Skype : une faille de sécurité que Microsoft n'a pas le temps de corriger

Mickaël Bazoge |

Une faille de sécurité dans Skype permet à un malandrin d'accéder à des données confidentielles. La vulnérabilité se trouve dans le module de mise à jour du logiciel, qui sous Windows peut être trompé par un fichier DLL. Ce type de bibliothèque est monnaie courante sous Windows, mais elle n'existe pas sous macOS. Toutefois, Stefan Kanthak le chercheur en sécurité qui a découvert la faille explique qu'elle peut toucher aussi les Mac et Linux.

Microsoft a été prévenu du problème en septembre, l'éditeur a même pu le reproduire. Mais voilà, les ressources manquent pour boucher la faille et Microsoft s'est lancé dans le développement d'un nouveau client. C'est donc lui qu'il faudra attendre pour profiter du correctif. Aussi stupéfiant que cela puisse paraître, la version actuelle de Skype ne devrait donc pas recevoir de mise à jour de sécurité.

La publicité faite autour de cette faille poussera peut-être l'éditeur de Redmond à attribuer les ressources nécessaires pour redresser la barre. Ou accélérer le développement de cette nouvelle version, car on comprend que corriger cette faille revient à se lancer dans une profonde réécriture d'une partie du code du logiciel.

Source
avatar MerkoRiko | 

"Mais voilà, les ressources manquent pour boucher la faille..." ??? : confirmation d'une mise à mort programmée (depuis le rachat).

avatar fousfous | 

@MerkoRiko

Après avoir tué MSN pour ça...

Bon après Apple n'est peut être pas si mauvais en fait.

avatar MerkoRiko | 

@fousfous

Que de pessimisme : ton MSN va renaître > Microsoft Skype Network...troué comme un gruyère, que même les souris de Redmond n'ont pu terminer...

avatar C1rc3@0rc | 

@fousfous

«Après avoir tué MSN pour ça...»

Microsoft est aujourd'hui 100% sur le corporate, Skype est un produit qui est corporate, alors que MSN...

Dans les faits concernant cette "faille", MS est en train de revoir en profondeur Skype, qui n'a depuis longtemps plus rien a voir avec le produit original et ses qualités. C'est un services de messagerie centralisée, controlée et ecouté comme les autres. MS veut le rendre plus adapté a l'entreprise et la il y a un devellope,emt de fond a ce niveau.

Ensuite cette faille presente un niveau de risque modere. Elle demande de pouvoir acceder physiquement a la machine et y placer un DLL... en gros faut contourner l'antivirus et les mecanismes de securité de l'OS... c'est pas infaisable, mais c'est pas Spectre qui demande juste de consulter une page Web et dont l'application est generale.

Et la seule solution pour "reparer" cette faille c'est de revoir en profondeur le systeme de chargement des DLL, ce qui implique de gros changement dans l'OS et risque de casser la compatibilité avec beaucoup de softs.

L'autre element c'est que MS, comme les autres boites du secteur, sont submergées par les conséquences des backdoor Spectre et Meltdown.
Le sujet n'est plus trop abordé ici, meme si tous les appareils Apple sont toujours concernés et exposés, mais apres la debacle des patch d'Intel les editeurs d'OS ont vraiment beaucoup de travail... sans parler des autres failles catastrophiques dont ils ont ete informé depuis et qu'ils doivent patcher avant que ça sorte au grand jour.

Apres, concernant Skype, MS n'a pas trop besoin de se presser: il n'y a pas de vrai concurrent. Il y a bien des solutions specifiques a l'entreprise, mais elles sont cheres et vraiment specifiques. Y a les messagerie d'Apple ou de Google, mais ce sont des produits anecdotiques.
Aujourd'hui si tu veux entrer en correspondance avec tous le monde c'est Skype et rien d'autre.

