Une vulnérabilité vise le logiciel de téléphonie par Internet Skype. Un pirate peut espionner les utilisateurs.
Des chercheurs, dont Arnaud Legout et Walid Dabbous de l’INRIA, ont découvert une faille de sécurité majeure qui permet de relier un compte Skype à l’activité d’un utilisateur BitTorrent. L’exploit fonctionne à l’insu des victimes et permet de voir, entre autres, les habitudes des utilisateurs Skype. Pour le moment, Skype n’a montré aucun intérêt à l’annonce.
Les chercheur démontrent qu’il est possible de trouver quels sont les fichiers que les utilisateurs de Skype téléchargent via BitTorrent. Les hackers ont trouvé le moyen d’appeler les utilisateurs Skype sans que ces derniers ne puissent s’en rendre compte. L’appel permet d’obtenir l’adresse IP des cibles. Une adresse IP qui peut alors être liée à un emplacement géographique.
L’exploit fonctionne sur une échelle massive. Stevens Le Blond (Max Planck Institute), Chao Zhang ainsi que Keith Ross (NYU-Poly) ont réussi à programmer des appels toutes les heures pour des dizaines de milliers d’utilisateurs Skype. Les paramètres de confidentialité de Skype sont incapables de bloquer ces attaques. Un pirate peut contacter qui il veut, dans la condition ou les contacts sont citées dans la liste des premières cibles piratées.
La faille existe depuis au moins un an “Nous avons contacté Skype, voilà presque un an“, indiquent les chercheurs à TorrentFreak. En dehors de Skype certains des défauts découverts par les chercheurs ont également affecté, en temps réel, des systèmes de communication P2P comme Google Talk et MSN Messenger.
La vulnérabilité et ses corrections seront présentées en novembre. Le document, intitulé “Know Where You are and What You are Sharing” est lisible ICI.
Source : Zataz
Les commentaires sont fermés.