99.9% de ceux qui ont accepté les CLUF sans les lire”)



Cet article n’apporte finalement pas grand chose de plus qu’un exemple supplémentaire. Si PCI avait dû faire un article pour cahque logiciel ou matos qui agit dans le même sens, on n’en sortirait plus. On peut rappeler le fonctionnement de Google dans sa globalité ou les incursions nombreuses et répétées d’Apple pris les doigts dans le pot de confiture (positions GPS, …).



Après, la seule question qui se pose, c’est qu’est-ce qui amène PCI à présenter CE cas particulier là plutôt qu’un autre (ou plutôt que faire un article à portée plus générale là dessus, avec plusieurs exemples plutôt qu’un seul).



votre avatar

Rien qu’avec Patriot Act, ça suffit pour qu’ils gardent tout et branchent des outils de surveillance. Partant de là, on en tire les conséquences que l’on veut.



Si on cherche une solution tout en un et de la simplicité d’utilisation : Skype. Il faut juste s’asseoir sur certains principe.



Il faut mettre dans le même panier les éventuelles alternatives hébergées sur le sol américain.

votre avatar

Sinon il y a Jabber, c’est excellent, standard, librement utilisable, non-centralisé et avec pleins de clients au choix.



Par exemple coté desktop il y a Jitsi qui est excellent.

votre avatar







leo21fr a écrit :



Si il y a des développeurs dans le coin, est-il possible de créer une extension (client API Skype) qui permettrait de chiffrer les informations entre deux correspondants ? Il faudrait que les 2 utilisateurs possèdent cette extension pour communiquer de manière chiffrée.







Peut-être ZFone mais pas pour Skype mais multiplateformes.


votre avatar







zwindler a écrit :



C’est ce que je comprend aussi.



Cependant, j’ai vraiment eu le sentiment en lisant l’article qu’on nous disait qu’il n’y a pas “du tout” de chiffrement, ce qui n’est pas vrai à mon avis…



Typiquement :

“Le fait que les liens aient été ouverts prouve que les communications ne sont pas chiffrées” et “absence de chiffrement n’est pas nécessairement équivalent à absence de sécurité”



Ils ouvrent “juste” le flux chiffré à la volée, mais un gars sur ton réseau privé verra lui du flux chiffré (et donc pas tes URL circuler).







Je pense à une coquille de traduction ou bien que la personne qui parle a oublié un truc.



“le flux n’est pas chiffré de manière imperméable” serait plus approprié.


votre avatar

Je me posais une question l’autre jour, si je veux une alternative à Skype, je prend quoi?

votre avatar







Exosta a écrit :



Alors si on veut un moyen de communication sûr et respectueux de la vie privée, que ce soit textuel, VoIP et visioconférence, on fait quoi ? Il n’y a que la solution d’un serveur maison XMPP ?







Pas forcément besoin de serveur maison XMPP permettant le chiffrement GPG de bout en bout.


votre avatar







AntonyToku a écrit :



Je me posais une question l’autre jour, si je veux une alternative à Skype, je prend quoi?





Il me semble qu’il existe le logiciel libre ekiga, si quelqu’un la déjà testé…


votre avatar

Il existe un client open-source complètement chiffré en passant par le réseau Tor mais je ne me souviens plus comment il s’appelle ?



Quelqu’un a une idée ? ?

votre avatar







nucl3arsnake a écrit :



On el savais déjà, des gens avais démontré que les IP etait en clair quand on passaient des appels, et j’en passe ..



Je connais personnes en admin sys qui conseil Skype pour sa sécurité xD





en effet, voir ici (entre autre, il y avait eu une news PCI sur la possibilité d’avoir les torrents d’une personne en passant par skype, je crois, mais je ne l’ai pas retrouvée)



Pour les conseil de sysadmin… euh…







Oliewan a écrit :



Skype est parfaitement protégé. La preuve : on le sait depuis qu’on sait que la sécurité de Stark Industries s’en sert.













<img data-src=" />





+1 <img data-src=" />







lateo a écrit :



Surprise, Skype c’est caca.

Surprise, Skype c’est toujours caca après avoir été racheté par µsoft.