Y a donc une opportunité pour prendre le marché, mais il faudrait un acteur qui lance un systeme opensource, P2P et multiplateforme qui soit certifié en entreprise et facile d'acces pour le GP...

avatar stefhan | 

@C1rc3@0rc

Tu sors d’où pour affirmer :

« Y a les messagerie d'Apple ou de Google, mais ce sont des produits anecdotiques.
Aujourd'hui si tu veux entrer en correspondance avec tous le monde c'est Skype et rien d'autre. »

?

avatar C1rc3@0rc | 

@stefhan

Je sors de nulle part je reste dans le monde reel ou l'on est en contact avec des vrais gens qui ne se limitent pas a une bande de geek fanatiques qui vont utiliser dans leur seul microsome sectaire et par devotion le nouveau systeme de messagerie aussi ephemere qu'instable de Google ou le Facetime ultraferme et proprietaire d'Apple.
J'ai dans ma sphere des utilisateurs Windows/Mac/Linux/Android/iOS et meme certains qui n'ont rien de tout cela (oui, Skype permet aussi de téléphoner, etonnant non)...

Et je vais même pas te parler du monde corporate, tu nous ferais une jaunisse.

avatar julien74 | 

@C1rc3@0rc

Dans le monde corporate c est Skype for business OU Jabber....
Ces 2 solutions doivent couvrir 99.9% des cas.
(Oui bon je suis méchant pour sametime de la
Suite Lotus Notes, mais quelle bouse ce
truc....)

avatar Phiphi | 

@julien74

« sametime de la Suite Lotus Notes, mais quelle bouse ce truc... »

Je plus-plusoie de bon cœur ! Et je dirais même plus : c’est tout Lotus Notes qui est une usine à gaz infâme !

avatar saoullabit | 

@Phiphi

c’est tout Lotus Notes qui est une usine à gaz infâme !
-> forcements c’est pas fait pour les mails (oui c’est utilisé pour ça alors que ... ben c’est pas fait pour)
J’ai utilisé Lotus chez IBM et j’ai découvert la puissance du truc. C’est sharepoint avec 10 ans d’avance ... et qui marche !! Une gestion des flux des documents de toute beauté !

(Pour l’anecdote j’étais sur os2 warp)

avatar fte | 

@julien74

"la
Suite Lotus Notes, mais quelle bouse ce
truc....)"

Lotus Notes est un produit... particulier.

Il est pour ainsi dire sans concurrence. Google Apps est la seule vraie alternative, plus ou moins, plutôt moins que plus, mais alternative malgré tout.

Dans une infra 100% Windows, les outils de Microsoft permettent d'approcher aussi la chose par le bas, mais Windows absolument.

Lotus Notes est à la fois fantastique et unique, et une horreur absolue. 51% fantastique, 49% horrible. Il ne faudrait pas bousculer les pourcentages.

avatar Moumou92 (non vérifié) | 

@julien74

Euh, chez nous Skype est interdit pour raison de sécurité... en entreprise il est donc proscrit, et en perso je ne connais PERSONNE qui utilise Skype....

En fait si, ma grand mère utilise Skype sur son téléphone Android pas cher pour faire des appels vidéos... mais c’est uniquement pour elle que j’ai l’application... WhatsApp, messenger, et FaceTime sont bien plus utilisées de moins point de vue...

avatar DVP | 

Probablement parce que l'IT en est resté au Skype pour discuter avec ses potes.
Dans le monde corporate c'est Skype for business, Cisco Webex, ou plus rarement Adobe connect.

avatar saoullabit | 

@C1rc3@0rc

WhatsApp... pas Skype
(Mesure empirique des mes observations de part le monde)

avatar totoguile | 

Avec l'Asie, WhatsApp commence à remplacer Skype dans mes échanges.
Par contre, le truc bien avec Skype, c'est lorsque les entreprises qui utilisent skype comme messagerie interne l'ouvre vers l'extérieur: on peut ajouter des contacts Pro dans ses listes.

avatar en ballade | 

@stefhan

Tu nous parles des alternatives ?

avatar SyMich | 

En parlant de Spectre et Meltdown, les Mac ne sont TOUJOURS pas protégés complètement, seul l'OS ayant été patché par Apple mais les processeurs n'ayant pas reçu les correctifs de leur microcode publiés par INTEL.

Ma société a adressé la semaine dernière une mise en demeure à Apple avant, si nécessaire, de demander une injonction judiciaire, après qu'Apple France nous ait indiqué que la mise jour du système était suffisante et que Microsoft de son côté nous ait écrit que pour windows il est impératif d'installer ET la mise à jour de Windows ET le patch d'Intel pour le processeur, les 2 étant conçus de façon complémentaire.
A minima lorsqu'on utilise le Mac sous Windows via BootCamp, on n'est pas protégé vis à vis de ces failles.

