Les événements de la semaine dernière m’ont rappelé un sujet de confidentialité que j’avais l’intention de revoir : ce service de téléphonie voix sur IP Skype expose constamment votre adresse Internet au monde entier et qu’il existe maintenant de nombreux outils gratuits et commerciaux qui peuvent être utilisés pour lier les noms de compte utilisateur Skype à des adresses Internet numériques.
Un service de résolution Skype en action.
Le fait que Skype trahisse les informations de localisation en ligne de ses utilisateurs n’est pas une nouvelle. Par example, Le journal de Wall Street et autres médias prévenu l’année dernière sur des recherches montrant qu’il était possible d’amener Skype à révéler les adresses IP des utilisateurs individuels de Skype. Mais je pense que la plupart des utilisateurs de Skype n’ont toujours aucune idée de cette faiblesse de base en matière de confidentialité.
Ce qui a changé, c’est qu’au cours de l’année écoulée, un certain nombre de services ont vu le jour pour aider les espions et les vauriens à exploiter cette vulnérabilité pour suivre et harceler les autres en ligne. Par exemple, une recherche en ligne pour « résolveur skype » renvoie des dizaines de résultats qui pointent vers des services (de fiabilité variable) qui permettent aux utilisateurs de rechercher l’adresse Internet de n’importe quel utilisateur Skype, simplement en fournissant le nom du compte Skype de la cible.
Dans la capture d’écran ci-dessus, nous pouvons voir l’un de ces services utilisé pour afficher l’adresse IP la plus récemment utilisée par le compte Skype « mailen_support » (ce compte particulier appartient au contact du support technique pour Mailien, un programme d’affiliation de spam pharmaceutique russe par le même nom).
Un service de résolution IP Skype en action.
En règle générale, ces résolveurs Skype sont proposés en tandem avec des services « booter » ou « stresser », des outils d’attaque en ligne à louer qui peuvent être loués pour lancer des attaques par déni de service (l’un de ces services a été utilisé lors d’une attaque contre ce site Web, et sur celui de Ars Technica la semaine dernière). L’idée étant que si vous voulez mettre quelqu’un hors ligne mais que vous ne connaissez pas son adresse Internet, vous pouvez simplement rechercher sur Skype pour voir s’il a un compte, puis utiliser les résolveurs pour localiser son adresse IP. Les résolveurs fonctionnent quels que soient les paramètres de confidentialité que l’utilisateur cible peut avoir sélectionnés dans le panneau de configuration du programme Skype.
Beaucoup de ces services de résolution proposent une « liste noire », qui, moyennant des frais, permettra aux utilisateurs d’empêcher d’autres utilisateurs de rechercher l’adresse IP associée à un compte Skype spécifique, a déclaré Brandon Levenechercheur indépendant en sécurité.
« Il s’agit essentiellement d’un système de protection », a déclaré Levene.
Levene a déclaré que les résolveurs Skype fonctionnent en utilisant un client Skype modifié (5.5 ou 5.9) pour créer un journal de débogage. Ce client est hébergé sur un serveur web.
« Un script simple est utilisé pour construire un lien contenant un nom d’utilisateur Skype, qui est transmis au client modifié », a déclaré Levene. « Ce client tente simplement d’ajouter le nom d’utilisateur demandé à une liste de contacts et analyse la » carte d’informations « du compte cible (si disponible). Ce processus écrit l’adresse IP du nom d’utilisateur demandé dans le journal de débogage, à la vue de tous.
En plus d’exposer sa connexion Internet à des attaques gênantes et perturbatrices, cette vulnérabilité pourrait permettre aux harceleurs ou aux entreprises rivales de suivre les déplacements des individus et des cadres lorsqu’ils se déplacent entre les villes et les États.
Skype a été acheté par Microsoft en 2011, mais Microsoft semble avoir peu fait pour remédier à cette faille de confidentialité, malgré l’attention portée à celle-ci et la prolifération de sites proposant des outils pour l’exploiter. « Nous enquêtons sur des rapports d’outils qui capturent la dernière adresse IP connue d’un utilisateur Skype », a déclaré un porte-parole de Skype dans un communiqué envoyé par courrier électronique. « Il s’agit d’un problème permanent à l’échelle de l’industrie auquel sont confrontés tous les éditeurs de logiciels peer-to-peer. »
Le moyen le plus simple de résoudre ces problèmes de confidentialité serait de relayer tout le trafic de signalisation Skype (par exemple, les poignées de main) via des proxys, a déclaré Stevens Le Blondchercheur au Institut Max Planck pour les systèmes logiciels en Allemagne.
« Cela empêcherait les tiers à faibles ressources, tels que les résolveurs, de suivre les utilisateurs de Skype », a écrit Le Blond dans un e-mail à BreachTrace. « Cependant, malgré une mise à niveau majeure de l’infrastructure l’année dernière, Skype est toujours vulnérable au suivi de localisation. On ne peut qu’émettre des hypothèses sur la raison pour laquelle c’est le cas. Une possibilité est que le relais de tout le trafic de signalisation romprait l’interopérabilité avec les versions antérieures de Skype.
Se défendre contre des attaquants plus puissants capables de écoute des liens Internet est beaucoup plus difficile car il nécessite de relayer à la fois le trafic de signalisation et de charge utile crypté, a déclaré Le Blond.
« L’un des défis est que le temps d’aller-retour (RTT) maximum que les utilisateurs VoIP peuvent tolérer est d’environ 300 millisecondes (ms) alors que le délai de propagation dans un câble à fibre optique couvrant la circonférence de la planète est d’environ 200 ms. Cela signifie que lorsqu’un utilisateur en Allemagne appelle un autre en Australie, le service proxy doit subir moins de 100 ms de RTT supplémentaire. Mon équipe et moi travaillons actuellement sur ce problème.
Mise à jour, 22 mars, 9 h 45 HE : Ajout de citations de Microsoft, Levene et Le Blond.