Journal Cinq cent milliards de petits liens, et moi, et moi, et... Skype

Posté par (page perso) .
Tags : aucun
9
1
mai
2010
Cher journal,

Depuis quelques temps j'essaie de m'intéresser à Twitter¹. Aussi, suivant la tradition du #FollowFriday, je finis par tomber sur un lien² parlant de Skype et de son intrusion dans notre vie privée.

Intrigué, je télécharge le logiciel en question et lance une procédure similaire à celle décrite dans l'article à grands coups de nohup strace -f skype et grep "/home" nohup.out.

Le résultat ? Tout simplement étonnant ! Notre sympathique logiciel a le bon goût, allez savoir pourquoi, d'analyser tout un tas de fichiers (à la recherche d'informations pertinentes ?).

Que doit-je en conclure ? Parce qu'il est fermé, un semblable logiciel va forcément trahir ma confiance ? Que les développeurs de Skype l'ont développé avec les pieds et qu'ils sont malheureusement obligé de parcourir tous les dossiers pour trouver les informations de configurations du logiciel ? Que Twitter s'est révélé utile sur ce coup ?

Toutefois, en ce qui concerne le vol et l'utilisation abusive présumés d'informations concernant mes bookmarks, ce n'est pas si grave que ça car ils sont bien a l'abri sur del.icio.us et non pas sur mon disque en local, tralalère !

Bref, comme un con de parisien, j'attends mon chèque de fin de mois. J'y pense et puis j'oublie, c'est la vie, c'est la vie...

Notes et référencesi
  • # BIDON

    Posté par (page perso) . Évalué à -1.

    je recopie un commentaire pertinent du blog


    Il n'y a rien de probant dans ce strace... Skype ne fait que des appels à stat64(), ce syscall lui permettra uniquement d'obtenir des informations bateau (propriétaire, taille du fichier, dates de dernière modification/accès, date de création, ...)

    Dans ce rapport, il n'y a donc rien que l'on pourrait réellement considérer comme étant intrusif, peut-être devrais-tu vérifier si skype lit le contenu de ces fichiers...


    exactement, ma pensée, bref journal > /dev/null
    • [^] # Re: BIDON

      Posté par (page perso) . Évalué à 10.

      Et alors, même s'il ne récupère que ces informations. Pourquoi a-t'il besoin d'y accéder? Et dans une prochaine version, il en ferra quoi?

      « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

      • [^] # Re: BIDON

        Posté par (page perso) . Évalué à 4.

        >>> Et dans une prochaine version, il en ferra quoi?

        qui sait de quoi le futur sera fait ? je ne suis pas contre surveiller ce genre de logiciel, par contre, je trouve que FUDer, c'est pas beau
        • [^] # Re: BIDON

          Posté par (page perso) . Évalué à 6.

          En quoi c'est FUDer de dire que le logiciel analyse les fichiers? Les métadata, c'est aussi des données. Je me répète quel est l'utilité sinon faire des statistique personnel d'utlisation?

          « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

        • [^] # Re: BIDON

          Posté par (page perso) . Évalué à 1.

          FUDer ce n'est peut-etre pas beau mais je ne l'ai toutefois pas fait, je ne fais que relayer une information que j'ai moi-meme verifiee.

          De plus, si tu avais fait la manipulation de ton cote tu t'apercevrais que l'application fait aussi des appels a la fonction systeme open. Aussi permets moi de te rappeler qu'il n'est pas non plus tres elegant de s'appuyer sur une information sans la verifier au prealable.

          Toutefois, je t'accorde que le fait de balancer ce journal dans /dev/null est pertinent, Skype n'ira visiblement pas y lire ton avis ni ne saura que tu en as un suivant qu'il appelle stat64 ou open.
    • [^] # Re: BIDON

      Posté par . Évalué à 3.

      Tu as du louper la réponse de l'auteur qui se trouve un peu plus loin, concernant les accès "stat64()" :

      "
      @Fred , tu as tout a fait raison. En fait ça fait un moment que sais qu'il faut que je modifie ce billet pour y apporter plus de précisions. Oui il ouvre tout le répertoire ~/.mozilla récursivement : grep open skype.log | grep mozilla | wc -l donne 254. (Pour les non initiés je compte le nombre de lignes qui contiennent open et mozilla dans le fichier). Avec le log que j'ai (je ne l'ai pas fait tourner très longtemps) je ne peux pas affirmer qu'il ouvre effectivement le fichier bookmarks.html. Par contre il touche effectivement aux fichier de sauvegarde. grep open | skype.log | grep mozilla | grep bookmark | wc -l donne 4 (mes 4 fichier de sauvegarde).
      "

      En résumé, l'auteur dit que skype ne se contente pas seulement des "stat64()" mais qu'il fait bien les "open()" qui vont avec..
      • [^] # Re: BIDON

        Posté par (page perso) . Évalué à 10.

