Le principal problème c'est qu'il permet de contourner toutes les mesures de sécurité réseau (peu de solution hormis interdire l'installation de Skype voire l'accès à internet). Le protocole a un comportement tellement atypique et si difficilement remarquable que les HIDS, IDS et pare-feux ont du mal à le bloquer. Il passe par des ports standards (80, etc.)
Skype fournit une API (interface de programmation) qui, détournée par une personne mal intentionnée, permettrait d'interfacer n'importe quel autre programme avec le réseau Skype (botnet ou autre attaque à base de cheval de Troie par exemple). Skype a par ailleurs reconnu qu'un greffon collectait des informations sur les machines des utilisateurs (identifiant unique de la carte mère en lisant le BIOS).
NdM : l'utilisation et la participation au développement de solutions de VoIP libres telles que Wengophone, Ekiga ou Asterisk permettent de s'affranchir d'une partie de ces problèmes (voire de bénéficier de la vidéo). Le problème avec Skype, c'est qu'il encapsule un réseau dans le réseau, il se sert de n½uds externes comme proxies pour atteindre n'importe quel n½ud du réseau, même derrière les NAT.
Ce réseau est chiffré dans les trames TCP/IP et se base sur le login de l'utilisateur.
Comme le souligne le magazine MISC, Skype réalise énormément de trafic même lors de son inactivité (comme tous les réseaux peer to peer en général).
Il se sert des n½uds qu'il connaît pour se faire transférer des informations (il fait du proxy donc tous les n½uds même dans un réseau fermé sont accessibles).
Il utilise un chiffrement de proche en proche (impossible de tracer la communication).
D'ailleurs, comme syti.net le signale, la meilleure solution pour se prémunir des outils malicieux de collecte d'information installés sur votre machine est de commencer par installer un Linux ou un Mac.
Non seulement nous sommes surveillés (qui ne le sait pas aujourd'hui), mais en plus ces dispositifs mettent en péril l'intégrité de nos machines.
Je pense qu'il n'est pas la peine ici de réaliser une argumentation sur les dangers et la dérive naturelle des logiciels propriétaires.
Sans compter le fait que l'on ne peut pas juger de la qualité d'un logiciel à son interface graphique (même si cela est aussi important).
Je vous passe les détails d'experts - dont je ne fais pas partie - mais que vous pourrez trouver notamment dans le dernier numéro du magazine MISC.
Aller plus loin
- Magazine MISC dossier très détaillé sur Skype (122 clics)
- Etude Skype par les auteurs de l'article MISC présenté au "BlackHat" (PDF) (38 clics)
- Article Téléphonie/Skype banni des facs par la sécurité nationale (46 clics)
- Article les botnets Skype sont à nos portes (28 clics)
- Page récapitulant les outils de surveillance (38 clics)
- Article Skype recueillait des informations (49 clics)
# Skype est blocable
Posté par Misc (site web personnel) . Évalué à 10.
Il y a tout d'abord le blocage via firewall complet + squid ( http://www.net-security.org/dl/articles/Blocking_Skype.pdf ), trés efficace, j'ai expérimenté avec succès au boulot.
Il y a les méthodes plus subtiles, comme les améliorations récentes faites sur le noyau ( comme http://patchwork.netfilter.org/netfilter-devel/patch.pl?id=9(...) ) qui bloque les méthodes de contournement de nat de skype, qui se basent sur des méthodes statistiques pour prédire le prochain port ouvert sur la passerelle, afin de pouvoir envoyer des paquets sur ce port en sachant que ça sera transmis à la machine naté.
C'est pour les gens qui ne veulent pas déployer un serveur squid et un firewall trop restrictif. Le patch en question a justement été fait pour bloquer skype ( par mon employeur, INL )
La techno de skype s'appelle supernode, un bref aperçu est donné dans cette article ( http://www.theregister.co.uk/2003/10/08/how_does_skype_get_t(...) ) ou celui la, plus détaillé ( http://saikat.guha.cc/pub/iptps06-skype/ )
[^] # Re: Skype est blocable
Posté par Victor STINNER (site web personnel) . Évalué à 10.
