Attention aux messages lus dans Skype, du moins à partir d’un smartphone. Une faille dans l'application mobile peut révéler l’adresse IP d’un utilisateur à une autre personne à son insu. Il suffit pour cela d'ouvrir un message contenant un lien. Apparemment, Microsoft ne considère pas ce problème comme une faille de sécurité prioritaire. Malheureusement, selon un rapport du média indépendant 404 Media, il n'est pas nécessaire de cliquer sur le lien pour que la localisation soit révélée. De plus, l'utilisation d'un VPN, censé masquer l’adresse IP réelle de l’utilisateur, ne le protégera pas non plus contre cette faille. Et pour ne rien arranger, n'importe quelle URL légitime peut faire l’affaire. Comme l’explique Yossi, le chercheur indépendant à l’origine de la découverte, pour exploiter la faille, il suffit juste de modifier un paramètre de lien.
En règle générale, les applications de chat servent de tampon entre les individus sur la plateforme. Le service connaît l'emplacement de chaque personne, mais ne le partage pas tout en facilitant la communication. 404 Media dispose d'autres détails sur le fonctionnement de la vulnérabilité, mais le média indépendant s’abstient pour l'instant de les divulguer, car la faille n’a pas encore été corrigée par Microsoft. On ne sait pas à quelle date le correctif sera disponible (peut-être lors d’une future mise à jour du produit), même si le fournisseur affirme que la version professionnelle de Skype n'est pas affectée. 404 Media dit qu'aucun correctif n'avait été annoncé jusqu’à la demande de commentaire de la part de l’organe de presse.
Harcèlement facilité
Même si la faille n’est pas jugée prioritaire par Microsoft - elle ne répondrait pas à la définition d'une faille de sécurité, comme elle l’a laissé entendre au moment où Yossi a partagé sa découverte - cette question de la protection de la vie privée reste problématique pour la sécurité. Comme l'a fait remarquer un autre chercheur en sécurité contacté par 404 Media, une adresse IP peut servir à du harcèlement physique ou numérique. Tout individu qui s'intéresse à une personne en particulier peut utiliser Skype pour se faciliter la tâche. Dans des situations dangereuses, par exemple un harceleur qui traque sa victime, un agresseur qui traque un partenaire qui l'a quitté ou une personne qui cherche à démasquer un journaliste ou un dissident anonyme, la faille de Skype peut faciliter les tentatives de harcèlement. Enfin, une adresse IP peut servir à confirmer d'autres données relatives à la localisation d’une personne ou affiner une recherche en cours.
Alors, comment se protéger ? La solution la plus simple est de ne pas utiliser Skype et de basculer sur l’une des nombreuses solutions alternatives. Mais si ce n'est pas possible, il faut faire attention aux messages que l’on consulte dans Skype, le temps pour Microsoft de livrer un correctif. Cette solution n'est pas idéale, mais c'est la seule disponible pour le moment.
Commentaire