Sur les ordinateurs, Skype stocke en clair les données personnelles

Sur les ordinateurs, Skype stocke en clair les données personnelles

Le chiffrement des échanges n'est pas suffisant

Avatar de l'auteur
Vincent Hermann

Publié dans

Logiciel

30/04/2014 7 minutes
67

Sur les ordinateurs, Skype stocke en clair les données personnelles

Skype ne stocke pas ses données sous une forme chiffrée sur les ordinateurs où il est installé. Selon plusieurs développeurs qui se sont penchés sur cette pratique, il s’agit d’une porte ouverte aux pirates en cas d’accès à la machine.

skype

 

Skype est un logiciel populaire et son utilisation intensive par Microsoft renforce sa présence dans l’écosystème de la firme, au point qu’il est maintenant intégré à Windows depuis la mouture 8.1 du système. Ce client de communication, connu surtout comme solution VoIP, est utilisé par des centaines de millions de personnes, ce qui génère une quantité phénoménale de données personnelles. Or, ces dernières ne sont pas stockées de manière sécurisée sur les ordinateurs.

Skype crée automatiquement une base de données sur la machine 

Cristian Dinu et Dragos Gaftoneanu, deux développeurs roumains faisant partie de la communauté Hackyard Security Group, ont fait part de leurs travaux au site The Hacker News. Ils y montrent comment Skype enregistre de très nombreuses informations relatives aux échanges entre un utilisateur et ses contacts. Skype manipule en effet une grande quantité de données et de paramètres tels que les comptes desdites contacts, l’horodatage des messages et des appels, la position géographique quand elle est indiquée, et ainsi de suite.

 

Dragos Gaftoneanu, au cours d’une conversation avec Cristian Dinu, remarque ainsi que Skype crée un fichier intitulé « main.db » dans son répertoire personnel sous Linux. Ce fonctionnement est d’ailleurs identique sur l’ensemble des systèmes supportés. Sous Windows par exemple, vous trouverez ce fichier dans le dossier utilisateur en cours, puis AppData, Roaming, Skype. Il suffira alors d’entrer dans le répertoire portant le nom du compte qui sert habituellement à se connecter. Sous OS X, il faudra se rendre dans Bibliothèque, puis dans Application Support, Skype et enfin dans le dossier portant le nom de l’utilisateur.

skype base de données main.db skype base de données main.db

L'emplacement du fichier main.db sous Windows et sous OS X

Toutes les données sont présentes 

Utilisant un utilitaire (SQLite), il entre dans le fichier qui révèle alors plusieurs tables contenant des informations affichées en clair, dont :

  • La table « Account » contient toutes les données élémentaires des comptes telles que le nom d’utilisateur, le nom complet, la date d’anniversaire, le pays, la ville, les adresses email, le numéro de téléphone portable et ainsi de suite
  • La table « CallMembers » contient les informations des contacts qui ont été appelés, avec les horodatages
  • La table « Contacts » contient évidemment la liste de tous les contacts liés au compte actif, ainsi que des données personnelles telles que la date d’anniversaire, le pays, la ville, le numéro de téléphone et ainsi de suite
  • La table « Messages » est la plus riche en données puisqu’elle contient toutes les conversations texte échangées entre l’utilisateur et ses contacts. Les messages envoyés par SMS via la fonction du même nom sont également présents.

Ces informations sont disponibles en clair, ce qui signifie que le fichier n’est pas chiffré. Certains argueront que ces données seraient dans tous les cas disponibles si une personne pouvait accéder physiquement à la machine et que Skype était ouvert ou configuré pour s’ouvrir automatiquement sur un compte par défaut (ce qui est très souvent le cas). Ce qui est tout à fait vrai, à ceci près que le stockage en clair pose d’autres problèmes.

Un fichier créé pour chaque personne s'étant connectée sur une machine 

Le plus important est que les informations contenues n’ont justement pas besoin d’un mot de passe pour être lues. La simple récupération du fichier « main.db » suffit donc à accéder à une importante quantité de données personnelles. En clair, cela signifie qu’un accès distant pourrait suffire, ce qui peut être le cas en cas d’exploitation d’une ou plusieurs failles de sécurité. Couplée à la fin du support de Windows XP, la perspective est dangereuse.

 

Nous ajouterons un point que Cristian Dinu et Dragos Gaftoneanu n’abordent pas. Qu’il s’agisse de la version Windows, OS X ou Linux, Skype crée dans tous les cas un dossier par compte utilisateur qui s’est connecté au moins une fois sur la machine. Nous avons pu vérifier sur l’une de nos machines que ces autres dossiers contenaient eux aussi un « main.db ». Depuis un seul ordinateur, plusieurs bases de données non chiffrées sont ainsi accessibles.

Vérifier simplement chez soi 

Il est en fait très simple de refaire le test chez soi. Avec un utilitaire simple à utiliser tel que SQLite Browser, il suffit simplement d’aller récupérer le fichier et de l’ouvrir. Dans le premier onglet, la base de données révèle sa structure et notamment les fameuses tables que nous avons abordées plus haut. Dans le deuxième onglet cependant, on peut littéralement naviguer dans les données.

 

 

Comme le montre la capture de droite, il suffit de choisir l’une des tables dans le menu déroulant. Dans notre cas, la liste complète des contacts était accessible. Il suffit de basculer sur la table Conversations pour comprendre le vrai danger représenté par ce fichier : tous les échanges sont présents depuis la création du compte. Le problème est d’autant plus accentué que Skype ne permet pas de supprimer l’historique d’une conversation, alors qu’il s’agit pourtant d’une fonctionnalité de base dans de nombreuses solutions de communication.

Il est aisé de piéger une personne 

Sans même parler d’exploitation de failles, il suffirait en fait en pratique d’accéder à la machine d’une personne dont on souhaite espionner les conversations. À l’aide d’une clé USB, on copie rapidement le fichier et on peut même créer un script pour que l’opération soit encore plus simple. Il suffit alors de rentrer chez soi et de décortiquer les données ainsi obtenues. Évidemment, grâce à une exploitation distante et automatisée, des pirates pourraient récupérer assez facilement de nombreuses données personnelles qui pourront, à leur tour, servir dans d’autres campagnes, notamment de phishing. Par ailleurs, il est possible de piéger une personne en l'invitant simplement à se connecter avec son compte sur une machine qui ne lui appartient pas. Contrairement aux navigateurs, il n'existe pas ici de sessions privées ne laissant aucune trace.