Hum hum, Linux n'utilise pas un algorithme très compliqué pour le choix du port source pour le NAT : c'est un simple compteur (N, N+1, N+2, N+3, ...).
La tendance actuelle est justement d'ajouter du hasard un peu partout pour rendre les attaques plus complexes (voir impossible). OpenBSD a beaucoup travaillé là-dessus. C'est par exemple le premier OS a avoir ajouté de l'aléa dans les choix des adresses mémoire (pile, "heap", adresse de base d'un programme, pile noyau, etc.). PaX fait la même chose pour Linux. D'ailleurs, Linux intègre petit à petit ce genre de "fonctionnalité".
Pour voir l'impact du choix des numéros de séquence TCP, une vraie étude statistique cette fois-ci :
http://lcamtuf.coredump.cx/newtcp/
[^] # Re: Skype est blocable
Posté par Cédric Blancher . Évalué à 7.
En fait, c'est encore plus simple que ça: le NAT de Netfilter est conservatif. Il essaie, autant de possible de ne pas modifier le port source utilisé par le client, de manière à réduire au maximum le travail à effectuer sur le flux au niveau de la passerelle.
Sinon, côtés liens fournis, la présentation faite à Recon l'an dernier parr Fabrice et Kostya est nettement plus complète que celle de BlackHat:
http://recon.cx/en/f/vskype-part1.pdf
http://recon.cx/en/f/vskype-part2.pdf
La première partie couvre l'étude des protections logicielles, la seconde les fonctionnalités dont l'API Skype. J'ai extrapolé 10 minutes sur l'utilisation de l'API pour monter des botnets résilients à Hack.lu:
http://sid.rstack.org/pres/0610_Hacklu_Skype_Botnet.pdf
[^] # Re: Skype est blocable
Posté par Krunch (site web personnel) . Évalué à 1.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
# Armons nous de patience pour prêcher la bonne parole....
Posté par Nikoo . Évalué à 6.
merci pour la news, ça a le but de mieux éclaircir pourquoi les admins de nos boites nous interdisent d'installer Skype....
Ceci étant.
Skype a été vraiment le premier logiciel à faciliter la VidéoConf, avec une qualité vraiment irréprochable (et ça même avec des correspondants séparés l'un de l'autre par de très très grandes distance, voire des océans...).
Donc maintenant que tout le monde s'est mis sur Skype (car faut pas rêver, la plupart des gens (Windows, Mac) utilisent Skype, comment faisons nous pour leur dire : "ah ben maintenant, faut changer parce que...ben parce que oui, il est joli, et il marche très bien Skype, mais il est "dangereux" parce que vous êtes espionnés ou parce que vous pouvez être la cible d'une attaque..."
Perso, j'ai toujours tendance à prêcher la bonne parole, mais bon :
- wengophone : bof, j'ai testé un peu. Sous linux, ça n'a pas marché quand j'ai testé sous Kubuntu, alors que Skype oui (Mandriva et Kubuntu).
- Ekiga : ça marche, mais bon, niveau interface, c'est pas tiptop.
Tout ça pour dire : je vois mal tous mes contacts changer de logiciel juste pour la "sécurité".
Tant que les logiciels libres de ce genre ne proposeront rien de mieux que l'équivalent de Skype, il n'y a aucune raison que les gens utilise autre chose.
P.S. c'est pareil pour les messageries instantanées. Globalement, il est clair que bcp bcp bcp de gens utilisent ICQ ou MSN messenger. Et pas Kopete, ou Gaim, et ya pas moyen de les faire changer.
[^] # Re: Armons nous de patience pour prêcher la bonne parole....
Posté par Victor STINNER (site web personnel) . Évalué à 9.
Son code est fortement protégé. Voyez la présentation de Philippe Biondi et Fabrice Desclaux sur le reverse engineering du programme :
http://blackhatnetworks.com/presentations/bh-europe-06/bh-eu(...)
