Il y a quelques mois, j’ai averti les lecteurs qu’une faiblesse flagrante en matière de confidentialité dans le service de téléphonie voix sur IP Skype permet à toute personne utilisant le réseau de connaître rapidement l’adresse Internet de tout autre utilisateur Skype. Une nouvelle version bêta du programme populaire de Microsoft semble avoir résolu cette fuite de confidentialité avec un paramètre qui limite cette capacité aux connexions de vos contacts Skype uniquement.
Une nouvelle fonctionnalité de confidentialité dans Skype Beta 6.5 pour Windows et Mac 6.4
Comme je l’ai écrit le 21 mars 2013, un certain nombre de services ont vu le jour pour aider les espions et les vauriens à exploiter cette vulnérabilité pour suivre et harceler les autres en ligne. Par exemple, une recherche en ligne pour « résolveur skype » renvoie des dizaines de résultats qui pointent vers des services (de fiabilité variable) qui permettent aux utilisateurs de rechercher l’adresse Internet de n’importe quel utilisateur Skype, simplement en fournissant le nom du compte Skype de la cible.
Les résolveurs peuvent rechercher l’adresse IP de n’importe quel utilisateur Skype, que cet utilisateur figure ou non dans votre liste de contacts ou même en ligne au moment de la recherche. De plus, les services de résolution sont souvent proposés en tandem avec des services « booter » ou « stresser », essentiellement des sites qui lanceront des attaques par déni de service contre une cible de votre choix.
Apparemment en réponse à ce problème, Microsoft a ajouté une nouvelle option à son Skype 6.5 Bêta, publié le 30 avril, qui permet aux utilisateurs d’autoriser les connexions directes à vos contacts uniquement. L’onglet d’information sur cette option, trouvé sous Skype->Options->Connexion, dit « Lorsque vous appelez quelqu’un qui n’est pas un contact, nous garderons votre adresse IP cachée. »
J’ai envoyé un ping à Microsoft pour savoir si cette fonctionnalité était conçue pour colmater la fuite de confidentialité exposée par les services de résolution. La société a refusé de dire précisément ce qu’elle aurait pu changer au sujet du réseau Skype et/ou de son logiciel pour résoudre ce problème, mais elle a attribué la déclaration suivante envoyée par e-mail à un « porte-parole de Skype » ;
« Skype pour Windows Beta 6.5 et Mac 6.4 offrent désormais la possibilité d’empêcher les personnes ne figurant pas sur votre liste de contacts de voir votre adresse IP. Avec ce programme bêta, seuls vos contacts pourront accéder à ces informations. Nous permettons aux utilisateurs de tester cette nouvelle fonction de sécurité et accueillons tous les commentaires alors que nous continuons à améliorer les expériences de communication sur Skype.
J’ai testé cette version bêta de Skype contre un service gratuit de résolution de Skype qui a été fiable dans le passé pour rechercher des adresses IP liées à des comptes Skype spécifiques. Lorsque je l’ai exécuté sur mon compte de tous les jours à l’aide d’une ancienne version de Skype, il a réussi à trouver mon adresse IP personnelle. Lorsque j’ai créé un nouveau compte Skype avec la version bêta de Skype 6.5 sur une machine distincte, activé la fonction de confidentialité, puis réessayé la recherche, mon adresse IP n’a pas été localisée.
Je dois noter que certains résolveurs Skype mettront en cache les recherches précédentes. Cela signifie que si votre nom d’utilisateur Skype a déjà été recherché dans un service de résolution Skype, ce service peut afficher l’adresse IP correcte pour votre nom d’utilisateur Skype si votre adresse IP n’a pas changé depuis la dernière recherche.