Blog

Skype est-il sûr et sécurisé ? Quelles sont les alternatives ?

Sécurité Skype



Skype est l'un des services de chat vocal et vidéo les plus anciens et les plus populaires sur Internet. En mars 2020, Microsoft a révélé que Skype comptait 40 millions d'utilisateurs actifs quotidiens. Même si de nombreux concurrents ont fait leur apparition, Skype reste populaire dans le monde entier.

Alors, est-ce sécuritaire ? Est-ce privé ? À quoi les utilisateurs de Skype doivent-ils être conscients lorsqu'ils passent des appels et envoient des messages ? Je répondrai à toutes ces questions dans cet article. Je couvrirai principalement les applications Skype standard et non Skype Entreprise.



Collecte de données Microsoft

Microsoft a acquis Skype en 2011, Skype partage donc une politique de confidentialité avec tous les autres produits Microsoft grand public. Un compte Microsoft est requis pour utiliser Skype. Malheureusement, cela rend les pratiques de collecte de données de Skype très opaques. Skype n'est même pas mentionné explicitement dans Déclaration de confidentialité de Microsoft , et cette déclaration ne précise même pas quelles informations sont collectées.

Cela étant dit, nous pouvons interpréter la déclaration de confidentialité pour déduire certaines des données que Microsoft collecte sur les utilisateurs de Skype.



paramètres Skype

Un profil Skype se compose de :

  • Image de profil
  • Nom d'utilisateur
  • Mot de passe
  • Adresse e-mail
  • Emplacement
  • Date de naissance
  • Liste de contacts

Si vous utilisez Skype pour appeler des téléphones, Microsoft aura également besoin de vos informations de paiement.

Microsoft enregistre également les interactions des utilisateurs, qui peuvent inclure :

  • Qui tu appelles
  • Heure et durée des appels
  • Historique des discussions
  • Fichiers envoyés et reçus
  • Numéros de téléphone appelés
  • Statut d'activité

Microsoft affirme obtenir également des données sur les utilisateurs auprès de tiers, qui peuvent inclure des courtiers en données.

Microsoft utilise les données personnelles à des fins de publicité ciblée, de personnalisation, de recherche et développement et pour améliorer ses produits. Vos données sont partagées avec les sociétés affiliées, filiales et fournisseurs de Microsoft. Il peut également transmettre vos données en réponse à une demande légale.

Vous pouvez gérer certaines, mais pas toutes, les données que Microsoft possède sur vous à l'aide de son tableau de bord de confidentialité en ligne.

Découvrabilité

Skype par défaut permet aux utilisateurs de trouver facilement grâce à la fonction de recherche. Si vous ne souhaitez pas apparaître dans les résultats de recherche ou dans les recommandations, vous pouvez désactiver cette option dans les paramètres de votre profil.

visibilité sur Skype

Configurer 2FA

microsoft 2fa

Microsoft offre à tous les titulaires de compte la possibilité de configurer une authentification à deux facteurs. Je recommande fortement de le faire, car c’est un excellent moyen de dissuasion pour les pirates informatiques potentiels.

L'authentification à deux facteurs, également appelée vérification en deux étapes, vous oblige à saisir un code à usage unique envoyé par e-mail, SMS ou application d'authentification, en plus de votre mot de passe.

Vous pouvez également choisir de vous connecter avec une clé de sécurité, qui se présente généralement sous la forme d'un périphérique USB qui doit être branché lors de la connexion à votre compte.

Enregistrement d'appel

Les participants aux appels Skype à Skype peuvent enregistrer leurs appels et les stocker sur les serveurs Microsoft pendant 30 jours maximum. Il s'agit d'une fonctionnalité intégrée. Pendant ce temps, ils peuvent télécharger la vidéo et l’utiliser à leur guise. Tous les participants seront alertés si un appel est enregistré. Le partage d'écran est également enregistré.

Chiffrement

Skype n'utilise pas le cryptage de bout en bout par défaut. Cela signifie que chaque message, appel et fichier peut être consulté par Microsoft.

Mais depuis 2018, Skype propose un cryptage de bout en bout si vous utilisez la fonctionnalité « Conversation privée ». Pour démarrer une conversation privée, sélectionnez « Nouvelle conversation privée » dans le menu de rédaction ou dans le profil du destinataire. Le destinataire recevra une invitation et tous les appels et messages de cette conversation seront cryptés de bout en bout jusqu'à leur fin. Notez que les utilisateurs ne peuvent participer qu'à une seule conversation privée par appareil à la fois. Vous pouvez basculer la conversation privée vers un autre appareil, mais tout ce qui est envoyé et reçu n'est accessible que sur l'appareil actuellement utilisé.