« This presentation will uncover some Skype secrets, hidden behind many levels of obfuscation, showing how bad security by obscurity can be. »
Skype traverse le NAT, transforme un ordinateur en serveur, fait du P2P à notre insu, etc. Et bien sûr, le protocole est totalement propriétaire. C'est bien connu que la sécurité par l'obscurité est la meilleure (humour).
http://fr.wikipedia.org/wiki/Sécurité_par_l'obscurité
Maintenant allez voir les failles trouvées (dumoins, celles publiées par Skype) :
http://www.skype.com/security/bulletins.html
[^] # Re: Armons nous de patience pour prêcher la bonne parole....
Posté par Misc (site web personnel) . Évalué à 7.
[^] # Re: Armons nous de patience pour prêcher la bonne parole....
Posté par Nikoo . Évalué à 2.
Tout dépend du bon vouloir de la personne de divulguer ou pas la faille qu'elle a trouvée, ou du moins du temps au bout duquel elle va la divulguer, ou du temps au bout duquel quelqu'un d'autre la trouvera, et elle, la rapportera.
Non ?
[^] # Re: Armons nous de patience pour prêcher la bonne parole....
Posté par Alexandre CABROL PERALES . Évalué à 3.
L'open source ne garantie pas la sécurité.
Mais il démontre au moins la démarche clair et sérieuse du "produit".
Effectivement tout le monde ne lit pas les sources.
Mais en cas de doute on peut rapidemment signaler la partie à problème.
Et ou de mettre en avant le contenu du code malicieu.
Dans le logiciel propriétaire aujourdhui, on ne peut que prouver en mettant en avant des "comportements" anormaux ou suspects.
Par contre il faut toujours se souvenir qu'entre ce que l'on voit à l'exterieur du programme et ce qu'il fait réellement il y a un ecart (la taille de cette ecart dépendant du logiciel).
Deplus si un programme est mal développé sur des sources ouvert cela se voit desuite.
Le principe que je peut présenté tout bête c'est:
un programme qui fairai $i+$i en boucle au lieu d'utiliser $i*$i
C'est un peu bêbête comme example mais le concept est là.
Ce qui se conçois bien se consulte clairement.
Un programme dont les sources sont brouillons est potentiellement plus susceptible de contenir des erreurs et donc des failles comparé à un programme dont le code et clair.
Dans le cadre du propriétaire on ne peut pas évaluer ce critique du risque.
[^] # Re: Armons nous de patience pour prêcher la bonne parole....
Posté par Misc (site web personnel) . Évalué à 3.
Je voit pas le rapport entre les failles d'un logiciel, et le fait de comprendre le fonctionnement du protocole secret d'un logiciel proprio.
[^] # Re: Armons nous de patience pour prêcher la bonne parole....
Posté par - - . Évalué à 7.
et aucun employé ou étudiant n'est censé l'installer.
et les gens font avec. L'entreprise (car s'en est une) n'est pas là pour satisfaire les fantaisies. Pour les besoins professionnels de visioconférence, on met en place Ekiga sur demande.
Renater et le Cern déconseilla l'usage de skype depuis un bon moment, de mémoire : 2 ans.
# Alternatives pour le vidéobavardage ?
Posté par rhizome . Évalué à 3.
J'ai fait des essais rapides et infructueux avec Ekiga et Wengophone, mais j'avoue ne pas avoir encore pris le temps de lire les docs et chercher à résoudre mes problèmes. Y a-t-il des success stories pour me motiver un peu ? :)
Et quand on utilise l'un de ces logiciels, que peuvent utiliser nos interlocuteurs qui utilisent Windows et Mac OS ?
[^] # Re: Alternatives pour le vidéobavardage ?
Posté par Nikoo . Évalué à 4.
Wengophone a une version Windows et un MacOS aussi. :-)
Mais c'est pas pour ça que les gens vont changer...
[^] # Re: Alternatives pour le vidéobavardage ?
Posté par Mathias Bavay (site web personnel) . Évalué à 1.
