Une faille de Skype permet de retracer les habitudes BitTorrent

Au sein d’un travail de recherche portant sur la sécurité, plusieurs scientifiques ont réussi à démontrer qu’il était possible d’obtenir assez facilement des informations potentiellement sensibles via Skype. Il serait possible selon eux de mettre en place un système analysé capable de suivre 10 000 personnes pour environ 500 dollars par semaine.

skype

Il s’agit avant tout d’un travail de type académique dont le but n’est évidemment pas de pirater réellement des données. Les retombées pourraient toutefois être suffisamment importantes pour que Microsoft et d’autres éditeurs réagissent. Car la méthode d’attaque est relativement simple : communiquer avec le client VoIP d’une manière bien particulière et analyser la réponse.

Récupérer l'adresse IP en toute impunité

Dans le cas de Skype, tout ce qu’il est nécessaire d’avoir est l’identifiant du compte que l’on souhaite viser. Cet identifiant n’est autre que le pseudo et cette information n’a rien de secret : on peut le trouver via la recherche de Skype. D’après les scientifiques, connaître l’adresse email et la date de naissance suffisent à chercher quelqu’un avec un bon degré de précision, et d’autres critères tels que la ville de résidence et le sexe aident à mieux cerner la cible.

Le reste requiert cependant la technique appropriée. Les scientifiques appellent en effet un contact mais en modifient les paquets émis pour provoquer une réaction particulière. Les paquets reçus en retour sont alors analysés et il n’est pas difficile depuis ces derniers d’obtenir l’adresse IP de l’utilisateur ciblé. Ce dernier peut-il savoir qu’il est espionné ? Selon les scientifiques, aucun risque : ce sont les trames TCP émises qui sont analysées.

Là où la technique devient plus dangereuse est qu’elle serait apparemment infaillible pour obtenir précisément l’adresse IP. Selon l’étude, la méthode fonctionne même quand l’adresse IP est partagée avec d’autres utilisateurs ou quand une infrastructure NAT (Network Adress Translation) quelconque est en place. Mais c’est surtout ce qu’il devient possible de faire avec de telles informations qui peuvent inquiéter.

Retracer les habitudes de la cible

En interrogeant une série de sites dédiés aux trackers BitTorrent, les scientifiques ont collecté les habitudes de partage de 400 utilisateurs. Via la même adresse IP, ils ont également pu obtenir le positionnement géographique exact d’une partie d’entre eux. Le document publié par les scientifiques indique :

« Un hacker n’importe où dans le monde pourrait facilement traquer le lieu de résidence et les habitudes de partage d’un utilisateur Skype, depuis les particuliers jusqu’aux célébrités et hommes politiques, et utiliser ces informations pour de la filature, du chantage et de la fraude. »

Pour les besoins de l'étude, 20 volontaires ont participé et 10 000 personnes ont été aléatoirement ciblées.

Et ce même document précise en outre que la méthode pourrait ne pas être spécifique à Skype : MSN, Google Talk et les autres systèmes de communication en temps réel pourraient être concernés, notamment tout ce qui touche au P2P. Les chercheurs affirment cependant que les identités des personnes qui ont servi à faire l’expérience sont protégées et qu’elles ne seront en aucun cas révélées.

Skype avait déjà été averti

Selon TorrentFreak qui a recueilli les propos du chercheur , Skype a été contacté il y a un an par la même équipe pour être informé de la situation, sans réponse. Cette fois, un responsable de la sécurité de Skype au sein de Microsoft, Adrian Asher, a officiellement réagi :

« Nous attachons de l’importance à la sécurité de nos utilisateurs et sommes engagés dans la sécurité maximale de nos produits. Comme n’importe quel logiciel de communication sur Internet, les utilisateurs de Skype qui sont connectés peuvent être capables de déterminer leur adresse IP entre eux. À travers la recherche le développement, nous continuerons à faire des progrès dans ce domaine et des améliorations dans notre logiciel. »

Cependant, en dépit de ce qu’affirme Adrian Asher, il n’est pas nécessaire selon les scientifiques que Skype soit connecté sur la machine visée. Il suffit que l’utilisateur l’ait utilisé au moins une fois dans les trois jours précédant l’attaque. Les chercheurs fournissent d’ailleurs une piste pour corriger le tir : faire en sorte que l’adresse IP du contact ne soit plus révélée avant que l’appel ne soit effectivement accepté.

Il est dans tous les cas inquiétant de savoir qu’un hacker peut obtenir facilement et sans trace l’adresse IP d’un utilisateur de Skype et s’en servir pour retracer ses habitudes. Reste maintenant à attendre une action concrète de Skype pour corriger le tir.

Les travaux des chercheurs seront présentés le 2 novembre à l'Internet Measurement Conference 2011 de Berlin.

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !