Mai 2012
Une sérieuse faille de sécurité dans Skype
par Arnauld de La Grandière le 15.07.2011 à 16:49
A peine Skype s'est-elle retrouvée dans le giron de Microsoft qu'elle doit faire face à une épineuse faille de sécurité. Identifiée par le consultant Levent Kayan, elle consiste à insérer un code javascript en lieu et place de votre numéro de téléphone sur votre profil Skype. Ce code est susceptible d'être exécuté sur l'ordinateur d'un de vos contacts lors de sa connexion au service, permettant éventuellement de prendre le contrôle de sa machine, ou de modifier son mot de passe.
L'histoire ne dit pas quelle incidence cette faille pourrait avoir sur le service récemment annoncé conjointement par Skype et Facebook (lire : Facebook s'allie à Skype contre Google), mais elle a malgré tout de quoi faire frémir. Une chose est sûre, la faille affecte la dernière version de Skype 5.3.0.120, tant sur Windows, XP, Vista, 7 que sur Mac OS X. Les détails ont été publiés mercredi, et Skype, bien qu'alertée par Levent Kayan, n'a pour l'heure pas encore réagi.
L'histoire ne dit pas quelle incidence cette faille pourrait avoir sur le service récemment annoncé conjointement par Skype et Facebook (lire : Facebook s'allie à Skype contre Google), mais elle a malgré tout de quoi faire frémir. Une chose est sûre, la faille affecte la dernière version de Skype 5.3.0.120, tant sur Windows, XP, Vista, 7 que sur Mac OS X. Les détails ont été publiés mercredi, et Skype, bien qu'alertée par Levent Kayan, n'a pour l'heure pas encore réagi.
|
2
1
Vos réactions (21 réactions)
Lucieaus
[15/07/2011 17:06]
A quand le premier ServicePack pour Skype?
A quand le premier ServicePack pour Skype?
Amonchakai
[15/07/2011 17:08]
Ca prouve surtout que tant chez facebook et Microsoft, il y a des bon process pour la detection des failles de securités.
Surement meilleur que ce qu'avait mis en place Skype tout seul.
Ca prouve surtout que tant chez facebook et Microsoft, il y a des bon process pour la detection des failles de securités.
Surement meilleur que ce qu'avait mis en place Skype tout seul.
ShowMeHowToLive
[15/07/2011 17:10]
Comment se fait-il que le logiciel exécute du Javascript se trouvant dans le nom du contact ? Les bugs sont parfois bien étranges :)
@Amonchakai : Ça ne vient pas de Microsoft, le rachat est trop récent. Le consultant est indépendant, non ?
Comment se fait-il que le logiciel exécute du Javascript se trouvant dans le nom du contact ? Les bugs sont parfois bien étranges :)
@Amonchakai : Ça ne vient pas de Microsoft, le rachat est trop récent. Le consultant est indépendant, non ?
StackHeap
[15/07/2011 17:10]
Quel est le rapport avec Microsoft ? J'ai manqué un épisode ?
Aux dernières nouvelles l'achat n'est toujours pas finalisé donc Skype n'appartient pour le moment pas à Microsoft.
Quel est le rapport avec Microsoft ? J'ai manqué un épisode ?
Aux dernières nouvelles l'achat n'est toujours pas finalisé donc Skype n'appartient pour le moment pas à Microsoft.
Arsenal Gear
[15/07/2011 17:23]
@StackHeap > Du troll en souvenir de l'ancien temps et de la gueguerre Microsoft VS Apple. histoire de se changer les idées devant la gueguerre Apple VS Google...
@StackHeap > Du troll en souvenir de l'ancien temps et de la gueguerre Microsoft VS Apple. histoire de se changer les idées devant la gueguerre Apple VS Google...
maclowic
[15/07/2011 17:24]
via MacG Mobile
Comment ca ca touche meme mac osX!? C'estpas possible! Lol
Comment ca ca touche meme mac osX!? C'estpas possible! Lol
oomu
[15/07/2011 17:27]
@ShowMeHowToLive [15/07/2011 17:10]
>Comment se fait-il que le logiciel exécute du Javascript se trouvant dans le nom du contact ? Les bugs sont
>parfois bien étranges :)
les bugs sont toujours logiques. Typiquement le code fait "plus de choses" que ce vous pensez pour le résultat obtenu.
Ainsi, par exemple pour permettre de choisir un thème d'affichage dans un logiciel, bien des développeurs utilisent tout simplement Webkit, qui est bien plus que simplement mettre en gras et rouge fluo du texte. Dans le tas, il peut y avoir des comportements induits inattendus. Ils ne sont pas des bugs en tant que tel, l'ordinateur fait ce pour quoi on l'a programmé mais c'est dans un contexte qui devient dangereux parce que inattendu.
