Une sérieuse faille de sécurité dans Skype

Arnaud de la Grandière |
A peine Skype s'est-elle retrouvée dans le giron de Microsoft qu'elle doit faire face à une épineuse faille de sécurité. Identifiée par le consultant Levent Kayan, elle consiste à insérer un code javascript en lieu et place de votre numéro de téléphone sur votre profil Skype. Ce code est susceptible d'être exécuté sur l'ordinateur d'un de vos contacts lors de sa connexion au service, permettant éventuellement de prendre le contrôle de sa machine, ou de modifier son mot de passe.

L'histoire ne dit pas quelle incidence cette faille pourrait avoir sur le service récemment annoncé conjointement par Skype et Facebook (lire : Facebook s'allie à Skype contre Google), mais elle a malgré tout de quoi faire frémir. Une chose est sûre, la faille affecte la dernière version de Skype 5.3.0.120, tant sur Windows, XP, Vista, 7 que sur Mac OS X. Les détails ont été publiés mercredi, et Skype, bien qu'alertée par Levent Kayan, n'a pour l'heure pas encore réagi.
Tags
avatar Lucieaus | 

A quand le premier ServicePack pour Skype?

avatar Amonchakai | 

Ca prouve surtout que tant chez facebook et Microsoft, il y a des bon process pour la detection des failles de securités.

Surement meilleur que ce qu'avait mis en place Skype tout seul.

avatar StackHeap | 

Quel est le rapport avec Microsoft ? J'ai manqué un épisode ?
Aux dernières nouvelles l'achat n'est toujours pas finalisé donc Skype n'appartient pour le moment pas à Microsoft.

avatar Arsenal Gear | 

@StackHeap > Du troll en souvenir de l'ancien temps et de la gueguerre Microsoft VS Apple. histoire de se changer les idées devant la gueguerre Apple VS Google...

avatar Maclowic | 

Comment ca ca touche meme mac osX!? C'estpas possible! Lol

avatar oomu | 

@ShowMeHowToLive [15/07/2011 17:10]

>Comment se fait-il que le logiciel exécute du Javascript se trouvant dans le nom du contact ? Les bugs sont
>parfois bien étranges :)

les bugs sont toujours logiques. Typiquement le code fait "plus de choses" que ce vous pensez pour le résultat obtenu.

Ainsi, par exemple pour permettre de choisir un thème d'affichage dans un logiciel, bien des développeurs utilisent tout simplement Webkit, qui est bien plus que simplement mettre en gras et rouge fluo du texte. Dans le tas, il peut y avoir des comportements induits inattendus. Ils ne sont pas des bugs en tant que tel, l'ordinateur fait ce pour quoi on l'a programmé mais c'est dans un contexte qui devient dangereux parce que inattendu.

-
Prenons le cas de PDF. Pour X raisons hors sujet ici à expliquer, PDF est en soi un langage de programmation, il est donc aisé d'imaginer glisser un véritable programme (malveillant) dans un document pdf qui semble être innocent à l'écran, cependant le lecteur "pdf" va l'exécuter (c'est son travail) et donc le processeur, et donc potentiellement atteindre ce qu'il devrait pas. Alors il y a des gardes fous (mémoire protégé, bac à sable, contexte processeur, etc) mais s'ils sont eux même buggés ?

en soi, donc, on pourrait croire qu'un moteur pdf n'affiche que du texte+image, mais non, il est un véritable environnement sophistiqué et peut , comme webkit, ou autre, se retrouver à un endroit inattendu et faire des choses inattendues entre les mains d'une personne qui pense "hors de la boite".

Typiquement, il faut envoyer à un programme via ses champs d'entrées, options d'exécutions et autres documents qu'il ouvre, des choses qui ont l'air invraisemblable, mais qui peut être vont avoir un impact. Par exemple du texte incroyablement long, des données volontairement corrompues,du code exécutable... pour voir au cas où ce qui se trame derrière l'innocente interface du programme.

Javascript est très présent dans les logiciels à cause du web.

avatar alan63 | 

j ai vire Skype depuis les minables mises a jour, et les trop nombreuses demandes de contact de dames a la recherche de l amour......
pourtant je croyais avoir blinde le logiciel au niveau securite
ben non
ces dames sont trop fortes.....
bye bye Skype

avatar Lio70 | 

@alan63
Ne precise plus ton sexe, ton age, ta langue et ton pays dans ton profil...

