La menace Skype

Baptisé Pykse, un nouveau ver collecte les adresses électroniques des contacts enregistrés sur l'ordinateur infecté et les incite à se connecter à des sites malicieux. Selon l'éditeur d'antivirus Sophos, les pirates informatiques auraient créé ce ver afin qu'il augmente les revenus publicitaires de ces sites. Ce n'est pas la première fois que Skype est visé par un code malveillant. Mais ces attaques confirment que ce logiciel ne doit pas être utilisé à la légère dans les entreprises. D'ailleurs, le gouvernement français l'a interdit dans tous les organismes français de recherche.

Skype est une application de VoIP parmi d'autres mais elle se distingue par sa nature opaque et ses facilités à contourner les protections mises en place par les entreprises. C'est son côté obscur qui inquiète le plus et alimente aussi les rumeurs les plus alarmistes. « Plusieurs facteurs ont été mis en oeuvre par les développeurs de Skype dans le but de ralentir, voire d'empêcher, la compréhension des protocoles utilisés », signalent Fabrice Desclaux et Philippe Biondi, deux experts du Centre de recherche d'EADS (European Aeronautic Defense and Space).

Tout le réseau infecté en dix secondes

Toute une batterie de protections, des plus classiques (chiffrement) aux plus sophistiquées (lignes de code inutiles insérées dans le code final, protocole HTTPS pour sécuriser des flux), empêchent d'étudier le code source de Skype et de voir ce qui transite via les communications... Résultat, il n'est pas possible de savoir si une connexion est légitime ou non.

Mais c'est le concept même de cette application qui embarrasse les administrateurs réseau. Chaque utilisateur de ce logiciel est appelé « noeud ». 700 utilisateurs deviennent un « supernoeud » qui est à son tour regroupé en slot (dix supernoeuds). Tout le monde se retrouve alors connecté à tout le monde, en peer to peer. En cas de faille de sécurité sur un poste de travail, ce sont donc tous les PC de l'entreprise qui pourraient être touchés. La totalité du réseau de Skype pourrait être infectée en une dizaine de secondes estiment des experts.

Autre inquiétude : « Chaque point de ce réseau peut en connecter un autre sans se soucier de la présence ou non d'un pare-feu ou d'un proxy et passer au-dessous de toutes les protections mises en place par les administrateurs », indique Laurent Bloch, responsable de la sécurité des systèmes d'information de l'Inserm. Skype crée en effet un réseau au sein même du réseau de l'entreprise. A l'insu des administrateurs car les outils de monitoring ne peuvent pas contrôler ce qui s'y passe !

Limiter les risques

Il faut donc faire confiance à Skype ou ne pas l'utiliser. « On ne peut pas empêcher des entreprises qui téléphonent beaucoup à l'étranger de recourir à cette application pour réduire leurs factures de téléphone, ni les en blâmer. Avec Skype, elles courent un risque qui n'est pas nul mais qui ne fait pas le poids par rapport au gain financier. De toute façon, aucun système de téléphonie IP n'est sûr », rappelle Laurent Bloch.

Pour limiter les risques, les experts en sécurité préconisent l'installation de plusieurs lignes de défense comme par exemple un pare-feu et un antivirus surveillant leur réseau et le même binôme sur chaque poste de travail. « L'une ou l'autre de ces sécurités sera tôt ou tard mise en défaut mais la probabilité pour que toutes ces protections soient vulnérables le même jour à la même heure est très faible », explique Laurent Bloch.