Mathias
[^] # Re: Alternatives pour le vidéobavardage ?
Posté par abramov_MS . Évalué à 6.
- La premiere c'est que le tunnel http ne fonctionne pas du tout mais pas du tout (bon ok vu le sujet de la news c'est pas un mal mais il existe soit disant alors...)
- la seconde c'est que les bugs ne sont jamais corrige
- les versions officielles sur le site ne marchent absolument pas.
- les versions alpha sur le ftp fonctionnent plus ou moins bien avec un gros espoir il y a 4 mois d'amelioration et une chute tout aussi rapide de la qualite.
- le son est inaudible pour les correspondants.
- il demarre quand il veut et crash souvent
- il coupe sytematiquement les communications au bout de 10 minutes lorsqu'il fonctionne.
- l'interface sous lnux du moins est absolument pas pratique. Tenter de changer le volume sonore avec les controls du soft c'est comment dire rigolo...
En resume, wengo avec du potentiel et malheureusement a chaque nouvelle version cela devient pire...
[^] # Re: Alternatives pour le vidéobavardage ?
Posté par Alexandre CABROL PERALES . Évalué à 3.
http://www.voip-info.org/wiki-Open+Source+VOIP+Software
[^] # Re: Alternatives pour le vidéobavardage ?
Posté par gde . Évalué à 3.
Je précise que ces essais se faisaient sur deux machines windows
[^] # Re: Alternatives pour le vidéobavardage ?
Posté par Etienne Juliot (site web personnel) . Évalué à 3.
En deux mots, Wengo et autres softs basés sur SIP sont très prometteurs, mais, aujourd'hui, Skype reste le meilleur :(
Wengo souffre surtout d'un cruel manque de stabilité et de plantage ou bugs à répétition (notamment en faisant communiquer un Wengo Linux avec un Wengo Windows, ou un Wengo avec un Ekiga).
Plus de détails bientot
[^] # Re: Alternatives pour le vidéobavardage ?
Posté par Aurelien Gateau (site web personnel) . Évalué à 5.
Disponible sur http://www.openwengo.org
On s'autorise à penser que cette version est un peu plus stable que la 2.0 :-)
[^] # Re: Alternatives pour le vidéobavardage ?
Posté par feth . Évalué à 4.
(Et pas que pour moi, des administrateurs de parcs en pasSuSE doivent aussi penser ainsi).
Il manque donc la possibilité d'utiliser les mixeurs logiciels courants. Un bounty, ptete ?
[^] # Re: Alternatives pour le vidéobavardage ?
Posté par WH (site web personnel) . Évalué à 2.
J'ai un doute : Wengo est-elle une application Flash ?
[^] # Re: Alternatives pour le vidéobavardage ?
Posté par Yannick . Évalué à 6.
Non wengo n'utilise pas flash. Wengo est un logiciel libre...
Le problème c'est qu'avant la dernière version de flash pour linux, cette application utilisait le système OSS (ou l'émulation OSS d'ALSA) avec ce défaut majeur qu'il ne permet pas le mixage logiciel des sources sonores. Donc quand tu avait un flash qui tournait quelque part aucune autre application ne pouvait se servir de la carte son. La dernière version de flash utilise ALSA qui fait maintenant par défaut le mixage logiciel des sources sonores (cf. DMIX et DSNOOP, par exemple pour Ekiga : http://wiki.ekiga.org/index.php/Getting_several_applications(...)
Les systèmes ARTS et ESD, d'une part font double emploi avec ALSA, d'autre part sont buggés (cf. pour ESD http://wiki.ekiga.org/index.php/Bug::ESD::Suspension) ou ne sont plus supportés (cas de ARTS). Personnellement, je les considère comme inutiles et sources possible de bugs.
Cordialement,
Yannick
[^] # Re: Alternatives pour le vidéobavardage ?
Posté par WH (site web personnel) . Évalué à 3.
[^] # Re: Alternatives pour le vidéobavardage ?
Posté par abramov_MS . Évalué à 1.
Et moi qui croyait que qt4 etait multiplateformes....
