Skype : de l’absence de chiffrement à la surveillance proactive des liens

Nos confrères d’Ars Technica se sont penchés sur la question de la sécurité dans les échanges sur Skype. Le réseau est souvent considéré comme étant capable de chiffrer les communications de bout en bout, faisant du client VoIP un moyen efficace pour discuter en dépit des surveillances en vigueur sur les réseaux. Selon les tests du site, ce chiffrement n’existe tout simplement pas.

Des liens analysés par Microsoft 

Skype est connu pour permettre des communications simples, soit sous forme vocale, soit sous forme textuelle. Cette facilité tient principalement au fait que le client est disponible pour bon nombre de plateformes : Windows, OS X, Linux, iOS, Android, Windows Phone, BlackBerry, etc. Ces clients sont également connus pour se connecter facilement en passant à travers la plupart des protections. Ses communications sont souvent considérées comme chiffrées, mais qu’en est-il vraiment ?

Ars Technica s’est penché sur la question et a mené plusieurs expériences en collaboration avec Ashkan Soltani, un chercheur indépendant en sécurité. Le principe était simple : préparer quatre liens spécifiquement conçus et les envoyer à travers des messages. Deux liens étaient de type de HTTP, tandis que les deux autres pointaient vers des adresses HTTPS. Surprise : un lien HTTP et un autre HTTPS ont été ouverts par une adresse IP (66.52.100.214) appartenant à Microsoft. Des résultats qui confirment ceux obtenus par Heise Security la semaine dernière sur le même sujet.

Recherche proactive de liens malveillants 

Le fait que les liens aient été ouverts prouve que les communications ne sont pas chiffrées puisque l’action est intervenue à la volée. Cela étant, comme l’indiquent nos confrères, absence de chiffrement n’est pas nécessairement équivalent à absence de sécurité. Microsoft applique en effet au réseau Skype la même technique que pour Live Messenger : les messages sont analysés pour détecter divers éléments tels que les liens frauduleux. La surveillance des malwares est également importante.

En outre, la politique de confidentialité de Skype mentionne clairement les actions qui peuvent être menées. L’éditeur parle des « mesures organisationnelles et techniques qui s'imposent pour protéger les données personnelles », en conformité avec les « lois en vigueur ». Skype peut également « avoir recours à une analyse automatique des messages instantanés et des SMS pour (a) identifier le courrier suspecté indésirable et/ou (b) identifier les URL précédemment signalées comme étant à l'origine de courriers indésirables, de tentatives de fraude ou de liens de hameçonnage ». Dans tous les cas, les services agréés, tant internes que tiers, peuvent accéder aux données, des opérations manuelles peuvent intervenir, et Skype peut procéder à des suppressions de contenus s’ils sont jugés inappropriés et/ou indésirables.

Le problème n’est pas tant un fait qui n’est finalement pas une nouveauté que l’opposition entre ce qui est généralement « pensé » et la réalité. Matt Green, professeur spécialisé dans le chiffrement à l’université Johns Hopkins, résume la situation : « Le problème aujourd’hui est qu’il existe un décalage entre le respect imaginé de la vie privée et ce que Microsoft propose réellement. Même si Microsoft analyse les liens pour de « bonnes » raisons, disons la détection des liens malveillants, ceci indique qu’ils peuvent intercepter certains de vos messages textuels. Ce qui signifie qu’ils peuvent potentiellement en intercepter beaucoup plus ».

Le flou sur les informations gardées 

En fait, la seule vraie inconnue dans l’équation, sur un plan technique, est de savoir où se situe l’interception. Pour le reste, les opérations menées ressemblent fortement à ce que l’on trouve sur d’autres réseaux ou produits. Difficile de ne pas penser à Facebook ou encore Apple, dont les filtres parfois un peu trop zélés empêchent de laisser passer certains emails.

Sur le plan pratique cependant, la situation est beaucoup plus floue. On ne sait pas en effet ce qui se passe une fois que Microsoft a extrait le contenu des messages, combien de temps ces informations sont gardées et ainsi de suite. Le contexte légal est évidemment important, surtout au regard de lois telles que le Patriot Act, mais la firme ne fait rien pour l’instant pour répondre clairement aux questions posées, et donc pour apaiser les craintes.

Finalement, le sujet de la surveillance des communications est toujours une problématique de « curseur » oscillant entre la liberté, au risque de plus de complexité, et la protection, même quand elle induit la surveillance. L’utilisateur peut ainsi accepter les conditions d’utilisation, hausser les épaules et convenir que les conversations sont surveillées pour son « bien ». Ou il peut refuser en bloc une telle ingérence dans sa vie privée et se passer de Skype.

On notera toutefois que ces constats ont été opérés quelques mois après la publication d'une lettre ouverte par un collectif réunissant notamment des journalistes et des associations telles que l'EFF (Electronic Frontier Foundation) et qui demandait justement la transparence des communications à Skype.