Les backdoors dans Skype

Un récent article au titre racoleur prétend qu'il existe des backdoors dans Skype, permettant aux forces de police d'écouter les conversations.

Au delà du FUD, il me semble évident (compte-tenu des informations disponibles publiquement) qu'il est possible d'écouter une conversation Skype.

Parmi les arguments qui plaident en faveur de cette hypothèse:

• La présence de failles exploitables à distance dans le logiciel. Dont la nôtre :)

Ceci dit, même si les polices française et allemande (entre autres) ont des velléités de "piratage légal", un ex-français travaillant dans la sécurité informatique offensive pourrait confirmer que les "services" sont encore loin du "remote 0day dans Skype" ...

• Le mécanisme d'authentification, basé sur une signature RSA, repose sur le jeu de clés Skype.

Il a déjà été démontré (cf. slides 101+) que le remplacement de ces clés dans un client Skype "malveillant" (par exemple, via la fonction de mise à jour automatique[*]) permettait de faire tourner un réseau totalement indépendant du réseau "officiel". Le point de connexion entre le réseau "officiel" et le réseau "parallèle" simule un client Skype et peut avoir accès à toutes les communications en clair (attaque en homme du milieu).

Bien entendu si Skype coopère en donnant accès à ses clés privées, c'est encore plus simple.

• Le système de plugins permettant d'étendre les fonctionnalités du logiciel n'est pas sûr.

En effet, lors de l'ajout d'un nouveau plugin, une confirmation utilisateur est demandée. Mais cette confirmation ne fait qu'ajouter une entrée dans la liste des plugins, authentifiée par un "code de validation". Ce code n'est en aucun cas une signature, et n'importe qui connaissant l'algorithme peut le recalculer. Un malware pourrait donc installer silencieusement un plugin Skype.

Compte-tenu des conférences passées présentant les méthodes de travail de la police, la solution du piégeage semble être la plus couramment utilisée.

• Enfin, de nombreux pays imposent aux opérateurs télécom la mise en place d'un mécanisme de Lawful Interception. On ne voit pas pourquoi une société américaine aussi importante (Skype est une société du groupe eBay) pourrait décider de se soustraire à cette obligation.
  

Maintenant chacun fait ce qu'il veut. Mais vous ne pourrez pas dire que vous ne saviez pas.

La question qui reste en suspens est: y a-t-il une bonne vieille backdoor dans Skype, permettant de prendre le contrôle de n'importe quel client à distance ? Un simple netstat -an devrait permettre de répondre à cette question ;)


[*] La fonction de mise à jour automatique est une simple connexion HTTP. Par exemple chez moi:

GET /ui/0/3.6.0.216/fr/getnewestversion?ver=3.6.0.216&uhash=1b37a59b72b99a9ff8158cb6e084efb86 HTTP/1.1
User-Agent: Skype. 3.6
Host: ui.skype.com
Cache-Control: no-cache

HTTP/1.1 200 OK
Date: Sun, 27 Jul 2008 12:40:59 GMT
Server: Apache
Cache-control: no-cache, must revalidate
Pragma: no-cache
Expires: 0
Set-Cookie: SC=CC=:CCY=:LC=fr:TM=1217162459:TS=1217162459:TZ=:VER=0/3.6.0.216/0; expires=Mon, 27-Jul-09 12:40:59 GMT; path=/; domain=.skype.com;
Content-Length: 9
Connection: close
Content-Type: text/html; charset=utf-8
Content-Language: en

3.8.0.139