-
Prenons le cas de PDF. Pour X raisons hors sujet ici à expliquer, PDF est en soi un langage de programmation, il est donc aisé d'imaginer glisser un véritable programme (malveillant) dans un document pdf qui semble être innocent à l'écran, cependant le lecteur "pdf" va l'exécuter (c'est son travail) et donc le processeur, et donc potentiellement atteindre ce qu'il devrait pas. Alors il y a des gardes fous (mémoire protégé, bac à sable, contexte processeur, etc) mais s'ils sont eux même buggés ?
en soi, donc, on pourrait croire qu'un moteur pdf n'affiche que du texte+image, mais non, il est un véritable environnement sophistiqué et peut , comme webkit, ou autre, se retrouver à un endroit inattendu et faire des choses inattendues entre les mains d'une personne qui pense "hors de la boite".
Typiquement, il faut envoyer à un programme via ses champs d'entrées, options d'exécutions et autres documents qu'il ouvre, des choses qui ont l'air invraisemblable, mais qui peut être vont avoir un impact. Par exemple du texte incroyablement long, des données volontairement corrompues,du code exécutable... pour voir au cas où ce qui se trame derrière l'innocente interface du programme.
Javascript est très présent dans les logiciels à cause du web.
@ShowMeHowToLive [15/07/2011 17:10]
>Comment se fait-il que le logiciel exécute du Javascript se trouvant dans le nom du contact ? Les bugs sont
>parfois bien étranges :)
les bugs sont toujours logiques. Typiquement le code fait "plus de choses" que ce vous pensez pour le résultat obtenu.
Ainsi, par exemple pour permettre de choisir un thème d'affichage dans un logiciel, bien des développeurs utilisent tout simplement Webkit, qui est bien plus que simplement mettre en gras et rouge fluo du texte. Dans le tas, il peut y avoir des comportements induits inattendus. Ils ne sont pas des bugs en tant que tel, l'ordinateur fait ce pour quoi on l'a programmé mais c'est dans un contexte qui devient dangereux parce que inattendu.
-
Prenons le cas de PDF. Pour X raisons hors sujet ici à expliquer, PDF est en soi un langage de programmation, il est donc aisé d'imaginer glisser un véritable programme (malveillant) dans un document pdf qui semble être innocent à l'écran, cependant le lecteur "pdf" va l'exécuter (c'est son travail) et donc le processeur, et donc potentiellement atteindre ce qu'il devrait pas. Alors il y a des gardes fous (mémoire protégé, bac à sable, contexte processeur, etc) mais s'ils sont eux même buggés ?
en soi, donc, on pourrait croire qu'un moteur pdf n'affiche que du texte+image, mais non, il est un véritable environnement sophistiqué et peut , comme webkit, ou autre, se retrouver à un endroit inattendu et faire des choses inattendues entre les mains d'une personne qui pense "hors de la boite".
Typiquement, il faut envoyer à un programme via ses champs d'entrées, options d'exécutions et autres documents qu'il ouvre, des choses qui ont l'air invraisemblable, mais qui peut être vont avoir un impact. Par exemple du texte incroyablement long, des données volontairement corrompues,du code exécutable... pour voir au cas où ce qui se trame derrière l'innocente interface du programme.
Javascript est très présent dans les logiciels à cause du web.
alan63
[15/07/2011 17:28]
j ai vire Skype depuis les minables mises a jour, et les trop nombreuses demandes de contact de dames a la recherche de l amour......
pourtant je croyais avoir blinde le logiciel au niveau securite
ben non
ces dames sont trop fortes.....
bye bye Skype
j ai vire Skype depuis les minables mises a jour, et les trop nombreuses demandes de contact de dames a la recherche de l amour......
pourtant je croyais avoir blinde le logiciel au niveau securite
ben non
ces dames sont trop fortes.....
bye bye Skype
Lio70
[15/07/2011 17:32]
@alan63
Ne precise plus ton sexe, ton age, ta langue et ton pays dans ton profil...
En revanche, cette news me rappelle un truc recent. Je fais une nouvelle connaissance et on decide de parler a l'avenir par Skype. WEt elle me dit qu'elle m'a trouve dans Skype en tapant mon numero de tel. portable. Je suis tres etonne car je n'ai pas mis mon numero dans mon profil et n'utilise pas Skype pour la telephonie. Est-ce le resultat d'echange de donnees avaec une autre boite qui aurait mon numero (ici avec mon assentiment) ? Je ne connais pas les partenaires de Skype.
@alan63
Ne precise plus ton sexe, ton age, ta langue et ton pays dans ton profil...
