Les backdoors dans Skype
Un récent article au titre racoleur prétend qu'il existe des backdoors dans Skype, permettant aux forces de police d'écouter les conversations.
Au delà du FUD, il me semble évident (compte-tenu des informations disponibles publiquement) qu'il est possible d'écouter une conversation Skype.
Parmi les arguments qui plaident en faveur de cette hypothèse:
- Le mécanisme d'authentification, basé sur une signature RSA, repose sur le jeu de clés Skype.
Bien entendu si Skype coopère en donnant accès à ses clés privées, c'est encore plus simple.
- Le système de plugins permettant d'étendre les fonctionnalités du logiciel n'est pas sûr.
Compte-tenu des conférences passées présentant les méthodes de travail de la police, la solution du piégeage semble être la plus couramment utilisée.
- Enfin, de nombreux pays imposent aux opérateurs télécom la mise en place d'un mécanisme de Lawful Interception. On ne voit pas pourquoi une société américaine aussi importante (Skype est une société du groupe eBay) pourrait décider de se soustraire à cette obligation.
La question qui reste en suspens est: y a-t-il une bonne vieille backdoor dans Skype, permettant de prendre le contrôle de n'importe quel client à distance ? Un simple netstat -an devrait permettre de répondre à cette question ;)
[*] La fonction de mise à jour automatique est une simple connexion HTTP. Par exemple chez moi:
GET /ui/0/3.6.0.216/fr/getnewestversion?ver=3.6.0.216&uhash=1b37a59b72b99a9ff8158cb6e084efb86 HTTP/1.1
User-Agent: Skype. 3.6
Host: ui.skype.com
Cache-Control: no-cache
HTTP/1.1 200 OK
Date: Sun, 27 Jul 2008 12:40:59 GMT
Server: Apache
Cache-control: no-cache, must revalidate
Pragma: no-cache
Expires: 0
Set-Cookie: SC=CC=:CCY=:LC=fr:TM=1217162459:TS=1217162459:TZ=:VER=0/3.6.0.216/0; expires=Mon, 27-Jul-09 12:40:59 GMT; path=/; domain=.skype.com;
Content-Length: 9
Connection: close
Content-Type: text/html; charset=utf-8
Content-Language: en
3.8.0.139
2 commentaires:
Ahah ... Il serait vraiment intéressant de savoir si Skype a réellement des backdoors, si tel est le cas, il ne reste plus qu'à se ranger du côté de SILC.
OMG , quoi une faille que alain n'as pas classifier :P
Enregistrer un commentaire