Enfin bon. Ce genre de news aidera p-e certains à se poser des questions sur la confiance qu’ils accordent aux services qu’ils utilisent. Ou pas.





y a t-il une alternative crédible avec les même fonctionnalités ?



votre avatar

Attention… Sauf erreur de ma part ils ne parlent pas d’absence de chiffrement, seulement d’absence de chiffrement de bout en bout, ce qui n’est pas la même chose !

votre avatar

Comme sous msn, rien de nouveau sous le soleil. :(

votre avatar







Exosta a écrit :



Alors si on veut un moyen de communication sûr et respectueux de la vie privée, que ce soit textuel, VoIP et visioconférence, on fait quoi ? Il n’y a que la solution d’un serveur maison XMPP ?







Tu attends un peu que tous les navigateurs soient compatibles webrtc :



pcinpact.com PC INpact


votre avatar

Ce qui me choque c’est comment le lien “ouverture et lecture des messages” et “absence de chiffrement” est fait.

Parce que là on parle bien de _chiffrement_, donc un procédé réversible. Si Microsoft chiffre les messages avec un algo symétrique (ou même un algo asymétrique en se gardant une backdoor), les messages peuvent être chiffrés ET lisibles par Microsoft …



J’ai l’impression que c’est un peu flou tout ça. Enfin dans tous les cas, je pense que le but final est de montrer que Microsoft est capable de lire ce qui passe sur son service … OUAH, quelle surprise !

La vraie question qu’il faudrait se poser, c’est de savoir si et comment ces informations sont utilisées (outre le scan pro-actif de liens) pour voir si la campagne contre Scroogled est justifiée ou bien ce sont juste de gros hypocrites.

votre avatar







WereWindle a écrit :



en effet, voir ici (entre autre, il y avait eu une news PCI sur la possibilité d’avoir les torrents d’une personne en passant par skype, je crois, mais je ne l’ai pas retrouvée)



Pour les conseil de sysadmin… euh…





+1 <img data-src=" />





y a t-il une alternative crédible avec les même fonctionnalités ?





+1 pour le lien =)



Pour l’alternative ça dépend vraiment ce que tu veux faire avec ^^“. Quand je joue j’ai TS, quand je tchat j’ai G+.



Si tu veux du tout en un, je dirais que c’est “normal” si c’est mal sécurisé …


votre avatar







Nerthazrim a écrit :



La vraie question qu’il faudrait se poser, c’est de savoir si et comment ces informations sont utilisées (outre le scan pro-actif de liens) pour voir si la campagne contre Scroogled est justifiée ou bien ce sont juste de gros hypocrites.





C’est une question purement rhétorique, non ?


votre avatar

Si il y a des développeurs dans le coin, est-il possible de créer une extension (client API Skype) qui permettrait de chiffrer les informations entre deux correspondants ? Il faudrait que les 2 utilisateurs possèdent cette extension pour communiquer de manière chiffrée.

votre avatar



Surprise : un lien HTTP et un autre HTTPS ont été ouverts par une adresse IP (66.52.100.214) appartenant à Microsoft. Des résultats qui confirment ceux obtenus par Heise Security la semaine dernière sur le même sujet.





Où est la surprise, vu que ça avait déjà été observé ? <img data-src=" />

votre avatar







Exosta a écrit :



Alors si on veut un moyen de communication sûr et respectueux de la vie privée, que ce soit textuel, VoIP et visioconférence, on fait quoi ? Il n’y a que la solution d’un serveur maison XMPP ?







ou sur n’importe quel serveur en activant le chiffrement OTR avec le client (pour le chat) et ZRTP (pour l’audio/vidéo). ZRTP fonctionne aussi avec SIP.

Celui qui gère le serveur a toujours accès à ta liste de contacts et voit à qui tu parles, mais il ne peut pas savoir ce que tu dis (et sur la plupart des serveurs, on peut créer un compte sans donner de nom/prénom).


votre avatar

Il me semblait que du fait du patriot act toutes les entreprises américaines ou sur le sol américain étaient obligé de pouvoir déchiffrer le contenu de ce qui transitait par leurs serveurs afin de pouvoir transmettre à la police en cas de réquisition, partant de là ce n’est pas étonnant que microsoft ait accès aux données…. <img data-src=" />



C’est d’ailleurs un des problèmes du cloud.

votre avatar







Nerthazrim a écrit :



La vraie question qu’il faudrait se poser, c’est de savoir si et comment ces informations sont utilisées (outre le scan pro-actif de liens) pour voir si la campagne contre Scroogled est justifiée ou bien ce sont juste de gros hypocrites.