 

Quelle serait alors la solution ? Elle est simple : chiffrer la base de données. En fait, toute application ayant besoin de stocker des données personnelles pour des besoins ultérieurs devrait systématiquement chiffrer ces informations. Skype utilise bien un chiffrement pour les échanges eux-mêmes, mais ce n’est pas suffisant. À une époque où la sécurité informatique devient un enjeu capital, ce type de bonne pratique doit être généralisé, en particulier quand il s’agit d’un produit très grand public.

 

Nous avons évidemment contacté Microsoft pour demander une réaction sur ce sujet et nous attendons actuellement une réponse.

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Skype crée automatiquement une base de données sur la machine 

Toutes les données sont présentes 

Un fichier créé pour chaque personne s'étant connectée sur une machine 

Vérifier simplement chez soi 

Il est aisé de piéger une personne 

Fermer

Commentaires (67)


jb18v
Le 30/04/2014 à 14h 33

Ah c’est ballot ce genre de pratiques <img data-src=" />


-SQP-
Le 30/04/2014 à 14h 42



Quelle serait alors la solution ? Elle est simple :



ne pas utiliser skype.





il est maintenant intégré à Windows depuis la mouture 8.1 du système



j’imagine que c’est aussi pénible à supprimer que IE à l’époque?


tAran
Le 30/04/2014 à 14h 42

Je vais aller purger les bibiche, loulou, poupounette du fichier <img data-src=" />















(ah mais en fait, j’ai ni skype, ni copine, so don’t panic <img data-src=" />)


Chloroplaste
Le 30/04/2014 à 14h 43

Merci pour cette information.

Cela concerne donc le client lourd installé sur le poste mais qu’en est-il lors de l’utilisation de Skype “light” via l’interface Outlook.com ?


raphke
Le 30/04/2014 à 14h 44

ça n’existe pas une … je ne sais pas sous windows … chiffrement d’une partition /home ? Si oui, bin zou non ?


-SQP-
Le 30/04/2014 à 14h 47







raphke a écrit :



ça n’existe pas une … je ne sais pas sous windows … chiffrement d’une partition /home ? Si oui, bin zou non ?







ca ne protège en rien de la récupération de données pendant que ta partition est activée, une fois que tu es loggué (contre les scripts ou applis pourries, ou failles exploitées). Ca protège juste l’accès aux données quand tu n’es pas la.



eliumnick
Le 30/04/2014 à 14h 47

et si on supprime le fichier main.db ? je suppose qu’il est recréé, mais il contient quoi comme info ?


Vincent_H Abonné
Le 30/04/2014 à 14h 52







-SQP- a écrit :



ne pas utiliser skype.





j’imagine que c’est aussi pénible à supprimer que IE à l’époque?





Pas du tout, c’est une application Modern UI, donc ça se désinstalle sans aucun problème. C’est le cas sur mon PC par exemple.





Chloroplaste a écrit :



Merci pour cette information.

Cela concerne donc le client lourd installé sur le poste mais qu’en est-il lors de l’utilisation de Skype “light” via l’interface Outlook.com ?





C’est en ligne, du coup le fonctionnement est différent.



Vincent_H Abonné
Le 30/04/2014 à 14h 53







eliumnick a écrit :



et si on supprime le fichier main.db ? je suppose qu’il est recréé, mais il contient quoi comme info ?







Il est recréé et les informations y sont remises à nouveau. Comme quand tu installes Skype sur une nouvelle machine.



@eliumnick

Il suffit de l’ouvrir avec notepad.


Inny Abonné
Le 30/04/2014 à 14h 59

C’est typique de cette appli pour qui la sécurité est bien la dernière des préoccupations.


Vanilys
Le 30/04/2014 à 15h 02







-SQP- a écrit :



ne pas utiliser skype.





Que Skype chiffre les données.





j’imagine que c’est aussi pénible à supprimer que IE à l’époque?



Non.



ionutioio Abonné
Le 30/04/2014 à 15h 03







raphke a écrit :



ça n’existe pas une … je ne sais pas sous windows … chiffrement d’une partition /home ? Si oui, bin zou non ?







Le problème change pas, le chiffrement du dd est juste utile quand on te pique ton pc portable, on pourra pas lire dedans. mais une fois la session ouverte, bah ça protège pas.



Jarodd Abonné
Le 30/04/2014 à 15h 05

Ce que je retiens surtout, c’est que c’est bientôt l’anniversaire de Pierre-Alain ! <img data-src=" />


Vanilys
Le 30/04/2014 à 15h 07







Jarodd a écrit :



Ce que je retiens surtout, c’est que c’est bientôt l’anniversaire de Pierre-Alain ! <img data-src=" />





C’est ce que j’allais dire :

On a maintenant l’anniversaire de certains membres du staff XD



Optrolight Abonné
Le 30/04/2014 à 15h 08

Rhoo sur la capture on connais les dates anniversaires !!! <img data-src=" />


-SQP-
Le 30/04/2014 à 15h 15







Vanilys a écrit :



Que Skype chiffre les données.





Visiblement, ils ont des problèmes FONDAMENTAUX avec la sécurité des données de leurs utilisateurs. Vu l’ampleur de ce problème, il faut bien se dire que ça ne pourra pas se régler instantanément et qu’il faut envisager au minimum un audit complet de toutes les méthodes pouvant poser problème (théorie et implémentation).



Tu peux attendre que MS se réveille et sorte une nouvelle version en te promettant qu’elle sera bien sécurisée, pour moi c’est juste une confirmation de plus que cette appli est à éviter absolument.



raphke
Le 30/04/2014 à 15h 19







ionutioio a écrit :



Le problème change pas, le chiffrement du dd est juste utile quand on te pique ton pc portable, on pourra pas lire dedans. mais une fois la session ouverte, bah ça protège pas.









Oui oki mais

Si ta session est ouverte c’est que tu es/devrais être devant ton écran non ?

