Skype - Définition

Source: Wikipédia sous licence CC-BY-SA 3.0.
La liste des auteurs de cet article est disponible ici.

- Introduction - Fonctionnalités - Sécurité et polémiques - Principe de fonctionnement

Sécurité et polémiques

Skype est à l'origine d'un débat sur la sécurité des communications par la technique de la voix sur IP et de la sécurité liée au logiciel Skype lui-même. Les questions majeures proviennent de ce que Skype utilise certains utilisateurs pour relayer les communications d'autres utilisateurs et que Skype est une application totalement fermée utilisant des protocoles fermés pour sécuriser son trafic.

Sécurité des communications

Tout le trafic de données de Skype est chiffré.
Skype prétend utiliser des algorithmes de cryptographie connus et difficiles à casser.
L'utilisateur n'a pas accès aux paramètres de chiffrement et, par conséquent, n'a pas à prendre des décisions techniques concernant une infrastructure à clés publiques.

Un des objectifs du chiffrement est de lever les questions de confidentialité pour les communications qui sont relayées par d'autres utilisateurs. Ces choix ont eu un impact sur le marché de la voix sur IP, en général. Le chiffrement des communications est un enjeu qui a gagné de l'intérêt auprès des utilisateurs.

Cheval de Troie

Skype a fait l'objet d'un communiqué du ministère de l'Éducation nationale français au cours du mois de septembre 2005, demandant sa désinstallation des postes équipés dans tous les établissements scolaires publics. Il semblerait que certains serveurs Skype permettent d'intercepter des informations et le logiciel pourrait aussi servir d'abri à un cheval de Troie.

Cette information est à prendre avec des pincettes, puisqu'en réalité, c'est un cheval de Troie se propageant par courriel qui se fait passer pour une mise à jour de Skype. Cette alerte de sécurité date du 18 octobre 2005. Le danger vient donc d'une contrefaçon et non de Skype lui-même.

Se protéger contre ces problèmes sera difficile pour cette administration : régler le problème semble plus complexe qu'un simple paramétrage de pare-feu. On peut lire à ce sujet un article de ZDNet qui semble confirmer que ce malware se transmet uniquement par mail, ainsi que la réaction officielle de Skype sur ce sujet, qui rappelle les bases de la distribution de logiciel des grandes entreprises, à savoir que les programmes et les patchs ne sont jamais distribués par mail.

Voir un article de 01net, qui rappelle que ce n'est pas uniquement l'affaire du cheval de Troie qui a déclenché cette vague de désinstallation, mais également le fait que Skype est une gigantesque boîte noire dans laquelle personne ne peut être assuré de savoir exactement ce qui se passe.
NB : Le journal Pirat Mag (N° 20 p. 4) indique que celui qui a révélé cette affaire initialement est Guillaume Champeau de Ratiatum.
La possibilité d'installer un cheval de Troie est attestée par un échange entre la justice bavaroise et la police bavaroise pour se partager les coûts d'interception des communications Skype.

Sécurité du logiciel Skype

Le code source de Skype n'étant pas public, aucun expert ne peut l'évaluer de manière indépendante. Néanmoins Philippe Biondi et Fabrice Desclaux de EADS ont pratiqué une étude de rétro-ingénierie Silver Needle in the Skype. Ils l'ont présentée lors de la conférence Black Hat Europe en mars 2006 et au SSTIC en juin 2006.

Skype est une parfaite « boîte noire ». Il est extrêmement difficile d'analyser ce que fait Skype et quelle est la méthode utilisée. Skype utilise la sécurité par l'obscurité et rend volontairement difficile l'analyse du trafic par rétro-ingénierie. Or, comme l'indique l'expert en sécurité Bruce Schneier : « Dans le monde de la cryptographie, nous estimons -depuis des décennies que l'open source est nécessaire pour obtenir une bonne sécurité. ».

Le logiciel utilise beaucoup de code impénétrable et de somme de contrôle pour empêcher la rétro-ingénierie du code source.

Tout ordinateur sur lequel Skype est installé, qui a un processeur assez rapide, une connexion à haut-débit, et n'est pas derrière un routeur NAT ou un pare-feu devient un relais pour les autres utilisateurs, un super-nœud en terminologie peer to peer. Skype peut donc utiliser la connexion d'un utilisateur pour relayer le trafic des autres.

L'agilité du logiciel à contourner les pare-feu et les routeurs NAT explique son succès auprès des particuliers. Cette qualité rend plus difficile la tâche des administrateurs réseaux qui souhaitent bloquer le trafic Skype.

Bien que Skype ne fournisse pas d'interfaces de programmation aux auteurs de logiciels anti-virus, il semblerait que la majorité des produits anti-virus bloquent le transfert de fichiers infectés. Skype recommande pourtant aux utilisateurs de tester manuellement les fichiers envoyés et reçus. Cette information est contredite par le Skype Guide for Network Administrators qui explique par quel mécanisme les logiciels anti-virus peuvent intercepter les fichiers tranférés.

Censure et délation en Chine

En octobre 2008, l'OpenNet Initiative a publié une étude de chercheurs canadiens montrant que Skype, via son partenariat avec le groupe chinois TOM Online (en), participait à la censure en République populaire de Chine en filtrant certains mots-clé dans les conversations et en dénonçant aux autorités les utilisateurs concernés, sans que ceux-ci soient tenus au courant. Le président de Skype, Josh Silverman, a déclaré : « il est de notoriété publique que la censure existe en Chine et que le gouvernement chinois surveille depuis de nombreuses années les communications, à l'intérieur du pays ou vers l'étranger » et affirmé qu'il était normal de se plier aux lois en vigueur. Il a aussi assuré que TOM Online ne stockerait plus les messages.