Nos confrères d’Ars Technica se sont penchés sur la question de la sécurité dans les échanges sur Skype. Le réseau est souvent considéré comme étant capable de chiffrer les communications de bout en bout, faisant du client VoIP un moyen efficace pour discuter en dépit des surveillances en vigueur sur les réseaux. Selon les tests du site, ce chiffrement n’existe tout simplement pas.
Des liens analysés par Microsoft
Skype est connu pour permettre des communications simples, soit sous forme vocale, soit sous forme textuelle. Cette facilité tient principalement au fait que le client est disponible pour bon nombre de plateformes : Windows, OS X, Linux, iOS, Android, Windows Phone, BlackBerry, etc. Ces clients sont également connus pour se connecter facilement en passant à travers la plupart des protections. Ses communications sont souvent considérées comme chiffrées, mais qu’en est-il vraiment ?
Ars Technica s’est penché sur la question et a mené plusieurs expériences en collaboration avec Ashkan Soltani, un chercheur indépendant en sécurité. Le principe était simple : préparer quatre liens spécifiquement conçus et les envoyer à travers des messages. Deux liens étaient de type de HTTP, tandis que les deux autres pointaient vers des adresses HTTPS. Surprise : un lien HTTP et un autre HTTPS ont été ouverts par une adresse IP (66.52.100.214) appartenant à Microsoft. Des résultats qui confirment ceux obtenus par Heise Security la semaine dernière sur le même sujet.
Recherche proactive de liens malveillants
Le fait que les liens aient été ouverts prouve que les communications ne sont pas chiffrées puisque l’action est intervenue à la volée. Cela étant, comme l’indiquent nos confrères, absence de chiffrement n’est pas nécessairement équivalent à absence de sécurité. Microsoft applique en effet au réseau Skype la même technique que pour Live Messenger : les messages sont analysés pour détecter divers éléments tels que les liens frauduleux. La surveillance des malwares est également importante.
En outre, la politique de confidentialité de Skype mentionne clairement les actions qui peuvent être menées. L’éditeur parle des « mesures organisationnelles et techniques qui s'imposent pour protéger les données personnelles », en conformité avec les « lois en vigueur ». Skype peut également « avoir recours à une analyse automatique des messages instantanés et des SMS pour (a) identifier le courrier suspecté indésirable et/ou (b) identifier les URL précédemment signalées comme étant à l'origine de courriers indésirables, de tentatives de fraude ou de liens de hameçonnage ». Dans tous les cas, les services agréés, tant internes que tiers, peuvent accéder aux données, des opérations manuelles peuvent intervenir, et Skype peut procéder à des suppressions de contenus s’ils sont jugés inappropriés et/ou indésirables.
Le problème n’est pas tant un fait qui n’est finalement pas une nouveauté que l’opposition entre ce qui est généralement « pensé » et la réalité. Matt Green, professeur spécialisé dans le chiffrement à l’université Johns Hopkins, résume la situation : « Le problème aujourd’hui est qu’il existe un décalage entre le respect imaginé de la vie privée et ce que Microsoft propose réellement. Même si Microsoft analyse les liens pour de « bonnes » raisons, disons la détection des liens malveillants, ceci indique qu’ils peuvent intercepter certains de vos messages textuels. Ce qui signifie qu’ils peuvent potentiellement en intercepter beaucoup plus ».
Le flou sur les informations gardées
En fait, la seule vraie inconnue dans l’équation, sur un plan technique, est de savoir où se situe l’interception. Pour le reste, les opérations menées ressemblent fortement à ce que l’on trouve sur d’autres réseaux ou produits. Difficile de ne pas penser à Facebook ou encore Apple, dont les filtres parfois un peu trop zélés empêchent de laisser passer certains emails.
Sur le plan pratique cependant, la situation est beaucoup plus floue. On ne sait pas en effet ce qui se passe une fois que Microsoft a extrait le contenu des messages, combien de temps ces informations sont gardées et ainsi de suite. Le contexte légal est évidemment important, surtout au regard de lois telles que le Patriot Act, mais la firme ne fait rien pour l’instant pour répondre clairement aux questions posées, et donc pour apaiser les craintes.
Finalement, le sujet de la surveillance des communications est toujours une problématique de « curseur » oscillant entre la liberté, au risque de plus de complexité, et la protection, même quand elle induit la surveillance. L’utilisateur peut ainsi accepter les conditions d’utilisation, hausser les épaules et convenir que les conversations sont surveillées pour son « bien ». Ou il peut refuser en bloc une telle ingérence dans sa vie privée et se passer de Skype.
On notera toutefois que ces constats ont été opérés quelques mois après la publication d'une lettre ouverte par un collectif réunissant notamment des journalistes et des associations telles que l'EFF (Electronic Frontier Foundation) et qui demandait justement la transparence des communications à Skype.