Allez peut etre que des efforts seront fait pour la version 3.0.
Desole ca m'enerve car j'ai vraiment tente de l'utiliser et de mettre par la suite ma famille dessus mais je ne vois pas comment je peux en toute honnete leur conseiller ce soft.
[^] # Re: Alternatives pour le vidéobavardage ?
Posté par Yannick . Évalué à 5.
Je travaille actuellement sur le wiki d'Ekiga (c'est une documentation) : http://wiki.ekiga.org/index.php/Main_Page
La page la plus visitée, et de loin, et celle de la compatibilité avec d'autres logiciels SIP sur les différentes plateformes (Linux, Mac OS, Windows):
http://wiki.ekiga.org/index.php/Which_programs_work_with_Eki(...)
Cordialement,
Yannick
[^] # Re: Alternatives pour le vidéobavardage ?
Posté par memeteau michel (site web personnel) . Évalué à 1.
>http://wiki.ekiga.org/index.php/Which_programs_work_with_Eki(...)
Au passage Yannick merci pour la documentation,
Les gens me disent souvent que SIP marche pas et on se rends vite compte que c'est encore et toujours des problèmes d'utilisation de codecs Vidéo avec brevet...
espérons que Theora reglera cela , en attendant tant que ekiga ne permettra pas d'utiliser H263/H264 facilement , difficile de l'utiliser vace des WIndoziens
Linux sur PC disponible pour tous http://shop.ekimia.fr
# probléme ou solution ?
Posté par marseillais (site web personnel) . Évalué à 9.
Mouais est ce un probléme? Je n'en suis pas sur du point de vue utilisateur. Pour eux tout ce qu'ils voient c'est que skype marche, toujours, firewall ou pas, pas de port a ouvrir....
Bref pour eux c'est le summum de l'efficacité non seulement ils peuvent faire des trucs sympa mais en plus ca marche tout simplement juste a installer et ca fonctionne.
Aprés question sécurité du moment que ca leur supprime pas leurs mp3, et la feuille excel des comptes de la famille......
[^] # Re: probléme ou solution ?
Posté par - - . Évalué à 5.
mais c'est pour cela qu'en entreprise on limite ou interdit son usage.
je crois qu'ici on parle de l'usage en réseau de sociétés ou d'écoles.
Les gens chez eux, ils font ce qu'ils veulent.
[^] # Re: probléme ou solution ?
Posté par Zorro (site web personnel) . Évalué à -3.
Donc j'aime les logiciels qui peuvent s'installer en espace utilisateur seulement (mais pourquoi ne trouve-t-on plus, sur le site de Mozilla, la version .zip de Firefox pour Windows ???), et qui peuvent fonctionner dès que je les lance.
[^] # Re: probléme ou solution ?
Posté par WH (site web personnel) . Évalué à 5.
Celà ne m'empêche pas pour autant d'avoir FF aussi, ainsi que VNC et pas d'autres applis non-approuvées. On peut voir ça comme un bras de fer entre l'admin et toi.
[^] # Re: probléme ou solution ?
Posté par viking . Évalué à 6.
Maintenant, si tu es prêt à assumer tes actes et à risquer ta place en cas d'infections, de saturations du réseau ou tout autre panne du à l'installation de logiciels non approuvées par ta boite : C'est ton choix. Et tu as interets à utiliser des logiciels libres dont tu connais le fonctionnement sinon bonjour les risques de vols de données ou de saturations du réseau.
# Parlons de dérives
Posté par thibault jouannic . Évalué à 7.
C'est sûr que skype est un cauchemar. Imblocable, bouffeur de bande passante. Ce n'est pas pour rien s'il a été officiellement interdit dans certains ministères.
Le problème, c'est qu'il n'existe pas de réelle alternative. Bien entendu, il existe des tas de super logiciels qui sont censé faire comme skype, mais dans la pratique, avec cette cochonnerie d'IPV4 et ce monstrueux NAT, mettre en place des softphones relève souvent du parcours du combattant (je le sais, j'en installe souvent).