Ou alors serait-ce comme beaucoup de mes petits collègues qui laissent leur écran windows ouverte quand ils quittent leur bureau ? Le minimum c’est d’au moins locker sa session non ?



raphke
Le 30/04/2014 à 15h 20







-SQP- a écrit :



ca ne protège en rien de la récupération de données pendant que ta partition est activée, une fois que tu es loggué (contre les scripts ou applis pourries, ou failles exploitées). Ca protège juste l’accès aux données quand tu n’es pas la.









Même chose, quand tu n’es pas là tu fais quoi avec ta session ?



Jed08
Le 30/04/2014 à 15h 22

Que Skype ne chiffre pas les données par défaut ça me choque pas trop.

Les données sont stockées sur le PC de l’utilisateur, pas dans le cloud. Si les utilisateurs sont assez nouilles pour pas faire attentions à ce qu’ils font avec leur poste c’est pas le problème de MS.



Par contre, qu’il n’y a pas de solutions qui permettent de mettre en place un chiffrement des données, c’est plus problématique.


feuille_de_lune
Le 30/04/2014 à 15h 30







Jed08 a écrit :



Que Skype ne chiffre pas les données par défaut ça me choque pas trop.

Les données sont stockées sur le PC de l’utilisateur, pas dans le cloud. Si les utilisateurs sont assez nouilles pour pas faire attentions à ce qu’ils font avec leur poste c’est pas le problème de MS.



Par contre, qu’il n’y a pas de solutions qui permettent de mettre en place un chiffrement des données, c’est plus problématique.





Surtout quand ils s’orientent vers des parts de marchés orientées professionnels. <img data-src=" />



Wawet76
Le 30/04/2014 à 15h 40





On peut reprocher la même chose à n’importe quel client lourd pour le mail.



L’argument “si quelqu’un a accès à la machine il peut récupérer les infos”, franchement… Si quelqu’un a accès à la machine, il peut installer un keylogger aussi !


Wawet76
Le 30/04/2014 à 15h 44

—————————————

Attention faille de sécurité dans Microsoft Office !



Si quelqu’un a accès à votre PC, il peut lire les documents Word situés dans “Mes documents” !!!

—————————————



C’est du même acabit que cet article.


Vanilys
Le 30/04/2014 à 15h 58

On oublie aussi de dire que même si le PC est sur réseau et que le C:\ est partagé, de toute façon on ne peut de base avoir accès au répertoire de l’utilisateur (c:\utilisateurs\XXXXXX) : il faut des droits d’accès spécifiques.

Et donc, tout ce qui est dedans est également inaccessible.



Bref, pour avoir accès au “main.db” de Skype, il faut de toute façon avoir un accès au répertoire de l’utilisateur, ce qui implique :




  • soit d’être devant le PC avec une session ouverte de l’utilisateur

  • soit de pouvoir hacker l’accès au PC en question. Et à ce moment-là, y’a bien d’autres problèmes qui vont arriver ^^

  • soit d’avoir les droits d’accès spécifiques et autorisés au PC en réseau avec répertoire ou drive partagé.

  • soit de demander à l’utilisateur de se connecter à Skype sur un autre PC - ce qui là, pose vraiment problème, je suis bien d’accord.



    Bref, ça limite quand même pas mal… sans compter qu’il y a loin d’y avoir que les données de Skype en clair sur le PC d’un utilisateur…






contre-maitre
Le 30/04/2014 à 16h 01

Mouais ca ne me choque pas vraiment.

On ne va pas chiffrer les données de tous nos documents, logiciels, mails, sous pretexte que le pc peut se faire pirater.

C’est à l’OS d’etre sécurisé de ce coté là.


marsokod Abonné
Le 30/04/2014 à 16h 01

Chiffrer c’est bien gentil mais attention, si la clé est pas plus protégée que le fichier de base de donnée, ça change pas grand chose. Cf Whatsapp.

Après l’utilisation d’un keyring va pouvoir pas mal augmenter la difficulté de compromettre la base de donnée.


Vincent_H Abonné
Le 30/04/2014 à 16h 08







Wawet76 a écrit :



—————————————

Attention faille de sécurité dans Microsoft Office !



Si quelqu’un a accès à votre PC, il peut lire les documents Word situés dans “Mes documents” !!!

—————————————



C’est du même acabit que cet article.







Bien sûr, parce qu’enregistrer un document Word dans un endroit que l’on a choisi est directement comparable à une base de donnée masquée qui se remplit sans même que l’on y prête attention.



-SQP-
Le 30/04/2014 à 16h 12







Wawet76 a écrit :



—————————————

Attention faille de sécurité dans Microsoft Office !



Si quelqu’un a accès à votre PC, il peut lire les documents Word situés dans “Mes documents” !!!

—————————————



C’est du même acabit que cet article.





parce qu’une liste de documents word permet à un script de faire :



db.open($USERDIR\AppData\Roaming\Skype)

emails=db.query(“select email from Contacts;”)

sendemail(emails, “enlarge your penis pouvoir d’achat)



sur un OS blindé de virus et crapware auto installés, et avec des personnes aussi peu préoccupées de la sécurité des données de leurs contacts, plus besoin de chercher à protéger un peu son adresse email.



Vincent_H Abonné
Le 30/04/2014 à 16h 25







-SQP- a écrit :



parce qu’une liste de documents word permet à un script de faire :



db.open($USERDIR\AppData\Roaming\Skype)

emails=db.query(“select email from Contacts;”)

sendemail(emails, “enlarge your penis pouvoir d’achat)



sur un OS blindé de virus et crapware auto installés, et avec des personnes aussi peu préoccupées de la sécurité des données de leurs contacts, plus besoin de chercher à protéger un peu son adresse email.





<img data-src=" />



<img data-src=" />



-SQP-
Le 30/04/2014 à 16h 35







Vanilys a écrit :



Bref, pour avoir accès au “main.db” de Skype, il faut de toute façon avoir un accès au répertoire de l’utilisateur, ce qui implique :

[…]





Tu oublies toutes les méthodes n’impliquant pas directement l’attaquant mais un programme ou script qu’il aura diffusé.