Commentaires (40)
alors ca ca m’etonne d’eux… ils sont tellement plus gentils et honnete question vie privee! Vous ne me croyez pas, et bien ils ont fait une video pour denoncer les mauvais agissements de google a ce niveau…http://korben.info/dont-get-scroogled.html
Alors si on veut un moyen de communication sûr et respectueux de la vie privée, que ce soit textuel, VoIP et visioconférence, on fait quoi ? Il n’y a que la solution d’un serveur maison XMPP ?
Cela étant, comme l’indiquent nos confrères, absence de chiffrement n’est pas nécessairement équivalent à absence de sécurité. Microsoft applique en effet au réseau Skype la même technique que pour Live Messenger : les messages sont analysés pour détecter divers éléments tels que les liens frauduleux. La surveillance des malwares est également importante.
suffit de voir la quantité d’infections propagées par feu WLM (à base de message du type “lol qu’est que ta photo fait là” avec un lien vers un exploit derrière)…
qui demandait justement la transparence des communications à Skype.
c’est transparent puisque Microsoft (et par extension, l’administration américaine sur simple demande) peut le voir
Ah c’est pas cette forme de transparence qu’ils entendaient ?
On el savais déjà, des gens avais démontré que les IP etait en clair quand on passaient des appels, et j’en passe ..
Je connais personnes en admin sys qui conseil Skype pour sa sécurité xD
Skype est parfaitement protégé. La preuve : on le sait depuis qu’on sait que la sécurité de Stark Industries s’en sert.
" />
Surprise, Skype c’est caca.
Surprise, Skype c’est toujours caca après avoir été racheté par µsoft.
Enfin bon. Ce genre de news aidera p-e certains à se poser des questions sur la confiance qu’ils accordent aux services qu’ils utilisent. Ou pas.
Attention… Sauf erreur de ma part ils ne parlent pas d’absence de chiffrement, seulement d’absence de chiffrement de bout en bout, ce qui n’est pas la même chose !
Comme sous msn, rien de nouveau sous le soleil. :(
Ce qui me choque c’est comment le lien “ouverture et lecture des messages” et “absence de chiffrement” est fait.
Parce que là on parle bien de _chiffrement_, donc un procédé réversible. Si Microsoft chiffre les messages avec un algo symétrique (ou même un algo asymétrique en se gardant une backdoor), les messages peuvent être chiffrés ET lisibles par Microsoft …
J’ai l’impression que c’est un peu flou tout ça. Enfin dans tous les cas, je pense que le but final est de montrer que Microsoft est capable de lire ce qui passe sur son service … OUAH, quelle surprise !
La vraie question qu’il faudrait se poser, c’est de savoir si et comment ces informations sont utilisées (outre le scan pro-actif de liens) pour voir si la campagne contre Scroogled est justifiée ou bien ce sont juste de gros hypocrites.
Si il y a des développeurs dans le coin, est-il possible de créer une extension (client API Skype) qui permettrait de chiffrer les informations entre deux correspondants ? Il faudrait que les 2 utilisateurs possèdent cette extension pour communiquer de manière chiffrée.
Surprise : un lien HTTP et un autre HTTPS ont été ouverts par une adresse IP (66.52.100.214) appartenant à Microsoft. Des résultats qui confirment ceux obtenus par Heise Security la semaine dernière sur le même sujet.
Où est la surprise, vu que ça avait déjà été observé ?
Il me semblait que du fait du patriot act toutes les entreprises américaines ou sur le sol américain étaient obligé de pouvoir déchiffrer le contenu de ce qui transitait par leurs serveurs afin de pouvoir transmettre à la police en cas de réquisition, partant de là ce n’est pas étonnant que microsoft ait accès aux données….
" />
C’est d’ailleurs un des problèmes du cloud.
Je vous annonce que comme alternative il y aura bientôt Cryptocat qui va se servir de la nouvelle techno WebRTC pour amener la vidéo/audio en plus du chat et le tout de manière totalement chiffrée et respectueuse de nos données !
https://twitter.com/cryptocatapp/status/336651848742227968
Wait and see !
Tiens en parlant de sécurité et de Skype, c’est quand au juste qu’ils vont faire quelque chose avec les demande d’ajout ?
" />
J’ai 3⁄4 demandes d’ajout de contacts (arnaques) par semaine et la moindre des choses serait de mettre un captcha a celui qui demande au bout d’un moment …
Ca parais le minimum quand même.
Rien qu’avec Patriot Act, ça suffit pour qu’ils gardent tout et branchent des outils de surveillance. Partant de là, on en tire les conséquences que l’on veut.
Si on cherche une solution tout en un et de la simplicité d’utilisation : Skype. Il faut juste s’asseoir sur certains principe.
Il faut mettre dans le même panier les éventuelles alternatives hébergées sur le sol américain.
Sinon il y a Jabber, c’est excellent, standard, librement utilisable, non-centralisé et avec pleins de clients au choix.
Par exemple coté desktop il y a Jitsi qui est excellent.
Je me posais une question l’autre jour, si je veux une alternative à Skype, je prend quoi?
Il existe un client open-source complètement chiffré en passant par le réseau Tor mais je ne me souviens plus comment il s’appelle ?
Quelqu’un a une idée ? ?