Une nouvelle preuve que Microsoft lit les conversations sur Skype ?

[farazian]

Bonsoir;

S�curit� : Nouvelle pol�mique autour du logiciel de vid�oconf�rence. Des blogueurs allemands estiment que sous couvert de lutter contre les liens malicieux, Microsoft espionne les conversations.

Nouvelles attaques contre Skype, venues d'un blog sp�cialis� en s�curit� informatique d'Allemagne. L'article, publi� ce mardi, semble d�montrer que Microsoft lit les conversations sur Skype sous couvert de protection contre les malwares.
Le groupe de recherche, au sein de l'�diteur The H, accuse Microsoft d'espionner les utilisateurs de Skype :

<< Toute personne qui utilise Skype consent � ce que l'entreprise lise tout ce qu'elle �crit. Les collaborateurs de The H en Allemagne, chez Heise Security, ont d�couvert que la filiale de Microsoft met de fait ce privil�ge en application. Peu apr�s avoir envoy� des URL HTTPS via le service de messagerie instantan�e, ces URL ont re�u une visite inopin�e en provenance du si�ge de Microsoft � Redmond. >>

Heise Security a men� cette exp�rience suite � une alerte lanc�e par un des lecteurs, qui a observ� le m�me ph�nom�ne. Du "trafic inhabituel" suite � une session de conversation sur Skype.

<< Heise Security a donc reproduit le ph�nom�ne en envoyant deux URL de test, l'une contenant des informations de connexion et l'autre pointant vers un service priv� de partage de fichier h�berg� en ligne. Quelques heures apr�s leurs messages sur Skype, ils ont observ� ceci dans les logs du serveur :
65.52.100.214 -- [30/Apr/2013:19:28:32 +0200]
"HEAD /.../login.html?user=tbtest&password=geheim HTTP/1.1" >>

L'adresse IP correspond bien au si�ge social de Microsoft � Redmond. Cela dit, affirme le blogueur de ZDNet.com Ed Bott, qui a conduit quelques recherches suite � l'article de Heise, "la raison de cette myst�rieuse visite est presque certainement innocente".
"Preuve" trop mince...

Il estime ainsi que l'IP en question est presque � coup s�r interne � l'infrastructure SmartScreen de Microsoft, utilis�e pour d�tecter les URL malicieuses, pouvant conduire au transfert de malwares, de sites de phishing ou de spam. Pour lui, les preuves sont en tous cas trop minces pour lancer une telle accusation.
C�t� Heise cependant, on affirme que cette explication, donn�e en parall�le par Microsoft, n'est pas satisfaisante. Le blog estime qu'il n'est pas habituel de trouver du spam ou du phishing sur des sites en HTTPS, et que Skype laisse souvent passer les pages HTTP, pourtant bien plus risqu�es en th�orie.
En l'�tat, difficile d'en savoir plus. Mais rappelons tout de m�me que Microsoft est r�guli�rement point� du doigt pour sa politique d'utilisation des donn�es transmises et d�clar�es par les utilisateurs sur Skype. La version chinoise du logiciel par exemple, d�velopp�e en partenariat avec TOM Online, serait, selon la publication r�cente d'un �tudiant am�ricain, un nid d'espions.

La situation de la Chine est cependant particuli�re, et rien ne prouve en l'�tat qu'il y ait intervention humaine ou m�me de machines pour "lire" l'int�gralit� des conversations Skype. Microsoft pourrait cependant r�soudre une partie du probl�me en faisant preuve d'un peu plus de transparence, comme l'y exhortent des associations de d�fense des libert�s civiles.
Par La r�daction de ZDNet | Jeudi 16 Mai 2013.