Ces programmes peuvent être diffusés d’autant plus facilement si l’information provient d’un contact connu. (effet boule de neige à partir d’un seul compte piraté)



“nouvelle version de rené la taupe à télécharger absolument!!! clic ici”



Tolor
Le 30/04/2014 à 17h 37







Vincent_H a écrit :



Pas du tout, c’est une application Modern UI, donc ça se désinstalle sans aucun problème. C’est le cas sur mon PC par exemple.





D’un autre côté, l’application ModernUI n’est normalement pas touchée. Elle ne vas pas avoir accès à ce dossier et va tout enregistrer dans sa “sandbox” qui elle est chiffrée et normalement non accessible.



Ça sert donc pas à grand chose de désinstaller la version de l’application qui n’est pas sujete au problème mentionné, pour éviter le problème mentionné <img data-src=" />



atem18
Le 30/04/2014 à 18h 08

C’est pas nouveau ce truc, ça existe depuis bien longtemps. D’ailleurs, si l’on veut transférer ses messages d’un ordinateur à un autre, c’est ce fichier qu’il faut copier.


Network
Le 30/04/2014 à 18h 21

Donc si on supprime la BDD, Skype en recréé une.



Mais il la re-rempli avec un historique ? un historique qui remonte jusqu’ou ?



ça concerne que les login “compte microsoft” ? ou aussi les comptes des vieux de la vieille avec des pseudo skype ?


GruntZ Abonné
Le 30/04/2014 à 18h 25

Si c’est Microsoft qui implémente le chiffrement les données de Skype sur vos machines, et sachant à qui il donne les clés, je ne vois pas ce que ça changerait …

<img data-src=" />


Network
Le 30/04/2014 à 18h 32







GruntZ a écrit :



Si c’est Microsoft qui implémente le chiffrement les données de Skype sur vos machines, et sachant à qui il donne les clés, je ne vois pas ce que ça changerait …

<img data-src=" />





Il n’y a pas que l’état/NSA comme probleme.



Je dirais meme que dans ce cas précis …ce ne sont pas les plus à craindre vu qu’ils n’ont pas besoin de skype pour savoir dessiner ton réseau.



bingo.crepuscule
Le 30/04/2014 à 19h 25

Tiens au fait, à une époque c’était pas skype qui avait une fonction trojan et qui fouinait dans les profils firefox ? <img data-src=" />


Glyphe
Le 30/04/2014 à 20h 37

Je vois que les fanboy Microsoft sont venus minimiser un problème avec un soft de leur boite chérie, même si la majorité des problèmes viennent bien entendu du code Skype “natif” non développé par Microsoft.



Mais bon ça n’empêche que le ciffrement de ces informations devrait tout simplement être une règle d’or de tout programme de communication, et venir explique qu’un HDD contient une majorité de données non-chiffrées pour venir dire que ce n’est pas choquant, c’est juste ne pas du tout être conscient de l’importance des données privées ou ne rien comprendre à la sécurité …



Soit dit en passant, je tiendrais ce discours quelque soit la boite concernée …


linkin623 Abonné
Le 30/04/2014 à 20h 40







-SQP- a écrit :



ne pas utiliser skype.





j’imagine que c’est aussi pénible à supprimer que IE à l’époque?





L’application modern UI, pas Bureau. Donc si tu ne l’utilise pas, pas de soucis.



psn00ps
Le 30/04/2014 à 20h 56







linkin623 a écrit :



L’application modern UI, pas Bureau. Donc si tu ne l’utilise pas, pas de soucis.





Rien de nouveau. J’La version Bureau



Idiot Proof
Le 30/04/2014 à 20h 57







-SQP- a écrit :



ne pas utiliser skype.





j’imagine que c’est aussi pénible à supprimer que IE à l’époque?









a ben nan sinon comment tu veux qu’on valorise tout celà auprès de nos annonceurs ?



Sans dec notre prochain windows sera gratuit faudra juste racker quand vous voudrez vous en servir et le coté vie privé chez Microsoft ca ressemble kifkif a Face2book ou a Google on s’assoit dessus <img data-src=" />



psn00ps
Le 30/04/2014 à 21h 10







linkin623 a écrit :



L’application modern UI, pas Bureau. Donc si tu ne l’utilise pas, pas de soucis.





Rien de nouveau. J’ai vu ce problème dans la version Bureau il y a des années en bossant sur ReactOS.



Ce n’est en rien spécifique à la version ModernUI et ces développeurs sont en retard.



%AppData%\Skype\nomuserskype\main.db (sqlite 3)

%AppData%\Skype\nomuserskype\dc.db. (sqlite 3)





linkin623 Abonné
Le 30/04/2014 à 21h 13







psn00ps a écrit :



Rien de nouveau. J’ai vu ce problème dans la version Bureau il y a des années en bossant sur ReactOS.



Ce n’est en rien spécifique à la version ModernUI et ces développeurs sont en retard.



%AppData%\Skype\nomuserskype\main.db (sqlite 3)

%AppData%\Skype\nomuserskype\dc.db. (sqlite 3)




  • 22 fichiers dbb, lisibles de manière automatisable par un simple utilitaire :

    http://www.nirsoft.net/utils/skype_log_view.html





    Ma réponse portait sur la suppression du logiciel, installé par défaut dans Win8.1

    Et donc que c’était la version Modern UI, pas celle du bureau. Donc si on l’utilise pas, pas besoin de la virer, le bureau suffisant.



arno53
Le 30/04/2014 à 21h 31







Glyphe a écrit :



Je vois que les fanboy Microsoft sont venus minimiser un problème avec un soft de leur boite chérie, même si la majorité des problèmes viennent bien entendu du code Skype “natif” non développé par Microsoft.



Mais bon ça n’empêche que le ciffrement de ces informations devrait tout simplement être une règle d’or de tout programme de communication, et venir explique qu’un HDD contient une majorité de données non-chiffrées pour venir dire que ce n’est pas choquant, c’est juste ne pas du tout être conscient de l’importance des données privées ou ne rien comprendre à la sécurité …



Soit dit en passant, je tiendrais ce discours quelque soit la boite concernée …





Il serait également intéressant de faire une comparaison avec d’autre logiciel de messagerie instantanée comme trillian, pidgin… Je suis pas sûr que le chiffrement sur le disque dur des logs/bdd soit systématique chez les concurrents…



kyuden
Le 30/04/2014 à 21h 53

Je suis un très grand fan de PCi NXi et aussi abonné payant, mais je trouve que ce genre d’article devrait être lisible dans son intégralité par les non-abonnés.

