2. Blogs

Skype sur la sellette : "empêcher l'accès au code source n'empêche pas les failles de sécurité"

31 août 2009 Blogger Anonymous

 

Skype, l'outil de messagerie instantanée et téléphonie créé par les auteurs de Kazaa, outil de peer to peer connu, fait à nouveau parler de lui.

Cet outil dont le code source n'est pas autorisé d'accès au public (y compris dans les locaux de ses concepteurs même sous de fortes contraintes), a toujours reçu un accueil mitigé des experts Sécurité car ses auteurs avait mis en place un malware dans leur outil Kazaa.

Apparemment, empécher l'accés au code source n'empèche pas de découvrir des faiblesses importantes utilisables contre Skype.
 
Ainsi récemment, Ruben Unteregger, qui se dit travaillant pour une entreprise Suisse spécialisée dans la création de spyware à usage gouvernemental, a mis à disposition le code source d'un logiciel qui permettrait de récupérer une copie des conversations téléphoniques effectuées avec Skype sous forme de fichiers MP3, par injection directe dans le processus skype en cours d'exécution.
 
Le principe est simple. Le programme met en place des "hooks" directement sur les API utilisées par Skype, permettant ainsi de recupérer les flux audio PCM entrants/sortants. Cette technique, qui s'applique entre le processus et les périphériques d'entrées/sorties audio, permet donc de s'affranchir de toutes les contraintes de chiffrement.  Le principe n'est pas nouveau est probablement applicable à moult applications, incluant les IPphones, mais cela démontre à nouveau le grand principe de la chaine de sécurité. Si un maillon est faible, toute la chaine le sera.
Le principe du "crochet" (hook) vise à dévier un flux de sortie d'un programme vers un autre, lequel peut alors traiter l'information et la renvoyer vers un autre programme ou une autre entrée de périphérique. Cette technique est largement utilisée par les logiciels de contrôle parental, vidéo, audio. Des outils tel ffdshow démontrent simplement qu'entre la DLL utilisée pour lire le DVD et l'écran ou la sortie son, il est possible de placer des filtres qui traiteront le son et l'image. C'est la même logique appliquée ici, le pipe sans limite de possibilités...

Quoi qu'il en soit, par cette technique, peu importe le chiffrement utilisé par Skype puisque le flux est volé en version non chiffrée. Il est maintenant trivial pour un pirate d'utiliser ce code source associé à un logiciel qui enverrait ses copies de conversations téléphoniques vers un serveur particulier, lequel pourra alors les traiter pour extraire la substantifique moelle...

Plus que jamais, nous devons donc rester très vigilant quant à la sécurité des applications utilisées pour les conversations téléphoniques "over IP" (VoIP/ToIP) car, après tout, un tel code source pourrait aussi fonctionner sur tout autre logiciel sous Windows...
Blogger Anonymous

-