Non. la vraie question serait de savoir qui, a part Microsoft, peut lire / écouter / voir les communications passées par Skype.

On se doute tous que Microsoft peut le faire, que la NSA aussi (patriot Act, toussa) mais qui d’autre ? Les autres agences de renseignement nationales ? Les mafias ? Les hackers ? Les entreprises qui font de l’espionnage industriel ? Autres ?


votre avatar







Exosta a écrit :



Alors si on veut un moyen de communication sûr et respectueux de la vie privée, que ce soit textuel, VoIP et visioconférence, on fait quoi ? Il n’y a que la solution d’un serveur maison XMPP ?





[Jean Louis Borloo]

On prend un p’tit apéro ! <img data-src=" />

[/Jean Louis Borloo]


votre avatar







leo21fr a écrit :



Si il y a des développeurs dans le coin, est-il possible de créer une extension (client API Skype) qui permettrait de chiffrer les informations entre deux correspondants ? Il faudrait que les 2 utilisateurs possèdent cette extension pour communiquer de manière chiffrée.





Oui. Rien de bien compliqué en plus à partir du moment où tu contrôles la saisie et l’affichage.


votre avatar







Oliewan a écrit :



Non. la vraie question serait de savoir qui, a part Microsoft, peut lire / écouter / voir les communications passées par Skype.

On se doute tous que Microsoft peut le faire, que la NSA aussi (patriot Act, toussa) mais qui d’autre ? Les autres agences de renseignement nationales ? Les mafias ? Les hackers ? Les entreprises qui font de l’espionnage industriel ? Autres ?





Puis surtout à qui MS est prêt à donner/vendre cette capacité.



Ils avaient quand même aidé des états à faire des MIM pour qu’ils puissent faire du phishing sur leur population.


votre avatar







sydbarrett55 a écrit :



Il existe un client open-source complètement chiffré en passant par le réseau Tor mais je ne me souviens plus comment il s’appelle ?



Quelqu’un a une idée ? ?







Torchat ?


votre avatar







Goldy a écrit :



Torchat ?





Merci et Oui, c’est bien ça. Le projet est sur GitHub maintenant.

github.com GitHub


votre avatar

alors ca ca m’etonne d’eux… ils sont tellement plus gentils et honnete question vie privee! Vous ne me croyez pas, et bien ils ont fait une video pour denoncer les mauvais agissements de google a ce niveau…http://korben.info/dont-get-scroogled.html

votre avatar

Alors si on veut un moyen de communication sûr et respectueux de la vie privée, que ce soit textuel, VoIP et visioconférence, on fait quoi ? Il n’y a que la solution d’un serveur maison XMPP ?

votre avatar



Cela étant, comme l’indiquent nos confrères, absence de chiffrement n’est pas nécessairement équivalent à absence de sécurité. Microsoft applique en effet au réseau Skype la même technique que pour Live Messenger : les messages sont analysés pour détecter divers éléments tels que les liens frauduleux. La surveillance des malwares est également importante.



suffit de voir la quantité d’infections propagées par feu WLM (à base de message du type “lol qu’est que ta photo fait là” avec un lien vers un exploit derrière)…





qui demandait justement la transparence des communications à Skype.



c’est transparent puisque Microsoft (et par extension, l’administration américaine sur simple demande) peut le voir <img data-src=" />

Ah c’est pas cette forme de transparence qu’ils entendaient ? <img data-src=" />

votre avatar

On el savais déjà, des gens avais démontré que les IP etait en clair quand on passaient des appels, et j’en passe ..



Je connais personnes en admin sys qui conseil Skype pour sa sécurité xD

votre avatar

Skype est parfaitement protégé. La preuve : on le sait depuis qu’on sait que la sécurité de Stark Industries s’en sert.













<img data-src=" />

votre avatar

Surprise, Skype c’est caca.

Surprise, Skype c’est toujours caca après avoir été racheté par µsoft.



Enfin bon. Ce genre de news aidera p-e certains à se poser des questions sur la confiance qu’ils accordent aux services qu’ils utilisent. Ou pas.

Skype : de l’absence de chiffrement à la surveillance proactive des liens

  • Des liens analysés par Microsoft 

Fermer