Question d’engagement face a ce genre de pratique, dénoncer au plus grand nombre les pratiques et dangers <img data-src=" />


wagaf Abonné
Le 30/04/2014 à 23h 42







-SQP- a écrit :



parce qu’une liste de documents word permet à un script de faire :



db.open($USERDIR\AppData\Roaming\Skype)

emails=db.query(“select email from Contacts;”)

sendemail(emails, “enlarge your penis pouvoir d’achat)



sur un OS blindé de virus et crapware auto installés, et avec des personnes aussi peu préoccupées de la sécurité des données de leurs contacts, plus besoin de chercher à protéger un peu son adresse email.





En fait oui, en légèrement plus complexe, avec une expression régulière par ex, on peut faire exactement ça.



Et c’est bien normal, c’est le but d’un ordinateur de manipuler des données.



On peut aussi faire la même chose avec l’historique du navigateur web, “une base de donnée qui se remplie sans qu’on s’en rende compte” (sic).



Pareil avec le carnet d’adresse du client mail, ou les contacts IRC…



PCI découvre en 2014 que les données des applications PC ne sont pas chiffrées ? <img data-src=" />



wagaf Abonné
Le 01/05/2014 à 00h 09







kyuden a écrit :



Je suis un très grand fan de PCi NXi et aussi abonné payant, mais je trouve que ce genre d’article devrait être lisible dans son intégralité par les non-abonnés.

Question d’engagement face a ce genre de pratique, dénoncer au plus grand nombre les pratiques et dangers <img data-src=" />





Demain sur PCI, suite à ta demande, et pour leur “engagement face à ce genre de pratiques” : “Attention aux malware: en cliquant sur un raccourci, il est possible d’exécuter un programme !”.



La semaine prochaine: “Vie privée: pire que les cookie, les programmes peuvent stoker des données sans limite sur votre PC !”.



TheKillerOfComputer Abonné
Le 01/05/2014 à 01h 29

Ce n’est pas limité à Skype ça…



Mozilla Firefox par exemple, regardez le répertoire contenant le profil : des tas de fichiers Sqlite dont au moins deux intéressants, places et cookies histoire de savoir quels sites de pr0n on visite et si l’utilisateur a sauvegardé ses accès, on peut en disposer… Le fichier contenant les pass est un peu plus tendu car c’est encrypté, mais il suffit de copier le fichier pour en profiter et on doit bien trouver une ou deux extensions pour avoir quelques infos…



Mais sinon on a aussi Filezilla dans le genre. Tout en clair dans des XML.


127.0.0.1
Le 01/05/2014 à 01h 48



Ces informations sont disponibles en clair, ce qui signifie que le fichier n’est pas chiffré. Certains argueront que ces données seraient dans tous les cas disponibles si une personne pouvait accéder physiquement à la machine





Certains argueraient que c’est à l’OS d’assurer le chiffrement des données perso, et pas à l’appli.



D’ailleurs, ceux là même diraient qu’il suffit de chiffrer son répertoire “User” pour sécuriser ses fichiers perso et sa base de registre perso (HKCU). Et que c’est une option dispo dans XP, 7 ou 8.



Mais bon, c’est tellement bien le skype bashing. Encore ! encore !


Fuinril
Le 01/05/2014 à 02h 34







Wawet76 a écrit :







On peut reprocher la même chose à n’importe quel client lourd pour le mail.



L’argument “si quelqu’un a accès à la machine il peut récupérer les infos”, franchement… Si quelqu’un a accès à la machine, il peut installer un keylogger aussi !







D’autant que l’argument est faux. C’est “si quelqu”un a accès à la machine en root”, sinon bonne chance pour lire les fichiers situés à cet endroit à partir d’un autre compte utilisateur <img data-src=" />



Au fait on peut faire quoi sous linux avec un accès root ? C’est quoi les mesures de sécurités recommandées ? ah oui : “ne vous loguez jamais sur une machine sur laquelle vous n’avez pas confiance en l’administrateur”…



Je n’appelle pas ça une faille : si la sécurité de l’utilisateur est corrompu ça n’engage que lui…. ou sinon tout information stockée en clair est une faille de sécurité…. et vu de ce point de vue, au regard du contenu du /var/log, linux est le plus faillible de tous les systèmes <img data-src=" />



Vincent_H a écrit :



Bien sûr, parce qu’enregistrer un document Word dans un endroit que l’on a choisi est directement comparable à une base de donnée masquée qui se remplit sans même que l’on y prête attention.







Faudra m’expliquer en quoi un fichier appellé “main.db” situé dans un dossier skype (fut-il caché, lui même situé dans un dossier utilisateur) est une “base de donnée masquée”.



En gros c’est dangereux sur un système vieux de 10 ans, plus supporté, avec un système ACL antédiluvien…. Certes. Mais utiliser un traitement de texte c’est dangereux aussi.



Et si Microsoft avait désactivé la compatibilité avec windows XP ça aurait hurlé à la fin de support prématuré ?



Je suis pas spécialement pro MS, enfin là ça pu carrément le FUD pour rien…



Edit : oh et puis je peux me tromper parceque ça fait longtemps, mais il me semble que postfix stock aussi tout en clair dans une DB sqlite…. donc un des serveurs de mail les plus populaires serait en fait un vulgaire spyware ? <img data-src=" />



Fuinril
Le 01/05/2014 à 03h 01

Nan, désolé, c’est peut être un peu virulent.



Ceci dit, moi et un certain nombre de personnes ont à gérer une contrainte : un programme a besoin de stocker des informations plus ou moins sensibles pour son bon fonctionnement.

Etant le concepteur de ce programme, et ces données n’étant pas susceptibles d’être mises en danger par l’utilisateur (si il les modifie c’est son problème, pas le mien), je les stock dans une DB (avec tous les avantages qui sont liés à ce mode de stockage) à l’intérieur du compte utilisateur de la dite personne, compte lui-même protégé par la sécurité de l’OS et inaccessible des autres utilisateurs locaux comme distants (hors root bien sûr).