(Et en parallèle, mon patron m'a demandé de remplacer la centaine de Macs qu'on utilise encore par des PC... ☹️ )

avatar fte | 

@SyMich

"Et en parallèle, mon patron m'a demandé de remplacer la centaine de Macs qu'on utilise encore par des PC... ☹️"

Sérieux ? Avec le pognon que l'opération va coûter ?

Tu n'es pas le premier à rapporter cela ceci dit. Deux collègues m'ont rapporté que dans leurs entreprises respectives, la tête de l'IT profitait du prétexte pour virer les Mac et faire passer la pilule aux utilisateurs. Les Mac sont de moins en moins gérables en entreprise et réseaux hétérogènes, la gestion des domaines est devenue mortelle, c'est le prétexte parfait pour imposer Windows ou Linux.

avatar SyMich | 

Ça ne coute pas aussi cher que ça, car de toutes façons il aurait fallu un jour ou l'autre renouveler ces Macs. Là je vais devoir anticiper le renouvellement, mais en les remplaçant par des materiels (HP ou Lenovo) bien moins coûteux.
Le plus dur va être de faire passer la pilule aux commerciaux et communicants équipés de Macs jusqu'à présent.
Mais mon boss a déjà Apple dans le collimateur depuis quelque temps (des négociations sur ApplePay qui n'ont pas abouti avec une attitude d'Apple qu'il n'a pas aimé, de ce que j'en comprends) et il utilise le prétexte pour virer ce qui reste Apple dans le groupe (on a déjà remplacé les iPhones par des Samsung Galaxy et c'était aussi avec un argument de sécurité, la faille WPA2 n'ayant pas été corrigée sur iOS10...).

avatar C1rc3@0rc | 

@SyMich

Ce que tu relate ici est la norme, mais pour autant le moment n'est de loin pas le meilleur, car tu vas remplacer un produit caviardé et mal pris en charge par un produit caviardé mieux pris en charge mais qui restera exposé de toute façon.
Les processeurs debarassés de Spectre et Meltdown n'arriveront au mieux que courrant 2019... Donc autant attendre et pour basculer le parc sur PC et prendre des mesures securitaires en attendant cette bascule.

Apres, Apple a totalement raison dans son approche: les patch d'Intel sont toujours une catastrophe qui rendent les produits plus dangereux que s'ils ne sont pas pacthés... Intel a encore beaucoup de travail a faire pour arriver a limiter le problème - si c'est vraiment faisable - en attendant les mesures de sécurités ne peuvent se faire qu'au niveau des OS et des applications sachant que de toute façon cela va entraîner des pertes de performances.

avatar reborn | 

@SyMich

Microcode qui entraine des reboots..

avatar SyMich | 

Non non... ça c'est corrigé.
J'ai appliqué le correctif sur un millier de PC environ (desktops et portables) ainsi que sur nos machines serveurs. J'ai d'abord eu la première version d'Intel, puis le mail demandant de tout stopper (sur nos bécanes, on n'avait pas noté de problème, ni sur les serveurs ni sur les postes des utilisateurs, mais on avait quand même stoppé le déploiement), puis le correctif du correctif.
Aujourd'hui ça tourne sans souci (on constate quand même une dégradation des performances côté serveurs qui va nous amener à installer de nouvelles machines car on se retrouve un peu limite en redondance dès qu'une machine tombe)

avatar en ballade | 

I am Root

avatar Ulia | 

Autant certains bugs et failles de sécurité peuvent trouver une explications dans l'extrême complexité des lignes de codes, autant la négligence à ne pas combler une faille doit pouvoir être punie par une loi...
Et ceci devrait être valable pour tous les acteurs (Microsoft, Apple, ...).

avatar reborn | 

@Ulia

Oui mais une faille est elle vraiment une faille ?

Après, ce sont les agences de renseignement qui se frotte les mains. Je pense pas que l’on puisse légiférer avec ou sans mauvaise foi là dessus.

avatar C1rc3@0rc | 

@Ulia
« autant la négligence à ne pas combler une faille doit pouvoir être punie par une loi...»

