Microsoft : vers une automatisation de la surveillance du réseau Skype ?
Contrainte réelle, brevet qui fâche
Depuis que Microsoft a racheté Skype pour la modique somme de 8,5 milliards de dollars, la firme n’a pas réellement communiqué sur ses projets futurs. On sait que la technologie VoIP sera intégrée dans un certain nombre de produits, mais l’éditeur n’a toujours pas précisé lesquels, et on s’étonne de n’avoir vu Skype arriver en bêta sur Windows Phone 7 que tout récemment. Mais il est un point qui pourrait faire parler de lui : l’inclusion dans le client d’une porte dérobée pour autoriser les écoutes légales.
Cette capacité ne doit rien au hasard. La majorité des pays dispose d’un concept de « Lawful interception », c’est-à-dire l’interception légale par les autorités des communications. La procédure est déclenchée dans le cas par exemple d’écoutes téléphoniques et est largement utilisée par les forces de police. Mais ce qui était valable pour la téléphonie traditionnelle l’est tout autant pour la voix sur IP.
Il y donc une obligation légale pour Microsoft de permettre ce genre d’écoute. Aux États-Unis, la loi est définie par le CALEA (Communications Assistance for Law Enforcement Act). Cependant, Microsoft semble vouloir aller plus loin en proposant volontairement une technique pour laquelle la firme a par ailleurs déposé un brevet en décembre 2009.
Microsoft estime que les Plain Old Telephone Services utilisés actuellement sont tout simplement archaïques et ne peuvent pas remplir correctement leur mission pour tout ce qui touche à la VoIP. De la « Lawful Interception », Microsoft a donc créé la méthode « Legal Intercept » qui permet d’automatiser un certain nombre de tâches, notamment la création d’un agent de surveillance lorsque cela est nécessaire.
Le sujet est complexe car les lois internationales en la matière ne sont pas toutes équivalentes. En Inde par exemple, si l’on en croit le Times of India, il existe un problème très sérieux quant au déchiffrage des données interceptées. Le pays, comme beaucoup d’autres, possède des lois sur l’interception des données. Toutefois, le ministère des télécommunications aurait averti que celles issues de Skype ainsi que d’autres réseaux tels que BlackBerry Messenger, Yahoo, Nokia Pushmail ou encore Gmail ne permettent pas un déchiffrage des données. Cela dit, c’est précisément le but des connexions sécurisées.
Le problème avec le brevet de Microsoft est que Skype pourrait introduire une automatisation du processus. Non que l’agent fonctionnerait en permanence : son activation resterait soumise aux demandes légales. Mais la simple existence d’un agent induit une réflexion pour faciliter ces demandes.
Reste à savoir maintenant où en est la réflexion de Microsoft à ce sujet. En effet, le brevet n’a toujours pas été accordé et la firme ne communique pas sur Skype. Nous avons toutefois posé la question à l’éditeur et attendons un retour sur le sujet. Car il reste finalement une crainte : si Skype doit posséder une porte dérobée, ne risquerait-elle pas d’être découverte et exploitée par des pirates ?
Cette capacité ne doit rien au hasard. La majorité des pays dispose d’un concept de « Lawful interception », c’est-à-dire l’interception légale par les autorités des communications. La procédure est déclenchée dans le cas par exemple d’écoutes téléphoniques et est largement utilisée par les forces de police. Mais ce qui était valable pour la téléphonie traditionnelle l’est tout autant pour la voix sur IP.
Il y donc une obligation légale pour Microsoft de permettre ce genre d’écoute. Aux États-Unis, la loi est définie par le CALEA (Communications Assistance for Law Enforcement Act). Cependant, Microsoft semble vouloir aller plus loin en proposant volontairement une technique pour laquelle la firme a par ailleurs déposé un brevet en décembre 2009.
Microsoft estime que les Plain Old Telephone Services utilisés actuellement sont tout simplement archaïques et ne peuvent pas remplir correctement leur mission pour tout ce qui touche à la VoIP. De la « Lawful Interception », Microsoft a donc créé la méthode « Legal Intercept » qui permet d’automatiser un certain nombre de tâches, notamment la création d’un agent de surveillance lorsque cela est nécessaire.
Le sujet est complexe car les lois internationales en la matière ne sont pas toutes équivalentes. En Inde par exemple, si l’on en croit le Times of India, il existe un problème très sérieux quant au déchiffrage des données interceptées. Le pays, comme beaucoup d’autres, possède des lois sur l’interception des données. Toutefois, le ministère des télécommunications aurait averti que celles issues de Skype ainsi que d’autres réseaux tels que BlackBerry Messenger, Yahoo, Nokia Pushmail ou encore Gmail ne permettent pas un déchiffrage des données. Cela dit, c’est précisément le but des connexions sécurisées.
Le problème avec le brevet de Microsoft est que Skype pourrait introduire une automatisation du processus. Non que l’agent fonctionnerait en permanence : son activation resterait soumise aux demandes légales. Mais la simple existence d’un agent induit une réflexion pour faciliter ces demandes.
Reste à savoir maintenant où en est la réflexion de Microsoft à ce sujet. En effet, le brevet n’a toujours pas été accordé et la firme ne communique pas sur Skype. Nous avons toutefois posé la question à l’éditeur et attendons un retour sur le sujet. Car il reste finalement une crainte : si Skype doit posséder une porte dérobée, ne risquerait-elle pas d’être découverte et exploitée par des pirates ?
Source :
memeburn.com
Vincent Hermann
Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.
Le 14 mars 2012 à 17:48
(19 369
lectures)
Il y a 42 commentaires
INpactien
FRANCKYIV
Le mercredi 14 mars 2012 à 19:43:39
#21
Inscrit
le mardi 22 novembre 05
-
840
commentaires
Tu parles !
Tout le monde utilise Android et iOS de nos jours.
Non Non ...
Palm Pre 3 ici ...
INpactien
Ca me rappelle la porte dérobée NSAKEY dans Win NT4. 
INpactienne
kamui57
Le mercredi 14 mars 2012 à 20:24:58
#23
Inscrite
le vendredi 13 janvier 12
-
186
commentaires
Tu pourrais nous mettre une photo de ta femme a poil en avatar, histoire d'être cohérent avec tes idées...
de lui plutôt… sa femme n'est pas un objet
INpactien
Dawnrouille
Le mercredi 14 mars 2012 à 20:37:07
#24
Inscrit
le mercredi 29 octobre 08
-
600
commentaires
Et les industries elles utilisent quel logiciel pour communiquer en toute sécurité, faire des (télé)conférences?? L'avion? 
Bref, et l'espionnage industriel dans tout ça...
Bref, et l'espionnage industriel dans tout ça...
INpactien
de lui plutôt… sa femme n'est pas un objet
Déjà...
Et puis ce que je veux dire c'est que si ça les bottes de choper mes parties de lol ou tor que je fais sur skype avec mes potes moi ça me gène pas plus que ça (c'est qu'ils auront vraiment du temps à perdre.
Mais pour rajouter un peu d'eau au moulin, oui en effet, il y a des gens à qui ça peux poser problème car faisant des choses très sérieuses voir confidentielles avec leur Skype.
INpactien
Ma principale crainte n'est pas lié à la présence d'une backdoor, notamment du point de vue des écoutes légales (et encore à voir le pataquès des Fadettes). Non, le problème, c'est que la backdoor n'est pas accessible aux seules autorités d'où émane l'appel. En gros, le fait qu'il y ait une possibilité technique pour les autorités français de faire de l'interception (dans un cadre légal) sur le territoire français me semble défendable. Par contre, ici, il serait possible qu'une interception de communication VoIP réalisée sur le territoire français soit effecutée par le DoJ (US) ou par toute autre personne disposant d'un accès à cette même backdoor. Et donc, le risque d'espionnage industriel est très très important (et dans le sens Europe-US ou vice-versa hein, pas de théorie du complot derrière ce post
)Et c'est déjà le cas sur toutes les installations "sensible": la DCRI fait les très gros yeux quand elle voit un client Skype installé, puisqu'il est impossible de savoir quelles sont les possibilités d'écoute (et d'espionnage), le protocole étant fermé (et non documenté).
Par ailleurs, Skype fonctionnant sur le principe d'un réseau P2P partiellement décentralisé, il est difficile de savoir par quelles machines les communications transitent. Une machine performante disposant d'une bonne connexion réseau se transforme automatiquement en serveur de communication:
- Pour une personne "honnête" cela bouffe beaucoup de bande passante, pour des communications qui ne lui sont pas dédiée (ce qu'un admin réseau apprécie très moyennement).
- À des fins malhonnêtes, un serveur performant aura tendance à "aspirer" les communications environnantes et il lui sera possible d'enregistrer les communications géographiquement proches. Reste alors à pouvoir les décrypter.
INpactien
Et c'est déjà le cas sur toutes les installations "sensible": la DCRI fait les très gros yeux quand elle voit un client Skype installé, puisqu'il est impossible de savoir quelles sont les possibilités d'écoute (et d'espionnage), le protocole étant fermé (et non documenté).
Par ailleurs, Skype fonctionnant sur le principe d'un réseau P2P partiellement décentralisé, il est difficile de savoir par quelles machines les communications transitent. Une machine performante disposant d'une bonne connexion réseau se transforme automatiquement en serveur de communication:
- Pour une personne "honnête" cela bouffe beaucoup de bande passante, pour des communications qui ne lui sont pas dédiée (ce qu'un admin réseau apprécie très moyennement).
- À des fins malhonnêtes, un serveur performant aura tendance à "aspirer" les communications environnantes et il lui sera possible d'enregistrer les communications géographiquement proches. Reste alors à pouvoir les décrypter.
j'avais pas vu ça comme ça mais ça peut le faire. Un ptit serveur dans un datacenter bien situé genre TELEHOUSE et tu récup les communication au hasard de à peu près tout paris, voir la france!
INpactien
Comme d'habitude, ça ne va servir qu'à e**erder les utilisateurs "normaux".
les utilisateurs normaux ne seront pas surveillés, donc je ne vois pas en quoi ça va les emmerder.
Ca n'emmerdera que les gens qui seront sur écoute par décision d'un juge.
Tu parles des logiciels libres ?
Peu importe qu'ils le doivent ou non, s'ils sont opensource ca se verrait dans une revue de code, et les barbus s'arracheraient la barbe jusqu'au dernier poil.
AMHA, aucun logiciel opensource crédible n'implémenterait ca.
à partir du moment où il y a un serveur central qui gère les connexions et les mises en relation, même si le soft est open source, tu peux pas savoir ce qui se passe sur le serveur central.
de même, si tu as les maj automatiques activées, un éditeur de logiciel open source peut toujours pusher une maj spécifique à un utilisateur pour y introduire un trojan, s'il en reçoit l'ordre légal.
si Skype doit posséder une porte dérobée, ne risquerait-elle pas d’être découverte et exploitée par des pirates ?
la porte dérobée ne se trouve pas dans le logiciel, mais dans le service (serveurs de skype). Donc pas de reverse engineering possible pour la découvrir. Il y a probablement un flag qui permet de forcer les communications à passer sur les serveurs de skype, au lieu d'autres serveurs décentralisés (mais dans ce cas il faut toujours l'aide interne de Skype pour décrypter les données)
Et puis j'imagine que les accès des autorités sont loggés pour éviter les abus. Peu de risque à ce niveau là. Pas plus de risque que sur un service normal qui se ferait pirater et qui permettrait d'espionner les échanges des utilisateurs sans backdoor officielle de la part de l'éditeur.
Edité par jmanici le jeudi 15 mars 2012 à 00:01
INpactien
Ca me rappelle la porte dérobée NSAKEY dans Win NT4.
étrange que ça ne te rappelle pas ça:
http://www.pcinpact.com/breve/60876-openbsd-backdoors-fbi-gregory-perry-theo-de-raadt.htm
ahhh la mémoire sélective
dans les deux cas, il n'y a jamais eu de preuve.
Edité par jmanici le jeudi 15 mars 2012 à 00:09
INpactien
Tout l'interet de skype pour les malfaiteurs/paranos/citoyens soucieux de leur vie privée était son cryptage balèze...Encore une fois,MicroSoft va perdre beaucoup de l'argent qu'il prend dans vos poche,car beaucoup de gens n'utiliseront plus un logiciel avec une backDoor
vu que dans à peu près tous les pays, les éditeurs de logiciels sont obligés de coopérer avec les autorités, je ne vois pas vers quel concurrent les utilisateurs de Skype (qui n'ont rien à se reprocher) voudraient se précipiter
au final, si c'est pour migrer vers une solution open source peu connue et pleine de failles de sécurité et que tout le monde peut écouter les communications sans le moindre mandat, quelle excellente idée!
Il n'est plus possible de commenter cette actualité
Vous devez être connecté ou vous inscrire en haut pour pouvoir participer aux commentaires.
-
Bing Translator parle Klingon
(13)
HIjol -
Les jeux sur Google+, c'est fini
(46)
Facebook m'a tuer -
Nouveau Google Maps : demandez votre invitation
(12)
Moi, moi, moi !!! -
Google I/O 2013 : suivez la keynote en direct, de 18h à 21h
(20)
Nous, on a déjà prévu l'apéro cahuètes
-
Adhérents Fnac : tous les 100 € d'achat, 15 € en chèque-cadeau
Valable jusqu'au 23 mai -
Un portable tactile Lenovo Yoga 11 pour 361,58 €
Valable jusqu'au 20 mai -
8 Go de DDR3 Kingston HyperX à 1600 MHz pour 49,99 €
Valable jusqu'au 27 mai -
Une tablette ASUS ME400C et un clavier Microsoft Wedge pour 399,90 €
Valable jusqu'au 20 mai