        Des gens sur le forum http://forum.skype.com/topic/95261-skype-14099-reads-etc-pas(...) de skype ont étudié le problème. En fait, skype recherche les paramètres proxy (il cherche aussi dans ~/opera/opera6.ini) et KDE/Konquero

        D'ailleurs, skype lit aussi /etc/password, en fait, c'est Qt qui lit ce fichier ( src/corelib/io/qfsfileengine_unix.cpp getpwuid() ) pour afficher le nom associé au UID

        En plus, il y a une histoire de vérification de plugins
        http://forum.skype.com/topic/111907-skype-extension-for-fire(...)

        dans http://forum.skype.com/index.php?showtopic=95261&view=fi(...)
        un dev dit confirme.

        complot suivant !!!
        • [^] # Re: BIDON

          Posté par . Évalué à 3.

          P*tain, mais les dev de Skype connaissent ni les variables d'environnement, ni logname ?

          Quand on porte un programme sur un OS, l'idéal serait de le connaître un peu. On dirait des dévs de Microsoft...

          Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

          • [^] # Re: BIDON

            Posté par (page perso) . Évalué à 10.

            Le but de skype, c'est de faire des gros efforts pour marcher même avec les utilisateurs qui ne connaissent pas justement les variables d'environnements.

            Il faut le reconnaitre, la gestion des proxys sous Unix est moisi. Je veux changer un truc, je doit me déconnecter. Donc tout le monde duplique la gestion à gauche et à droite ( dans ff, dans konqueror, dans gnome, etc ), et ça fout le boxon.

            Donc si le fait d'aller fouiller les fichiers d'opera et co te parait porc, ç'est pour pallier aux problémes actuelles de l'architecture Unix basé justement sur des variables d'environement.

            Skype marche aussi parce que le programme fait le maximum d'effort pour passer les firewalls, et ne pas faire chier l'utilisateur. Ça marche pas toujours, ça plait pas à tout le monde, mais je pense que ça plait quand même à suffisament de gens, et ça marche suffisament souvent pour qu'on puisse considérer ça comme un point différenciateur en leur faveur.
            • [^] # Re: BIDON

              Posté par . Évalué à 7.

              C'est quand même marrant que Skype ait besoin d'aller chercher les paramètres de proxy chez d'autre logiciels, qui eux savent se débrouiller seul généralement.
              Firefox a un mode de "détection automatique des paramètres de proxy pour ce réseau" qui marche extrêmement bien. C'est typiquement le genre de bout de code qui traîne un peu partout, ou dont on peut reprendre le principe très facilement !!
              Accessoirement, firefox se débrouille pour que l'utilisateur lui rentre les paramètres de proxy si jamais il y a besoin, alors pourquoi skype serait obligé d'aller regarder ailleurs ???
              • [^] # Re: BIDON

                Posté par . Évalué à 2.

                C'est typiquement le genre de bout de code qui traîne un peu partout, ou dont on peut reprendre le principe très facilement !!

                S'il est en GPL, c'est pas possible de reprendre le bout de code tel quel dans un logiciel fermé !
                • [^] # Re: BIDON

                  Posté par . Évalué à 4.

                  évidemment, mais bon c'est un bout de code tellement petit qu'avoir en plus un exemple d'implémentation en source ouverte rend inexcusable le besoins d'aller ouvrir les .mozilla/* plutôt que d'implémenter la même chose différemment.
              • [^] # Re: BIDON

                Posté par (page perso) . Évalué à 3.

                Mais qu'est ce qui te fait dire que skype ne cherche pas aussi le proxy par lui même via wpad en plus de regarder ce qui existe sur firefox ? ( http://en.wikipedia.org/wiki/Web_Proxy_Autodiscovery_Protoco(...) )

                Et même si skype peut demander, ç'est plus efficace de ne pas poser de questions surtout si la question est technique ( car bon, faut faire l'essai dans la rue, combien de gens vont pouvoir te dire "je sais ce qu'est un proxy" )
        • [^] # Re: BIDON

          Posté par (page perso) . Évalué à 4.

          Pour info :
          Dans le cas de l'utilisation de seamonkey / iceape, lorsque skype ouvrira le fichier prefs.js pour chercher les paramètres proxy, il tombera aussi sur les différentes adresses email de l'utilisateur ("mail.identity.idXX.useremail")
  • # [:bloub]

    Posté par . Évalué à 4.

    C'est passé ici il y a un bon bout de temps, déjà. Et en boucle sur le net, à la même époque.

    Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.

  • # chroot

    Posté par . Évalué à 8.

    pourquoi ne pas le chrooter si l'on a pas confiance en ce soft ?
    • [^] # Re: chroot

      Posté par . Évalué à 10.

      Ou ne pas l'utiliser, ça marche aussi.

      THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

    • [^] # Re: chroot

      Posté par (page perso) . Évalué à 7.

      Pourquoi ne pas utiliser autre chose si l'on a pas confiance en ce soft ?
      • [^] # Re: chroot

        Posté par . Évalué à 1.

        J'utilise autre chose autant que possible, mais j'ai des amis et de la famille qui n'ont pas fait les même choix que moi en terme d'OS. Du coup il m'arrive aussi d'utiliser skype, il ne tourne que le temps de la communication, il est installé dans un chroot et s'affiche dans un Xnest...

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.