En revanche, cette news me rappelle un truc recent. Je fais une nouvelle connaissance et on decide de parler a l'avenir par Skype. WEt elle me dit qu'elle m'a trouve dans Skype en tapant mon numero de tel. portable. Je suis tres etonne car je n'ai pas mis mon numero dans mon profil et n'utilise pas Skype pour la telephonie. Est-ce le resultat d'echange de donnees avaec une autre boite qui aurait mon numero (ici avec mon assentiment) ? Je ne connais pas les partenaires de Skype.

avatar Yohmi | 

Il n’empêche que je suis toujours fasciné par ceux qui trouvent ces failles… comme celui qui découvre qu’en appuyant douze fois sur le bouton home de son iPhone en gardant trois doigts dans la moitié supérieure et en parcourant seulement la moitié de la glissière, on peut, en appuyant sur le bouton veille et sur volume moins, arriver à passer au travers du système de mot de passe en entrant GURSIXO.

avatar ziggyspider | 

[quote]Prenons le cas de PDF. Pour X raisons hors sujet ici à expliquer, PDF est en soi un langage de programmation …[/quote]
Le PDF n'est pas un langage de programmation, c'est un langage de description de page. Le problème est que maintenant, ces pages ne se contentent plus d'afficher uniquement du texte et des images.

avatar BS0D | 

bah tout ça pourrait bien donner lieu à une bonne session trollage.
je vais m'abstenir mais j'en pense pas moins. je pense meme arrêter d'utiliser skype puisque ça tombe sous la coupe de la boite qui fait la plus grosse merde au monde, à peu de choses près...

bizarre, depuis que c'est microsoft qui a racheté, j'ai des demandes de femmes russes en mal d'amour tous les jours tiens !

avatar BS0D | 

bah non en fait j'ai pas pu me retenir de troller un peu ...

avatar BS0D | 

Et j'ai oublié de préciser... je suis toujours sous la version 2.8 et je compte pas faire d'update de si tôt tant l'interface de la v5 est moche et peu pratique.
avec la 2.8, c'était pas encore microcrotte qui gérait donc je suis plutot serein ^^

avatar cherbourg | 

@ BS0D :
On ne dit pas "en mal d'amour", on dit "en manque d'argent" lol

avatar zennnn | 

tient donc : ce mercredi, mon crédit de 9 € à été vidé en quelques secondes, puis comme j’avais choisi la reconduction automatique de l’achat de crédit, j’ai eu 11 euros qui ont de nouveau été vidé en moins de deux minutes.
Opposition sur Paypal, réclamation auprès de Skype.
Réponse : «  si votre ordinateur a été piraté, changer vos mots de passe dans Skype et dans votre compte email » .
1) si c’est à cause du pc au boulot, nous avons un anti-virus largement chiant (ralentissant tous nos accès au DD) et un pare-feu très efficace.
2) si c’est à cause du Mac, je cherche encore le virus …

Les deux réponses reçues vont dans un seul sens : je suis responsable du piratage de mon compte Skype.

Ce qui est particulièrement surprenant c’est que :
1) vu la rapidité de l’action, Skype a désactivé (automatiquement ?) le réapprovisionnement automatique … pourquoi, je n’avais pas encore déposé plainte
2) mon mot de passe n’était plus accessible , du moins pour ce qui est de modifier les coordonnées sur la page web. Par contre, ce mot de passe était accepté par le programme Skype, tant côté PC que Mac.
3) Je téléphone à ma fille en Australie, à 0,02 € la minute, je peux donc y aller gaiement avec 10 euros de réserve. Ici, les deux communications qui se trouvent dans mon historique étaient destinées à l’Egypte et à l’Indonésie, et le crédit de 19 euros y est passé en 2 minutes 30 !!!.

Et pour rigoler un peu plus, Skype me fait suivre une enquête de satisfaction sur la réponse de « Germaine », dont un des points demandait « trouvez-vous que la réponse n’est pas trop automatique ? » … bienvenue chez les cyborgs ! Asimov si tu m’entends, tes rêves sont devenus réalités !!!

Ce qui est gênant derrière tout cela, c’est qu’il n’y a plus d’interlocuteur lorsque l’on sort des sentiers battus et que ce genre de société (et je ne dis pas cela en relation avec le rachat par M$) est devenue titanesque au point de ne plus avoir de temps à consacrer aux piratage de leur système.

avatar zennnn | 

je reviens également sur les propos de Lio70
mon profil Skype est verrouillé et malgré cela, j’ai plein de gentilles dames provenant de Côte d’Ivoire qui me contactent pour devenir mon amie et plus si j’ai de quoi les satisfaire (je parle d’argent, bien entendu).
Comment diable ont-elle accès à mon profil , lui même lisible que par mes contacts ?
A moins que l’un d’entre eux se soit fait voler ses données personnelles ce qui permettrait au petits malins de vendre des carnets d’adresses à des organisations mafieuses.

avatar liocec | 

@ Yohmi :
+1

avatar alan63 | 

@ zennnn :
Pareil pour moi
Résultat Skype direction poubelle

avatar alfhcg | 

A moi aucune inconnue me demande d être mon amie. Comment ils savent que je n ai pas d argent?

CONNEXION UTILISATEUR