L'avantage de skype, c'est qu'on branche, et ça marche. (ça me rappelle une histoire, tout ça)
[^] # Re: Parlons de dérives
Posté par Yann Droneaud (site web personnel) . Évalué à 4.
Bizarre, pourtant j'ai un téléphone sur mon bureau depuis ... longtemps.
Skype c'est une solution alternative au téléphone classique (réseau commuté).
Une alternative à une alternative, c'est l'original ?
[^] # Re: Parlons de dérives
Posté par palm123 (site web personnel) . Évalué à 2.
J'ai entendu des pubs pour le phone de Supinfo, dénommé Supinphone, qui permet aux étudiants de Supinfo de téléphoner.
Je ne sais absolument pas ce que ça vaut !
ウィズコロナ
[^] # Re: Parlons de dérives
Posté par warwick . Évalué à 0.
<ma_life>
Perso je suis connecté via ekiga à ekiga.net, ma freebox, mon compte supinfone ! le bonheur quoi !
Pour info, j'ai eu vent de la prochaine gratuité sur les appels vers mobiles en France ... En attendant que ce soit mis en place ... Je racke à mort !!!!
</ma_life>
[^] # Re: Parlons de dérives
Posté par thibault jouannic . Évalué à 1.
Owned. Certes, Yann, tu as tout à fait raison.
Mais quand je parle d'alternative à skype, j'entends un logiciel qui permet de faire de la voix / vidéo / téléphonie sur IP. Et surtout, un logiciel qui marche tout de suite quelque soit ma configuration réseau.
voili voilou, déformation professionnelle...
[^] # Re: Parlons de dérives
Posté par feth . Évalué à 2.
[^] # Re: Parlons de dérives
Posté par Yann Droneaud (site web personnel) . Évalué à 1.
[^] # Re: Parlons de dérives
Posté par feth . Évalué à 5.
oui : non
Après les virus informatiques, les cancers ? J'aime bien l'idée.
Exemples de logiciel non cancer :
1) un logiciel opensource modifiable pour court-circuiter les fonctions nuisibles.
2) tout logiciel qui utilise paisiblement le réseau (voir votre règlement intérieur d'immeuble pour la définition de «paisible» ) et accepte de rester dans son chroot sans secouer les barreaux.
Sinon, pour revenir à skype, openwengo etc, j'aimerais presque un panneau de préférences permettant de choisir un mode de gestion du réseau parmi :
-"sauvage, consomme toutes mes ressources et transforme moi en serveur de telecom s'il te plait"
-"essaie de passer le firewall"
-"reste poli"
# Jabber + VOIP ?
Posté par jmny . Évalué à 2.
# Oui mais...
Posté par Anonyme . Évalué à 3.
Faudrait que les protocoles ouverts évolue pour permettre de faire ce que fait skype et ça serait bonnard.
[^] # Re: Oui mais...
Posté par Jak . Évalué à 1.
Au hasard, chez Orange :
http://mobile.orange.fr/0/visiteur/PV?PS=GEHPACCRTS&TOP=(...) , je cite : «Les usages de type streaming, voix sur IP, Peer to Peer et flux SSh sont interdits. »
Alors je ne sais pas ce qu'ils entendent exactement par flux SSH, mais bon, pour des offres jusqu'à 70 ¤/mois censées permettre d'accéder à Internet (ou alors 'faut pas présenter ça comme un accès Internet), c'est un peu gonflé comme restriction.
Chez SFR, je ne trouve pas sur leur site, mais dans le pdf qui est là : http://www.sfr.fr/offre-sfr/particulier/redirections-pdfs/cg(...) , on lit que « le Streaming, le Peer to Peer et la Voix sur IP sont interdits à l'abonné. L'abonné déclare en être totalement informé et l'avoir accepté.»
C'est un peu mieux, rien ne t'interdit de faire passer des flux chiffrés (c'est plus ou moins ce que je comprends de la restriction d'Orange). Par contre, tu dois avoir un « usage raisonnable » de ta connexion.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.