Des chercheurs d'Inria ont découvert une faille majeure dans le système de sécurité du logiciel de téléphonie par Internet Skype. Celle-ci permet la consultation des fichiers téléchargés en Peer-to-Peer par les utilisateurs ainsi que leur géo localisation.

Inria, "Inventeurs du monde numérique", est le nouveau nom et la nouvelle identité de l'Inria, Institut National de Recherche et Informatique et Automatique. Trois de ses chercheurs, Steven Leblond, Arnaud Legout et Walib Dabbous, en partenariat avec une équipe du Polytechnique Institute of New York, ont découvert une faille dans le système de sécurité de Skype. 

En effet, un utilisateur malveillant et averti peut à tout moment localiser géographiquement les utilisateurs de Skype grâce à leurs adresses IP ainsi qu’accéder aux fichiers qu’ils auraient téléchargés via des logiciels d’échange Peer-to-Peer.

Dans la pratique, c’est par l’intermédiaire des appels Skype que les hackers peuvent parvenir à créer une passerelle avec les utilisateurs ciblés. Un appel passé, même refusé, permet d’accéder à l’adresse IP du client et à ses activités sur le réseau Internet. Les paramètres de sécurité de Skype ne sont pas capables de bloquer ces connexions dont les utilisateurs ne soupçonnent souvent pas l’existence.

Ainsi, les intrus ont accès, en scrutant le trafic, à la liste détaillée des téléchargements effectués par les clients d’échange Peer-to-Peer grâce aux adresses IP mises à nu par les communications Skype. Au-delà, les adresses IP permettent de faire le lien avec l’identité sociale de leurs utilisateurs et d’espionner les usages des internautes sur le web.

Cette faille de Skype est liée aux communications Peer-to-Peer ; en effet la nature même du service permet l’échange de données entre n’importe quels utilisateurs et le seul fait d’établir une connexion ente deux pairs est suffisant pour rendre visible l’adresse IP.

Cette défaillance peut faciliter l’atteinte à la vie privée, l’exploitation malveillante d’informations personnelles et peut ouvrir la porte à l’espionnage industriel pour les entreprises ne restreignant pas l’utilisation de Skype.

Aujourd’hui, il suffit pour se protéger de ne pas laisser ouverts les logiciels Skype et de type Peer-to-Peer, surtout s’ils ne sont pas utilisés.

Inria travaille aujourd’hui en collaboration avec Microsoft sur un correctif permettant de bloquer ces attaques tout en préservant le caractère libre et ouvert d’Internet.




Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

Droit d’accès et comptes à privilèges

Jacques Cheminat 0 143649
Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.
RSS
12



Événements SSI