Par défaut, la voix, la vidéo, le texte et les fichiers envoyés entre les utilisateurs Skype sont cryptés, mais uniquement entre votre appareil et les serveurs Microsoft. Ces données sont décryptées une fois qu'elles atteignent le serveur, permettant à Microsoft de fouiner s'il le souhaite. Compte tenu de l’histoire de Microsoft avec la NSA, il est préférable de supposer que rien de ce que vous faites sur Skype ne reste privé.

Pour chaque appel que vous passez, votre client Skype crée une clé de cryptage AES 256 bits unique pour cette session. Cette clé de session existe tant que la communication se poursuit et pendant une durée déterminée par la suite, selon l'entreprise. Lorsque vous passez un appel, Skype transmet la clé de session à la personne que vous appelez et cette clé de session est ensuite utilisée pour crypter les messages dans les deux sens. Encore une fois, il ne s’agit pas d’un cryptage de bout en bout.

Les appels passés entre Skype et des téléphones fixes ou mobiles normaux ne sont pas du tout cryptés. Les messages vocaux sont cryptés lorsque vous les téléchargez, mais ils sont stockés sous forme de fichier non crypté sur votre appareil.

Microsoft pingant les URL

En 2013, une enquête d'Ars Technica a révélé que Skype « analyse régulièrement le contenu des messages à la recherche de signes de fraude, et les dirigeants de l'entreprise peuvent enregistrer les résultats indéfiniment. Et cela ne peut se produire que si Microsoft peut convertir à volonté les messages sous une forme lisible par l’homme.

Une partie de l'enquête qui a vu un chercheur en sécurité créer des URL spécialement conçues qui ont été envoyées via le système de messagerie instantanée de Skype, contredit les affirmations de Skype faites en 2007 selon lesquelles il ne pouvait pas procéder à des écoutes téléphoniques en raison d'un cryptage fort et de connexions réseau peer-to-peer complexes.

Logiciel malveillant

Skype est ciblé par certains types de logiciels malveillants et constitue également un support de distribution pour d'autres types de logiciels malveillants. Bien que toutes les failles de sécurité connues dans Skype aient été corrigées, nous aborderons ici quelques incidents passés :

En février 2016, des chercheurs de Palo Alto Networks ont révélé qu'un logiciel malveillant appelé T9000 ciblait spécifiquement les utilisateurs de Skype. Une fois installé, le logiciel peut enregistrer des appels vidéo et audio Skype et les télécharger avec des discussions textuelles sur un serveur. Il y a cependant une mise en garde. Même avec le malware installé, l’utilisateur doit toujours donner une autorisation explicite pour accéder à Skype, bien que cela masque la demande afin que l’utilisateur ne sache pas qu’il est malveillant. « La victime doit explicitement autoriser le malware à accéder à Skype pour que cette fonctionnalité particulière fonctionne. Cependant, puisqu'un processus légitime demande l'accès, l'utilisateur peut autoriser cet accès sans se rendre compte de ce qui se passe réellement. Une fois activé, le malware enregistrera les appels vidéo, les appels audio et les messages de chat », ont indiqué les chercheurs.

Garder Skype et votre système d'exploitation à jour est le meilleur moyen de prévenir les logiciels malveillants. L'antivirus est également utile.

Spam et phishing

Skype est ancien, ce qui signifie qu'il existe de nombreux comptes abandonnés. Si un cybercriminel parvient à pirater l’un de ces comptes, il peut l’utiliser pour diffuser des logiciels malveillants et des liens de phishing à toutes les personnes figurant dans la liste de contacts du compte. Ceci est exacerbé par le fait que les utilisateurs ne vérifient pas leurs contacts et n’acceptent pas les demandes d’étrangers.

En 2019, le Malware de droite s'est propagé principalement via le spam Skype. Il s’agissait d’un cheval de Troie conçu pour infecter les systèmes afin de pouvoir télécharger des logiciels malveillants plus intrusifs et plus puissants.

