Skype : Des millions d'utilisateurs traqués sur BitTorent

Publié le Samedi 22 Octobre 2011 à 09:45
skype,  facebook, accord, partenariat, accord, integration, skype5, mobile,  smartphone, iphone, android, voip, app, application, appstore, android  market, samsung, galaxy s, galaxy spica, Clubic - « Je sais où vous êtes et ce que vous partagez ». C'est le titre d'une étude menée par des chercheurs de l'Institut Polytechnique de l'Université de New York, en collaboration avec des confrères allemands et français, qui ont démontré comment « exploiter les communications P2P pour s'immiscer dans la vie privée d'individus ».

Skype 5 Logo 132 Mikeklo :
C'est en exploitant une multitude de failles, ou plutôt de faiblesses délibérés, dans la conception des logiciels incriminés, que l'équipe en question a pu déterminer — à grande échelle — la géolocalisation et l'utilisation de BitTorrent de milliers d'internautes par jour.

Une faiblesse inhérente au peer-to-peer : Par nature, un logiciel peer-to-peer met en relation directe deux interlocuteurs, que ce soit pour du téléchargement ou toute autre activité. Leur adresse IP publique transite en clair dans l'entête des paquets qu'ils s'échangent, c'est inhérent au fondement même d'Internet. Or on a tendance à l'oublier, Skype est une solution de voix sur IP (VoIP) reposant sur le pair-à-pair. Le fait que deux interlocuteurs consentants puissent connaitre leurs adresses IP respectives, au moyen d'un simple outil d'analyse réseau, coule de source et n'est donc aucunement un scoop.

Skype : pas farouche ! : Ce que les chercheurs ont découvert et ce qui pose problème avec Skype, c'est qu'il livre votre adresse IP au premier venu. Que vous soyez connecté à votre compte ou non, à condition toutefois de l'avoir utilisé au cours des dernières 72 heures, que vous rejetiez par défaut les appels d'inconnus ou non, votre client logiciel ou les serveurs de Skype renvoient systématiquement un paquet, et donc votre adresse IP (ou à défaut la dernière connue).

L'équipe a dès lors imaginé deux parades. Puisque les paquets échangés sont chiffrés, à l'exception de leurs entêtes qui ne peuvent l'être, elle a fait appel à un lot de volontaires (dont elle connaissait les IP) pour identifier lesquels des nombreux paquets qui convergent vers un client correspondent à l'émission d'un appel et à celui envoyé en retour. Elle a en outre découvert comment solliciter le correspondant sans qu'il ne s'en aperçoive, simplement en bloquant les paquets TCP qui déclenchent la sonnerie.

Il ne lui restait alors plus qu'à piocher au hasard dans la liste des utilisateurs, qui est publique, pour obtenir à l'aide d'un script exploitant l'API de Skype un grand nombre d'adresse IP et les éléments publics des profils correspondants (potentiellement le nom, l'âge, le sexe…).