En un mot comme en cent : ce sont les “best pratices”, de toutes façons, si je stock en crypté, pour utiliser ces données mon programmes, donc l’utilisateur local, a accès à la clé de cryptage… que ce soit lui qui la définisse (linux style) ou qu’elle soit imposée et accessible uniquement en mémoire. Après il existe certes des possibilités avec des clés asymétriques gérées par un serveur distant, récupérées via des certificats…. enfin on rentre là dans un tout autre domaine ! Skype ce n’est pas et ça n’a jamais eu vocation à être, un logiciel de messagerie ultra confidentiel pour professionnels ! Pour ça il y a d’autres solutions comme BBM (avec les résultats que l’on connait !).



Crypter ça veut aussi dire être capable de décrypter, sinon ça ne sert à rien ! Et décrypter ça signifie faire confiance à l’utilisateur local (sinon autant ne rien crypter) ou à un serveur distant (ce qui pose d’autres problèmes)….. et puis de toutes façons un hackeur déterminé pourra toujours récupérer les informations à partir du moment où il a la main à l’endroit où le message s’affiche en clair (c’est valable pour tout).



On considère en sécurité informatique qu’obtenir un accès local sur une machine c’est devenir dieu… ce n’est pas pour rien (hors solutions extrêmes - aka truecrypt - dont le mode de fonctionnement est radicalement différent et absolument inapplicable à l’échelle d’une application)


RFN Abonné
Le 01/05/2014 à 07h 00

Mouais…

Quelle faille ! Enfin, pas tout à fait : la sécurité est de garder chaque session de l’OS comme étant personnelle !

Tant que je suis le seul utilisateur de ma session, personne ne peut accéder à mes skype … ainsi qu’à tous mes documents personnels !

Quelqu’un veut utiliser skype ? Je lui crée une session…. personnelle bien sûr.


f-heure-7
Le 01/05/2014 à 09h 11

Pour info, Mozilla Firefox stocke la base de données de manière chiffrée dans signons.sqlite… mais la clé est stockée dans key3.db, fichier qui n’est chiffré que lorsqu’un mot de passe maître est crée. Copier les deux fichiers suffit à récupérer les mots de passe. Comme le dit TheKillerOfComputer, l’historique est quant à lui stocké en clair (places.sqlite).



Pidgin stocke aussi ses mots de passe en clair et a un document très complet pour l’expliquer.





Néanmoins, dans le cas de Skype, une bonne pratique pourrait être de chiffrer la base de donnée lors de la déconnexion volontaire de l’utilisateur à Skype. Etant donné qu’il s’agit désormais d’un service client/serveur, on peut très bien imaginer que la clé serait stockée sur le serveur. Si un utilisateur se connectait temporairement, ce qui est le cas critique relevé par la news, ses données seraient protégées à sa déconnexion, là où elles sont actuellement stockées non protégées ad vitam æternam.


Vincent_H Abonné
Le 01/05/2014 à 09h 45







Tolor a écrit :



D’un autre côté, l’application ModernUI n’est normalement pas touchée. Elle ne vas pas avoir accès à ce dossier et va tout enregistrer dans sa “sandbox” qui elle est chiffrée et normalement non accessible.



Ça sert donc pas à grand chose de désinstaller la version de l’application qui n’est pas sujete au problème mentionné, pour éviter le problème mentionné <img data-src=" />





J’ai désinstallé l’application parce que je travaille avec le bureau et qu’elle était redondante <img data-src=" />





TheKillerOfComputer a écrit :



Ce n’est pas limité à Skype ça…



Mozilla Firefox par exemple, regardez le répertoire contenant le profil : des tas de fichiers Sqlite dont au moins deux intéressants, places et cookies histoire de savoir quels sites de pr0n on visite et si l’utilisateur a sauvegardé ses accès, on peut en disposer… Le fichier contenant les pass est un peu plus tendu car c’est encrypté, mais il suffit de copier le fichier pour en profiter et on doit bien trouver une ou deux extensions pour avoir quelques infos…



Mais sinon on a aussi Filezilla dans le genre. Tout en clair dans des XML.





Comme déjà dit, il y a une différence très nette entre un navigateur qui permet soit de faire des sessions de navigation privées soit d’effacer ses traces, et une application qui n’avertit de rien et ne donne aucune de ces possibilités. Un fichier unique contenant en clair l’intégralité des conversations, des contacts et de leurs infos, sans possibilité d’y changer quoi que ce soit, ça reste dangereux, quoi qu’on en dise.





f-heure-7 a écrit :



Néanmoins, dans le cas de Skype, une bonne pratique pourrait être de chiffrer la base de donnée lors de la déconnexion volontaire de l’utilisateur à Skype. Etant donné qu’il s’agit désormais d’un service client/serveur, on peut très bien imaginer que la clé serait stockée sur le serveur. Si un utilisateur se connectait temporairement, ce qui est le cas critique relevé par la news, ses données seraient protégées à sa déconnexion, là où elles sont actuellement stockées non protégées ad vitam æternam.







Voilà, il y a des solutions, et même si rien ne sera jamais parfait, c’est aussi le genre de chose que permet une archi client/serveur classique.



eliumnick
Le 01/05/2014 à 14h 05







Vincent_H a écrit :



Il est recréé et les informations y sont remises à nouveau. Comme quand tu installes Skype sur une nouvelle machine.







Tu veux dire que si par exemple, en mai 2014 je supprime le fichier main.db, Skype va le recréer et retélécharger les informations qui datent d avant mai 2014 ??



Bah, c’était déja pas mal avec messenger (je ne sais plus si cette fonction était active par défaut).

Il y avait les adresses mails/ pseudo

Dates et heures de conversations

Contenu des échanges.



Le tout dans des fichiers txt.

Bref, niveau confidentialité… Il valait mieux tout virer.







Lisez la suite : 73 % de ce contenu reste à découvrir

Seuls nos abonnés et membres Premium peuvent lire l’intégralité de cet article.

