Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Skype sur la sellette : "empêcher l'accès au code source n'empêche pas les failles de sécurité"

Skype sur la sellette : "empêcher l'accès au code source n'empêche pas les failles de sécurité"
2009-08-312013-02-11sécurité du poste de travailfr
Skype, l'outil de messagerie instantanée et téléphonie créé par les auteurs de Kazaa, outil de peer to peer connu, fait à nouveau parler de lui. Cet outil dont le code source n'est pas autorisé d'accès au public (y compris dans les locaux de ses concepteurs même sous de fortes contraintes)...
Publié le 31 Août 2009 par Blogger Anonymous dans sécurité du poste de travail

 

Skype, l'outil de messagerie instantanée et téléphonie créé par les auteurs de Kazaa, outil de peer to peer connu, fait à nouveau parler de lui.

Cet outil dont le code source n'est pas autorisé d'accès au public (y compris dans les locaux de ses concepteurs même sous de fortes contraintes), a toujours reçu un accueil mitigé des experts Sécurité car ses auteurs avait mis en place un malware dans leur outil Kazaa.

Apparemment, empécher l'accés au code source n'empèche pas de découvrir des faiblesses importantes utilisables contre Skype.
 
Ainsi récemment, Ruben Unteregger, qui se dit travaillant pour une entreprise Suisse spécialisée dans la création de spyware à usage gouvernemental, a mis à disposition le code source d'un logiciel qui permettrait de récupérer une copie des conversations téléphoniques effectuées avec Skype sous forme de fichiers MP3, par injection directe dans le processus skype en cours d'exécution.
 
Le principe est simple. Le programme met en place des "hooks" directement sur les API utilisées par Skype, permettant ainsi de recupérer les flux audio PCM entrants/sortants. Cette technique, qui s'applique entre le processus et les périphériques d'entrées/sorties audio, permet donc de s'affranchir de toutes les contraintes de chiffrement.  Le principe n'est pas nouveau est probablement applicable à moult applications, incluant les IPphones, mais cela démontre à nouveau le grand principe de la chaine de sécurité. Si un maillon est faible, toute la chaine le sera.
Le principe du "crochet" (hook) vise à dévier un flux de sortie d'un programme vers un autre, lequel peut alors traiter l'information et la renvoyer vers un autre programme ou une autre entrée de périphérique. Cette technique est largement utilisée par les logiciels de contrôle parental, vidéo, audio. Des outils tel ffdshow démontrent simplement qu'entre la DLL utilisée pour lire le DVD et l'écran ou la sortie son, il est possible de placer des filtres qui traiteront le son et l'image. C'est la même logique appliquée ici, le pipe sans limite de possibilités...

Quoi qu'il en soit, par cette technique, peu importe le chiffrement utilisé par Skype puisque le flux est volé en version non chiffrée. Il est maintenant trivial pour un pirate d'utiliser ce code source associé à un logiciel qui enverrait ses copies de conversations téléphoniques vers un serveur particulier, lequel pourra alors les traiter pour extraire la substantifique moelle...

Plus que jamais, nous devons donc rester très vigilant quant à la sécurité des applications utilisées pour les conversations téléphoniques "over IP" (VoIP/ToIP) car, après tout, un tel code source pourrait aussi fonctionner sur tout autre logiciel sous Windows...

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage