BlackHat Europe 2006 : Skype
Les 2 et 3 mars 2006, deux chercheurs d’EADS Corporate Research Center présentaient les résultats de leurs travaux à la conférence BlackHat Europe au sujet du fameux Skype.
Il en ressort des risques potentiels d’une très haute importance pour tous les utilisateurs du logiciel de VoIP, mais également pour toutes les entreprises qui n’utilisent pas de mesures sérieuses pour limiter son utilisation.
On découvre ainsi que pour empêcher toutes les tentatives d’observation de son fonctionnement, Skype est livré sous forme d’un paquet binaire chiffré, s’auto-déchiffrant au cours de son exécution, il effectue continuellement des tests d’intégrité, il possède des mécanismes permettant d’empêcher l’utilisation de debuggers, etc.
Mais plus important, les développeurs de Skype se donnent beaucoup de mal pour semer le désordre et cacher le comportement du logiciel en rendant complètement aléatoire son exécution.
Vu du réseau, il en est de même : toutes les communications sont chiffrées avec l’algorithme RC4. Plus qu’une confidentialité solide (limitée avec RC4…) c’est avant tout brouiller les pistes que réalise Skype.
Lorsqu’ils analysent les flux du programme, les chercheurs mettent en évidence que Skype sollicite souvent le réseau pour des raisons inconnues : impossible de dire s’il ne s’agit pas de fuites d’informations, de données, renseignements, etc. Capable de fonctionner avec les protocoles TCP et UDP, il est capable de passer à travers les firewall, les proxys et peut découvrir par lui même la configuration réseau de la machine cliente.
De par sa conception de logiciel VoIP s’appuyant sur le P2P, on découvre que lorsque Skype est exécuté, il « note » le poste sur lequel il s’exécute selon plusieurs critères : pas de firewall, faible latence, bande passante abondante, etc. Ainsi, les utilisateurs de Skype les mieux notés peuvent jouer sans le savoir le rôle de « supernode » dans le but de relayer les utilisateurs moins chanceux car situés par exemple derrière un firewall.
On devine alors aisément les risques : si des personnes malintentionnées parviennent à modifier leur version de skype, elles peuvent prendre le contrôle de milliers de machines sans que personne ne puisse s’en apercevoir.
Pour un administrateur réseau Skype est donc un casse-tête : très difficile de le bloquer, impossible de connaître quelles sont les données qu’il envoie à l’extérieur, qui en a le contrôle (Skype Inc. ?, un autre noeud du réseau Skype ?).
Le modèle P2P de Skype combiné avec la faiblesse de son modèle de sécurité et son obscurité pose enfin une question cruciale : Skype est-il devenu le plus gros botnet de la planète ?
La présentation complète est disponible en PDF : Conférence BlackHat 2006 Europe : Silver Needle in the Skype