Si c’est votre cas, identifiez-vous via le bouton en haut à gauche, au-dessus du logo Next INpact.







^^’ C’est nouveau ça ^^’

Un peu surpris comme je ne me connecte que rarement avec mon compte.



Au début je pensais à une zone de pub qui se serais mal calée sur la page <img data-src=" />


Fuinril
Le 01/05/2014 à 20h 44







x689thanatos a écrit :



Bah, c’était déja pas mal avec messenger (je ne sais plus si cette fonction était active par défaut).

Il y avait les adresses mails/ pseudo

Dates et heures de conversations

Contenu des échanges.



Le tout dans des fichiers txt.

Bref, niveau confidentialité… Il valait mieux tout virer.









J’ai déjà été très content de retrouver des anciennes conversations msn sur mon pc….

Les dites conversations ne sont pas envoyés je ne sais où…. elles sont sur MON pc, dans un dossier accessible uniquement de MA session. Ca a rien d’une faille c’est le fonctionnement normal du logiciel… Si quelqu’un avait accès physiquement à mon PC, assez pour pouvoir aller farfouiller dans des dossiers où il a rien à faire, je pense que j’aurais d’autre problématique que “OMG il peut lire mes conversations bourrés avec un pote qui datent de 5 ans !”



Le cryptage, la sécurité… c’est important dans certains contextes. Dans un logiciel de discussion grand public quotidien… non.



Aller, un petit sondage :

_malgré la faillibilité reconnue des protocoles de communication GSM qui ne l’utilise pas ?

_combien cryptent l’intégralité de leurs DD sur leurs ordinateurs personnels ?





Y a les solutions pro d’un côté, avec cryptage asymétrique (enfin en théorie, il serait intéressant de savoir combien de fournisseur de cloud le font réellement…), et les solutions persos où tout est hébergé en local. Faire un foin parce qu’une solution locale n’utilise pas de systèmes de sécurité pro ça n’a pas de sens… Ou alors on multiplie par 50 le temps de développement de tout logiciel réseau…. et on paye en conséquence. A titre personnel ça me fait pas rêver….



®om
Le 01/05/2014 à 22h 13







Wawet76 a écrit :







On peut reprocher la même chose à n’importe quel client lourd pour le mail.



L’argument “si quelqu’un a accès à la machine il peut récupérer les infos”, franchement… Si quelqu’un a accès à la machine, il peut installer un keylogger aussi !





+1



Ça, me choque beaucoup plus:

skype backdoor confirmation

Think your Skype messages get end-to-end encryption? Think again



Au passage, une petite conf de John Sullivan’s (FSF) :

What do you mean you can’t Skype?!



PS: NextInpact, envisagez-vous de passer à Markdown pour les commentaires (comme linuxfr par exemple)? La syntaxe est moins lourde et ça éviterait tous ces bugs de liens avec les crochets (par exemple, mettre des crochets dans le nom du lien (qui est entre crochets pour la balise), ça ne marche pas.



®om
Le 01/05/2014 à 22h 23







f-heure-7 a écrit :



Pidgin stocke aussi ses mots de passe en clair et a un document très complet pour l’expliquer.







Ah merci pour le lien !



À chaque fois que quelqu’un me dit qu’une appli n’est pas sécurisée parce qu’elle stocke les fichiers localement en clair plutôt que chiffrées, je passe du temps à expliquer que non, chiffrer sans demander un secret à l’utilisateur à chaque utilisation, ça ne change rien. Ce lien m’aidera… <img data-src=" />



malock
Le 02/05/2014 à 08h 01







Fuinril a écrit :



(…)

Le cryptage, la sécurité… c’est important dans certains contextes. Dans un logiciel de discussion grand public quotidien… non.

(…)







J’aime bien ton “non” absolument pas nuancé.

On pourrait préférer un “sans doute moins” (et j’ajouterai un “encore que”).

<img data-src=" />









Fuinril a écrit :



J’ai déjà été très content de retrouver des anciennes conversations msn sur mon pc….

Les dites conversations ne sont pas envoyés je ne sais où…. elles sont sur MON pc, dans un dossier accessible uniquement de MA session. Ca a rien d’une faille c’est le fonctionnement normal du logiciel… Si quelqu’un avait accès physiquement à mon PC, assez pour pouvoir aller farfouiller dans des dossiers où il a rien à faire, je pense que j’aurais d’autre problématique que “OMG il peut lire mes conversations bourrés avec un pote qui datent de 5 ans !”

.







Relis bien la news jusqu’au bout <img data-src=" />



Mis à part que les informations sont un peu moins critiques (pas de : nom, tel, adresse, …)

C’est pourtant très proche de ce que skype fait. Et puis si c’est quelqu’un de chez toi ou un “ami”, les informations de ce genre il/elle les connait déja ^^‘).





elles sont sur MON pc, dans un dossier accessible uniquement de MA session





-&gt; Paragraphe : Il est aisé de piéger une personne

Par défaut, la méthode de récupération des données est les même, en direct sur une machine.

A distance il faudra déjà que la machine dispose d’une faille (passée inaperçue, déjà la d’origine, ou rajoutée suite à infection).





Et puis, l’interface chaise clavier n’est pas toujours très attentive niveau sécurité (mot de passe azerty789 ou 123456) <img data-src=" />



Wawet76
Le 02/05/2014 à 08h 21







Vincent_H a écrit :



Comme déjà dit, il y a une différence très nette entre un navigateur qui permet soit de faire des sessions de navigation privées soit d’effacer ses traces, et une application qui n’avertit de rien et ne donne aucune de ces possibilités. Un fichier unique contenant en clair l’intégralité des conversations, des contacts et de leurs infos, sans possibilité d’y changer quoi que ce soit, ça reste dangereux, quoi qu’on en dise.







Ok… Thunderbird ?

Il stocke tout mes mails et tout mes contacts dans des fichiers plats facilement consultables.



Le fait que ça soit une BDD ou non c’est kifkif bourricot.



Le “problème de sécurité” dont parle cette news par du principe que l’attaquant a accès à la machine et peut y exécuter un truc pour lire les données ! Si il a ce genre d’accès il peut installer un keylogger et connaitre tous mes mots de passe, alors les fichiers de Skype osef un peu.



