Nouvelle polémique autour du logiciel de vidéoconférence Skype. Des blogueurs allemands estiment que sous couvert de lutter contre les liens malicieux, Microsoft espionne les conversations.
Nouvelles attaques contre Skype, venues d’un blog spécialisé en sécurité informatique d’Allemagne. L’article semble démontrer que Microsoft lit les conversations sur Skype sous couvert de protection contre les malwares.
Le groupe de recherche, au sein de l’éditeur The H, accuse Microsoft d’espionner les utilisateurs de Skype :
Toute personne qui utilise Skype consent à ce que l’entreprise lise tout ce qu’elle écrit. Les collaborateurs de The H en Allemagne, chez Heise Security, ont découvert que la filiale de Microsoft met de fait ce privilège en application. Peu après avoir envoyé des URL HTTPS via le service de messagerie instantanée, ces URL ont reçu une visite inopinée en provenance du siège de Microsoft à Redmond.
Heise Security a mené cette expérience suite à une alerte lancée par un des lecteurs, qui a observé le même phénomène. Du “trafic inhabituel” suite à une session de conversation sur Skype.
Heise Security a donc reproduit le phénomène en envoyant deux URL de test, l’une contenant des informations de connexion et l’autre pointant vers un service privé de partage de fichier hébergé en ligne. Quelques heures après leurs messages sur Skype, ils ont observé ceci dans les logs du serveur :
65.52.100.214 — [30/Apr/2013:19:28:32 +0200]
“HEAD /…/login.html?user=tbtest&password=geheim HTTP/1.1”
L’adresse IP correspond bien au siège social de Microsoft à Redmond. Cela dit, affirme le blogueur de ZDNet.com Ed Bott, qui a conduit quelques recherches suite à l’article de Heise, “la raison de cette mystérieuse visite est presque certainement innocente”.
La preuve serait trop mince
Il estime ainsi que l’IP en question est presque à coup sûr interne à l’infrastructure SmartScreen de Microsoft, utilisée pour détecter les URL malicieuses, pouvant conduire au transfert de malwares, de sites de phishing ou de spam. Pour lui, les preuves sont en tous cas trop minces pour lancer une telle accusation.
Côté Heise cependant, on affirme que cette explication, donnée en parallèle par Microsoft, n’est pas satisfaisante. Le blog estime qu’il n’est pas habituel de trouver du spam ou du phishing sur des sites en HTTPS, et que Skype laisse souvent passer les pages HTTP, pourtant bien plus risquées en théorie.
En l’état, difficile d’en savoir plus. Mais rappelons tout de même que Microsoft est régulièrement pointé du doigt pour sa politique d’utilisation des données transmises et déclarées par les utilisateurs sur Skype. La version chinoise du logiciel par exemple, développée en partenariat avec TOM Online, serait, selon la publication récente d’un étudiant américain, un nid d’espions.
La situation de la Chine est cependant particulière, et rien ne prouve en l’état qu’il y ait intervention humaine ou même de machines pour “lire” l’intégralité des conversations Skype. Microsoft pourrait cependant résoudre une partie du problème en faisant preuve d’un peu plus de transparence, comme l’y exhortent des associations de défense des libertés civiles.
Source : ZDNet
Microsoft fait figure de leader dans la recherche et le développement informatique mais pour ce qui est de la sécurisation des données c’est autre chose et ce test le démontre bien. Peut-être que si tout le monde s’y essayait avec les mêmes résultats, Microsoft devra bien s’expliquer non?
Imaginez les vidéos conférence entre entreprises qui ce font par Skype et les appels ça fais peur tout ça ! vive la sécurité pour la le géant américain ! enfin bref pour revenir même si internet à apporter une grande évolution dans notre société la sécurité elle est de plus en plus mal menée !
Quand on voit la publicité “votre sécurité est votre propriété”, ou une phrase qui y ressemble, ca met mal pour Microsoft;
Les commentaires sont fermés.