En revanche, cette news me rappelle un truc recent. Je fais une nouvelle connaissance et on decide de parler a l'avenir par Skype. WEt elle me dit qu'elle m'a trouve dans Skype en tapant mon numero de tel. portable. Je suis tres etonne car je n'ai pas mis mon numero dans mon profil et n'utilise pas Skype pour la telephonie. Est-ce le resultat d'echange de donnees avaec une autre boite qui aurait mon numero (ici avec mon assentiment) ? Je ne connais pas les partenaires de Skype.
Yohmi
[15/07/2011 17:41]
Il n’empêche que je suis toujours fasciné par ceux qui trouvent ces failles… comme celui qui découvre qu’en appuyant douze fois sur le bouton home de son iPhone en gardant trois doigts dans la moitié supérieure et en parcourant seulement la moitié de la glissière, on peut, en appuyant sur le bouton veille et sur volume moins, arriver à passer au travers du système de mot de passe en entrant GURSIXO.
Il n’empêche que je suis toujours fasciné par ceux qui trouvent ces failles… comme celui qui découvre qu’en appuyant douze fois sur le bouton home de son iPhone en gardant trois doigts dans la moitié supérieure et en parcourant seulement la moitié de la glissière, on peut, en appuyant sur le bouton veille et sur volume moins, arriver à passer au travers du système de mot de passe en entrant GURSIXO.
ziggyspider
[15/07/2011 18:18]
Le PDF n'est pas un langage de programmation, c'est un langage de description de page. Le problème est que maintenant, ces pages ne se contentent plus d'afficher uniquement du texte et des images.
Prenons le cas de PDF. Pour X raisons hors sujet ici à expliquer, PDF est en soi un langage de programmation …
Le PDF n'est pas un langage de programmation, c'est un langage de description de page. Le problème est que maintenant, ces pages ne se contentent plus d'afficher uniquement du texte et des images.
BS0D
[15/07/2011 18:20]
bah tout ça pourrait bien donner lieu à une bonne session trollage.
je vais m'abstenir mais j'en pense pas moins. je pense meme arrêter d'utiliser skype puisque ça tombe sous la coupe de la boite qui fait la plus grosse merde au monde, à peu de choses près...
bizarre, depuis que c'est microsoft qui a racheté, j'ai des demandes de femmes russes en mal d'amour tous les jours tiens !
bah tout ça pourrait bien donner lieu à une bonne session trollage.
je vais m'abstenir mais j'en pense pas moins. je pense meme arrêter d'utiliser skype puisque ça tombe sous la coupe de la boite qui fait la plus grosse merde au monde, à peu de choses près...
bizarre, depuis que c'est microsoft qui a racheté, j'ai des demandes de femmes russes en mal d'amour tous les jours tiens !
BS0D
[15/07/2011 18:21]
bah non en fait j'ai pas pu me retenir de troller un peu ...
bah non en fait j'ai pas pu me retenir de troller un peu ...
BS0D
[15/07/2011 18:25]
Et j'ai oublié de préciser... je suis toujours sous la version 2.8 et je compte pas faire d'update de si tôt tant l'interface de la v5 est moche et peu pratique.
avec la 2.8, c'était pas encore microcrotte qui gérait donc je suis plutot serein ^^
Et j'ai oublié de préciser... je suis toujours sous la version 2.8 et je compte pas faire d'update de si tôt tant l'interface de la v5 est moche et peu pratique.
avec la 2.8, c'était pas encore microcrotte qui gérait donc je suis plutot serein ^^
cherbourg
[15/07/2011 18:32]
via MacG Mobile
@ BS0D :
On ne dit pas "en mal d'amour", on dit "en manque d'argent" lol
@ BS0D :
On ne dit pas "en mal d'amour", on dit "en manque d'argent" lol
2
1
Réagir
Cinq consignes avant de réagir :
- Rester dans le cadre de la dépêche. Pour des discussions plus générales, vous pouvez utiliser nos forums.
- Développer son argumentation. Les messages dont le seul but est de mettre de l'huile sur le feu seront modifiés ou effacés sans préavis par la rédaction.
- Respecter les acteurs de l'informatique et les autres lecteurs. Les messages agressifs, vulgaires, haineux, etc. seront modifiés ou effacés sans préavis par la rédaction.
- Pour toute remarque concernant le contenu de l'article, pour nous signaler une erreur, une faute d'orthographe, une omission, merci de nous contacter exclusivement par e-mail.
- Relisez-vous, et pour les utilisateurs de Safari profitez de l'aide du navigateur : activez le menu édition > Orthographe > Vérifier l'orthographe lors de la frappe.