Entreprise de sécurité F-Secure en 2016 révélé que des criminels se faisaient passer pour des fonctionnaires américains offrant de l'aide aux ressortissants suisses pour obtenir des informations sur la procédure à suivre pour demander un visa pour visiter les États-Unis. Ils ont incité les victimes à télécharger le malware QRAT.

Une règle simple vous évitera d’être victime de spam et de phishing sur Skype : ne cliquez jamais sur des liens ou des pièces jointes non sollicités, notamment ceux provenant de contacts avec lesquels vous n’avez pas communiqué depuis un certain temps.

Skype expose les adresses IP

Les utilisateurs de Skype peuvent connaître les adresses IP des appelants en répertoriant simplement toutes les connexions TCP à votre appareil. Cela peut être fait avec une seule commande dans l'invite de commande Windows, par exemple.

Une adresse IP est une séquence unique de chiffres et de décimales qui identifie un appareil et son emplacement.

Même si une adresse IP en elle-même n’a pas une grande valeur, elle peut être utilisée avec d’autres informations personnelles contre quelqu’un. Une solution de contournement consiste à utiliser un VPN pour masquer votre véritable adresse IP.

TOM Skype

En mars 2013, Jeffrey Knockel, étudiant diplômé en informatique à l'Université du Nouveau-Mexique, a révélé que la version spéciale de Skype que les utilisateurs chinois sont obligés d'utiliser – connue sous le nom de TOM Skype – permettait au gouvernement chinois de recueillir des informations sur ses réseaux sociaux. les utilisateurs incluent des informations sur leurs convictions politiques et censurent ce qu'ils peuvent se dire.

En mai de la même année, la célèbre publication russe « Vedomosti » rapportait que l'agence de sécurité nationale et la police étaient en mesure d'écouter des conversations Skype sans même déposer une ordonnance du tribunal.

Alternatives à Skype

Je vais énumérer quelques-unes des nombreuses applications VoIP alternatives de Skype, de la plus sécurisée à la moins sécurisée :

  • Signal: Si vous n’avez besoin d’appeler qu’une seule personne, Signal est l’option la plus sécurisée du marché. Il s’agit d’une application de messagerie qui donne avant tout la priorité à la sécurité et à la confidentialité. Tous les appels et messages sont cryptés de bout en bout, sauf si l'autre partie utilise des messages texte SMS ou MMS normaux. Cependant, il ne prend en charge que les appels entre deux utilisateurs.
  • Facetime: Facetime prend en charge les appels de groupe jusqu'à 32 personnes. C’est l’une des seules applications de visioconférence à proposer un cryptage de bout en bout lors d’appels avec plus de deux personnes. Vous aurez cependant besoin d’un iPhone ou d’un iPad plus récent pour l’utiliser. iMessage est utilisé pour les messages texte. Aucune information d'identification n'est stockée par Apple, à l'exception de la personne appelée et des configurations réseau, qui sont conservées pendant 30 jours.
  • WhatsApp– Application de messagerie populaire dans le monde entier, WhatsApp utilise le protocole de communication sécurisé de Signal pour crypter les appels vocaux et vidéo de bout en bout entre les utilisateurs. Ce n’est pas aussi dur que le signal, mais c’est plus pratique. Les messages texte sont cryptés de la même manière. Jusqu'à quatre personnes peuvent rejoindre un appel vidéo.
  • Google Duo: Cette application est disponible pour les smartphones ou dans un navigateur Web. Il crypte tous les appels de bout en bout afin que Google n'ait pas accès au contenu des appels. Cependant, Google collecte de nombreuses autres informations sur les titulaires de comptes. Jusqu'à 12 personnes peuvent rejoindre un appel.
  • GoToMeeting, Google Meet, etZoom– Ces services fonctionnent à peu près de la même manière et offrent une sécurité similaire. Ils sont utiles pour les vidéoconférences avec des groupes plus importants de personnes. GoToMeeting est basé sur le Web, ce qui signifie que tout se déroule dans votre navigateur Web. Zoom nécessite l'installation d'une application native. Hangouts Meet, la version de Google, fonctionne dans les deux cas. Les codes d'invitation sont envoyés aux participants pour qu'ils rejoignent les appels. L'hôte a beaucoup de contrôle sur les privilèges et autorisations des participants. Le cryptage TLS est utilisé lors du transit, mais les appels ne sont pas cryptés de bout en bout entre les utilisateurs. GoToMeeting, Google et Zoom ont accès au contenu des appels lorsqu'il atteint leurs serveurs.
^