Techno gadget

Skype aggressif ?

Posted cmartial

Skype est certainement l’application qui a le plus de succès, une application quasi virale ! Une solution apparemment sans danger et un moyen peu coûteux de passer des appels.
Mais si Skype “traîne” à l’intérieur de votre entreprise, sur la partie “trusted” de votre firewall : attention ! De plus en plus de spécialistes considèrent cela comme un vrai problème de sécurité, surtout si Skype se déploie de manière incontrôlée. Il utilise une architecture P2P assez agressive et difficile à détecter, ainsi qu’un chiffrement propriétaire qui n’est pas basé sur le protocole SIP (Session Initiation Protocol).

Mais est-ce un réel problème ? Skype crée son propre tunnel chiffré vers l’extérieur du réseau. Il peut établir des appels dont le contenu est inconnu, transférer des fichiers — autant de risques potentiels — sans parler de ses vulnérabilités intrinsèques. Cela dit, de nombreuses entreprises l’utilisent avec succès. Dans ces cas-là, Skype est “proxié”, ce qui limite ses comportements problématiques.

Creuser son tunnel !

Skype est un outil intelligent quand il s’agit d’échapper à la détection réseau. Il utilise différents ports pour établir ses connexions, rendant le blocage conventionnel compliqué. Si plusieurs clients Skype fonctionnent simultanément sur le même réseau, ils peuvent employer différents ports en parallèle.

En réalité, peu de choses sont prévisibles avec Skype : la taille des paquets varie entre 115 et 190 bytes, l’intervalle entre les paquets oscille entre 27 et 40 millisecondes. Le protocole UDP est utilisé pour établir les appels, avec le TCP en second recours si nécessaire.

L’organisation P2P de Skype repose sur des “supernodes”, des clients disposant de suffisamment de bande passante pour gérer les connexions d’autres utilisateurs. La présence de supernodes sur un réseau peut entraîner une forte augmentation de l’utilisation de la bande passante. Les ports utilisés sont attribués dynamiquement et peuvent changer fréquemment.

Lors de l’établissement d’un appel, un burst de données UDP est envoyé pour masquer l’initiation, puis l’ensemble du flux (voix, transfert de fichiers, messagerie instantanée) est chiffré.

Vous ne voulez pas de Skype sur votre réseau ?

Trois solutions :

  1. Bloquer l’installation sur les postes. Mais cela suppose un contrôle rigoureux sur l’ensemble des machines, d’autant plus que des versions portables de Skype existent.
  2. Utiliser un proxy. En configurant des règles précises, on peut bloquer Skype. Mais cela demande du temps et une bonne connaissance des flux réseau, car l’application sait contourner de nombreux types de filtrages.
  3. Détection en temps réel sur la couche 3. Cela nécessite une infrastructure IT solide, mais c’est la méthode la plus efficace, notamment lorsque Skype est déjà connecté — car à ce stade, il est pratiquement indétectable, comme toute application chiffrée (SSL/HTTPS).

Lorsqu’on interroge la société Skype sur l’agressivité de son application, elle répond qu’elle permet de connecter des millions de clients tout en assurant un haut niveau de sécurité. Difficile de leur reprocher cela… mais cela signifie aussi : à vous de gérer le problème !

Un white paper de Blue Coat (qui vend des solutions pour contrôler Skype) explique comment Skype fonctionne et comment le sécuriser. Un autre document technique est disponible ici, sur le site de l’université Columbia.

(Source : Techworld)

2 thoughts on “Skype aggressif ?

  1. Pingback: www.romanding.ch

  2. je ne peux telephoner sans que me vs me chargiez des sous et je suis abonnée , j,ai payé mon inscription et j,ai meme achweté des crédits que se passe-t-il ..je fonctionne sur corinne florida ou corinne fortin…mot de passe alexis…j,attend votre réponse merci

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.