Vincent_H Abonné
Le 02/05/2014 à 08h 44







Wawet76 a écrit :



Ok… Thunderbird ?

Il stocke tout mes mails et tout mes contacts dans des fichiers plats facilement consultables.



Le fait que ça soit une BDD ou non c’est kifkif bourricot.



Le “problème de sécurité” dont parle cette news par du principe que l’attaquant a accès à la machine et peut y exécuter un truc pour lire les données ! Si il a ce genre d’accès il peut installer un keylogger et connaitre tous mes mots de passe, alors les fichiers de Skype osef un peu.







On ne s’en fout pas dans la mesure où il est installé chez des centaines de millions de personne. C’est sa grande utilisation qui rend cette mauvaise pratique de sécurité dangereuse. Comme dans tout produit très utilisé, la moindre porte ouverte peut être un vrai problème. Quand on recoupe avec la fin du support du XP, il sera à terme très simple de faire exécuter un script qui récupérera le fichier ou va le décortiquer pour récupérer automatiquement les listes de contacts avec les adresses et autres infos associées.



Wawet76
Le 02/05/2014 à 11h 17







Vincent_H a écrit :



On ne s’en fout pas dans la mesure où il est installé chez des centaines de millions de personne. C’est sa grande utilisation qui rend cette mauvaise pratique de sécurité dangereuse. Comme dans tout produit très utilisé, la moindre porte ouverte peut être un vrai problème. Quand on recoupe avec la fin du support du XP, il sera à terme très simple de faire exécuter un script qui récupérera le fichier ou va le décortiquer pour récupérer automatiquement les listes de contacts avec les adresses et autres infos associées.





Mais rien de spécifique à Skype là-dedans. Rien contre lequel ils y peuvent quelque chose (chiffrer les données, bas faudra bien déchiffrer pour l’utiliser et si le pirate a accès à la machine il peut le faire à ce moment).



C’est pas non plus spécifique aux logiciels lourds (accès à la machine et hop on a accès facilement à toutes tes activités en ligne).



Donc oui c’est important de sécuriser ses machines, mais non il n’y a _RIEN_ de choquant dans le fonctionnement de Skype.



« Selon plusieurs développeurs qui se sont penchés sur cette pratique, il s’agit d’une porte ouverte aux pirates en cas d’accès à la machine. » c’est n’importe quoi.



malock
Le 02/05/2014 à 11h 48







Wawet76 a écrit :



(…)

Donc oui c’est important de sécuriser ses machines, mais non il n’y a _RIEN_ de choquant dans le fonctionnement de Skype.





Si tout de même, sans être extrêmement choquant, ce n’est pas bien glorieux.

A partir du moment où on manipule de la données de la sorte (carnet d’adresse, info perso, discussion privée), on se pose la question de leur protection.

Tout remettre sur le dos de l’OS en disant “c’est à lui dans s’en charger” ne me semble pas une solution des plus appropriées.



Si ici Skype est visé, on est bien d’accord que d’autres services doivent également être concernés et les réactions seront du même acabit.







Wawet76 a écrit :



« Selon plusieurs développeurs qui se sont penchés sur cette pratique, il s’agit d’une porte ouverte aux pirates en cas d’accès à la machine. » c’est n’importe quoi.





Pourquoi c’est n’importe quoi ?

Entre un mec qui a accès à ta session et qui n’a plu qu’un fichier à copier et basta et l’autre qui va devoir en plus cracker le chiffrement du fichier, tu ne fais aucune distinction ?

Avoir accès à la machine ne fait pas tout, faut aussi procéder les bons droits.



Wawet76
Le 02/05/2014 à 12h 19







malock a écrit :



Tout remettre sur le dos de l’OS en disant “c’est à lui dans s’en charger” ne me semble pas une solution des plus appropriées.





J’ai l’impression de me répéter mais si, c’est approprié.



Aucun logiciel de mail ne chiffre le stockage des mails sur la machine, parce que ça ne sert à rien. Si ta machine est compromise elle est compromise, ajouter un chiffrement inutile ne sert à rien et ne peut que donner une fausse impression de sécurité.



Si on considère que le stockage des données en local doit être chiffré pour plus de sécurité (vol d’un PC portable, tout simplement), alors c’est vrai pour tous les logiciels de sa machine. Et comme tu le pointe, c’est alors le boulot de l’OS.



En fait ça m’épate que des types arrivent à se faire mousser en écrivant un truc comme ça sur “The Hacker News” (que je ne connaissais pas). En fait je viens d’aller voir la page en question et tous les premiers commentaires expliquent que ce n’est pas nouveau ni choquant.



malock
Le 02/05/2014 à 12h 39







Wawet76 a écrit :



J’ai l’impression de me répéter mais si, c’est approprié.



Aucun logiciel de mail ne chiffre le stockage des mails sur la machine, parce que ça ne sert à rien. Si ta machine est compromise elle est compromise, ajouter un chiffrement inutile ne sert à rien et ne peut que donner une fausse impression de sécurité.





Tu as cité Thunderbird tout à l’heure qui permet bien d’intégrer PGP. Thunderbird va donc stocker des courriels chiffrés si toi et tes correspondants jouent le jeu. C’est ni ce logiciel, ni l’OS mais un logiciel tiers.

Avoir la main sur la machine ne va pas donner l’accès à la passephrase, du moins, pas immédiatement.



Je ne te suis pas lorsque tu affirmes “si ta machine est compromise elle est compromise”. Il me semble bien qu’il y a plusieurs niveaux de sécurité à considérer, fonction des privilèges.



J’ai peut-être une mauvaise compréhension de tout ça… Faut que j’aille lire les commentaires que tu indiques. Mais dire ce n’est pas nouveau n’est pas un indicateur de la fiabilité du bousin.




Tolor
Le 02/05/2014 à 23h 20







Vincent_H a écrit :



J’ai désinstallé l’application parce que je travaille avec le bureau et qu’elle était redondante <img data-src=" />





Je comprend bien, mais c’était pour réagir à ceux qui souhaitent désinstaller la version ModernUI pour régler le problème, alors que cette version n’est pas touchée <img data-src=" />