Pour qu'une chose soit punie par la loi il faut que cela soit un delit ou un crime. Pour que cela soit qualifié ainsi il faut que d'une part ce soit identifié par la loi et que la responsabilité d'une personne morale ou physique soit engagée. Quand tu lis les CGU tu comprends que deja c'est mal parti.

Ensuite, combler un faille c'est quoi? Et ça doit se faire dans quel delai?

Dans le cas present y a deux possibilités pour eviter les problèmes de la failles:
- empêcher l'acces a l'OS pour y balancer une DLL scelerate
- réécrire le mecanisme de gestion des DLL.

La premiere c'est ce que fait l'antivirus et les systèmes internes de protection de Windows... en comptant aussi sur la responsabilité de l'utilisateur de ne pas laisser sa machine entre le mains de n'importe qui. Donc c'est deja en place.

Le second ça veut dire de modifier en profondeur un mécanisme fondamental de l'OS, ce qui dans une perspective de systeme (l'OS, les applications, le reseau) peut prendre des annees...

A quel moment on décide de punir qui pour ne pas avoir fait quoi dans quel delai?

Apres tu poses la question de la responsabilité de l'editeur et la helas, la seule responsabilité qu'a un editeur logiciel aujourd'hui c'est celle definie par le contrat d'utilisation et celle - plus serieuse - qu'il a envers les actionnaires (speculateurs et financiers en general).
Le client lui est bon pour payer sans garantie de quoi que ce soit, sauf que ses données se retrouveront a un moment ou a un autre sous les yeux d'une agence de securité et de pirates.

AUjour'hui, on est dans une situation incroyable: un medecin sauve la vie d'un patient mais son action ne lui permet pas de recouvrir 100% de ses facultés alors le medecin peut etre trainé en justice. L’éditeur logiciel commercialise un produit archibugué, bourrée de malfaçons,... qui conduit a une perte massive de données qui met des entreprises sur la paille, l’éditeur ne risque strictement rien.

Pour que la situation change il faudrait élire des législateurs qui défendent l’intérêt de l'utilisateur et pas celui du banquier. Le hic c'est qu'on a mis a la tête des états des banquiers...

avatar Ulia | 

Tu as décrit ce que je pense également. Sans trop développer :

Oui, les CLUF/CGU des éditeurs sont hallucinantes... un juste milieu serait peut être un peu plus salutaire

Encore faut-il ne pas avoir de banquier à la tête de notre pays (effectivement).

avatar IPICH | 

2018 s'annonce comme l'année des failles on dirait

avatar C1rc3@0rc | 

@IPICH
«2018 s'annonce comme l'année des failles on dirait»

T'imagine pas a quel point...

avatar Rodri31 | 

C'est dégeulasse le nouveau Skype omg

avatar stefhan | 

Plus rien ne m’étonne : j’ai arrêté et changé le jour où c’est passé sous Microsoft. Je savais que ça allait péricliter...

avatar reborn | 

Incroyable à quel point il est conciliant avec crosoft en matière de failles. ?

avatar olrik53 | 

C1rc3@0rc :

J'ignorais que j'étais sectaire et fanatique. Maintenant que je le sais je vais aller voir mon Psy qui va me guérir. J'étais déjà guéri à vie de Windaube, bientôt je vais sortir de ma secte et je ne serais plus fanatisé. Au fait c'est quoi une secte ? Des gens qui se font hypnotiser par un gourou allant jusqu'à se suicider. Un fanatique c'est quoi ? La France les a rencontré hélas.

avatar fte | 

"fichier DLL. Ce type de bibliothèque est monnaie courante sous Windows, mais elle n'existe pas sous macOS."

Faux.

Ce type de librairie existe sur pratiquement tous les OS existants, macOS compris.

Les frameworks du système sont des DLL dans un packaging particulier, mais des DLL quand-même. Tous les drivers de macOS, y compris non-Apple, sont des DLL. Les librairies de base des langages de macOS (et iOS) sont sous forme de DLL.

Une DLL permet de partager des morceaux de code plutôt que de le répliquer en centaines d'exemplaires, en particulier. Essentiel !

avatar sigourney | 

A propos DLL. Ce type de bibliothèque est monnaie courante sous Windows, mais elle n'existe pas sous macOS...Ah bon ? Et les Dylib !!

CONNEXION UTILISATEUR