mercredi 13 décembre 2017

Accueil du site > Informatique > Sécurité Informatique > Skype espionne le BIOS voire plus

Skype espionne le BIOS voire plus

Eddye Dibar, Réseaux & Télécoms

lundi 12 février 2007, sélectionné par Spyworld

logo

Skype est-il oui ou non un outil sûr ? Depuis la diffusion d’une mise à jour au mois de décembre dernier, la réponse tendrait fortement vers le non. La version diffusée permet à Skype de collecter des informations sur le BIOS des postes sur lequel il est installé.

Il y a quelques semaines, Skype a intégré un plug-in développé par EasyBits. Ce logiciel, dont le but est d’étendre les capacités de Skype, comprend notamment des fonctionnalités de gestion des droits numériques (DRM). « Or une des bases des DRM est de pouvoir identifier de façon unique chaque poste, en collectant des informations sur le BIOS », lance Victor O’Neill, directeur marketing et communication chez Arkoon, éditeur de solutions de sécurité. « Si Skype peut accéder au BIOS, c’est la démonstration qu’il peut accéder de façon silencieuse à l’ensemble des données du disque. De plus il est impossible de savoir ce que Skype fait avec ces données », ajoute-t-il. En effet, les information collectées sont cryptées avec un protocole propriétaire, et stockées sur les serveurs de Skype. Une situation délicate, surtout lorsque l’éditeur du logiciel d’appel gratuit revendique 30% d’utilisateurs professionnels, soit plus de 51 millions de personnes.

« Le système Fast SSL, que nous développons, analyse la négociation d’ouverture d’une session SSL et s’assure qu’au moment des échanges les certificats sont valides auprès d’une autorité de certification reconnue comme Verisign ou Thawte ainsi que l’autorité mise en place par l’entreprise », souligne Victor O’Neill.

La découverte de cette faille a été faite presque par hasard. Elle génère des erreurs au démarrage de Skype sur la plate-forme 64 bits de Windows. Depuis, Skype a mis à jour son logiciel (voir encadré). « Mais peut-être y a t il une autre faille. Cet incident doit être un avertissement pour tout responsable informatiques des entreprises », conclut Victor O’Neill.

Les mesures prises par Skype

Le 8 février dernier, Kurt Sauer, directeur de la sécurité chez Skype réagit. « (...) Il est normal de collecter des indicateurs qui permettent d’identifier de façon unique un poste, et les paramètres matériels inscrits sur le BIOS ne sont pas tenus secrets. (...) En adéquation avec nos accords sur la confidentialité, Skype n’accède pas à ces informations. Elles ne sont utilisées que par le logiciel EasyBit pour s’assurer que l’utilisation du plug-in est conforme. Depuis que nous avons appris que les DRM d’EasyBits ne fonctionnaient pas avec certaines nouvelles plates-formes, nous avons mis à jour la version l’outil avec une version qui ne lit plus les données inscrites sur le BIOS ».


Envoyer : Newsletter Imprimer : Imprimer Format PDF : Enregistrer au format PDF PartagerPartager :

4 Messages de forum

  • Skype espionne le BIOS voire plus 13 février 2007 08:57, par Jérôme Bodin

    Bonjour,
    L’article est intéressant, mais j’ai une question : qu’en est-il alors de Skype sur Mac (à processeurs PPC) qui ne possède pas de BIOS ?
    Merci pour la précision que vous pourriez m’apporter.

    • Skype espionne le BIOS voire plus 13 février 2007 22:10, par Spyworld

      Bonsoir,

      Il me semblait que même avec une architecture PowerPC, il y avait un BIOS. Les possibilités doivent donc, en théorie, être les mêmes.

      En ce qui concerne les nouveaux Mac à architecture Intel, c’est désormais un firmware EFI qui est en place et qui est plus puissant.

      Cordialement,

      • Skype espionne le BIOS voire plus 15 février 2007 19:06

        Bonsoir,
        Les Power PC avait effectivement une sorte de BIOS qui s’appelait l’OPEN FIRMWARE. Mais celui-ci était vérouillé. Effectivement, l’EFI des Mac à processeur Intel est plus puissant, mais certainement plus délicat à "manier", ne serait-ce que lors de mises-à-jour, car la moindre variation de courant par exemple, aboutit à une panne totale et définitive de la machine.

  • Skype espionne le BIOS voire plus 20 avril 2007 09:47

    J’ai installé skype la semaine derniere et en redémarant mon pc mon bios me signalait une erreur : l’horloge était remis a 0.
    J’ai désinstallé skype, puis réinstallé hier, et meme probleme au démarage de mon ordi : l’horloge du bios était remis a 0.

    Donc skype agit toujours sur le bios...

    PS : j’ai la derniere version de skype ( soit disant celle qui ne collecte pas d’info sur le bios... )