{"id":90,"date":"2007-06-18T02:47:40","date_gmt":"2007-06-17T23:47:40","guid":{"rendered":"http:\/\/www.embargo.ch\/AllBlog\/?p=90"},"modified":"2025-04-10T09:54:08","modified_gmt":"2025-04-10T08:54:08","slug":"skype-aggressif","status":"publish","type":"post","link":"https:\/\/embargo.ch\/AllBlog\/skype-aggressif\/","title":{"rendered":"Skype aggressif ?"},"content":{"rendered":"<p>\n  Skype est certainement l&#8217;application qui a le plus de succ\u00e8s, une application quasi virale ! Une solution apparemment sans danger et un moyen peu co\u00fbteux de passer des appels.<br \/>\n  <strong>Mais si Skype &#8220;tra\u00eene&#8221; \u00e0 l\u2019int\u00e9rieur de votre entreprise, sur la partie &#8220;trusted&#8221; de votre firewall : attention !<\/strong> De plus en plus de sp\u00e9cialistes consid\u00e8rent cela comme un vrai probl\u00e8me de s\u00e9curit\u00e9, surtout si Skype se d\u00e9ploie de mani\u00e8re incontr\u00f4l\u00e9e. Il utilise une architecture P2P assez agressive et difficile \u00e0 d\u00e9tecter, ainsi qu\u2019un chiffrement propri\u00e9taire qui n\u2019est pas bas\u00e9 sur le protocole SIP (Session Initiation Protocol).\n<\/p>\n<p>\n  <strong>Mais est-ce un r\u00e9el probl\u00e8me ?<\/strong> Skype cr\u00e9e son propre tunnel chiffr\u00e9 vers l\u2019ext\u00e9rieur du r\u00e9seau. Il peut \u00e9tablir des appels dont le contenu est inconnu, transf\u00e9rer des fichiers \u2014 autant de risques potentiels \u2014 sans parler de ses vuln\u00e9rabilit\u00e9s intrins\u00e8ques. Cela dit, de nombreuses entreprises l&#8217;utilisent avec succ\u00e8s. Dans ces cas-l\u00e0, Skype est &#8220;proxi\u00e9&#8221;, ce qui limite ses comportements probl\u00e9matiques.\n<\/p>\n<h3>Creuser son tunnel !<\/h3>\n<p>\n  Skype est un outil intelligent quand il s&#8217;agit d\u2019\u00e9chapper \u00e0 la d\u00e9tection r\u00e9seau. Il utilise diff\u00e9rents ports pour \u00e9tablir ses connexions, rendant le blocage conventionnel compliqu\u00e9. Si plusieurs clients Skype fonctionnent simultan\u00e9ment sur le m\u00eame r\u00e9seau, ils peuvent employer diff\u00e9rents ports en parall\u00e8le.\n<\/p>\n<p>\n  En r\u00e9alit\u00e9, peu de choses sont pr\u00e9visibles avec Skype : la taille des paquets varie entre 115 et 190 bytes, l\u2019intervalle entre les paquets oscille entre 27 et 40 millisecondes. Le protocole UDP est utilis\u00e9 pour \u00e9tablir les appels, avec le TCP en second recours si n\u00e9cessaire.\n<\/p>\n<p>\n  L&#8217;organisation P2P de Skype repose sur des &#8220;supernodes&#8221;, des clients disposant de suffisamment de bande passante pour g\u00e9rer les connexions d\u2019autres utilisateurs. La pr\u00e9sence de supernodes sur un r\u00e9seau peut entra\u00eener une forte augmentation de l\u2019utilisation de la bande passante. Les ports utilis\u00e9s sont attribu\u00e9s dynamiquement et peuvent changer fr\u00e9quemment.\n<\/p>\n<p>\n  Lors de l\u2019\u00e9tablissement d\u2019un appel, un burst de donn\u00e9es UDP est envoy\u00e9 pour masquer l\u2019initiation, puis l\u2019ensemble du flux (voix, transfert de fichiers, messagerie instantan\u00e9e) est chiffr\u00e9.\n<\/p>\n<h3>Vous ne voulez pas de Skype sur votre r\u00e9seau ?<\/h3>\n<p>\n  Trois solutions :\n<\/p>\n<ol>\n<li><strong>Bloquer l&#8217;installation sur les postes<\/strong>. Mais cela suppose un contr\u00f4le rigoureux sur l\u2019ensemble des machines, d\u2019autant plus que des versions portables de Skype existent.<\/li>\n<li><strong>Utiliser un proxy<\/strong>. En configurant des r\u00e8gles pr\u00e9cises, on peut bloquer Skype. Mais cela demande du temps et une bonne connaissance des flux r\u00e9seau, car l&#8217;application sait contourner de nombreux types de filtrages.<\/li>\n<li><strong>D\u00e9tection en temps r\u00e9el sur la couche 3<\/strong>. Cela n\u00e9cessite une infrastructure IT solide, mais c\u2019est la m\u00e9thode la plus efficace, notamment lorsque Skype est d\u00e9j\u00e0 connect\u00e9 \u2014 car \u00e0 ce stade, il est pratiquement ind\u00e9tectable, comme toute application chiffr\u00e9e (SSL\/HTTPS).<\/li>\n<\/ol>\n<p>\n  Lorsqu&#8217;on interroge la soci\u00e9t\u00e9 Skype sur l&#8217;agressivit\u00e9 de son application, elle r\u00e9pond qu\u2019elle permet de connecter des millions de clients tout en assurant un haut niveau de s\u00e9curit\u00e9. Difficile de leur reprocher cela\u2026 mais cela signifie aussi : <strong>\u00e0 vous de g\u00e9rer le probl\u00e8me !<\/strong>\n<\/p>\n<p>\n  Un <a href=\"http:\/\/www.bluecoat.com\/downloads\/whitepapers\/BCS_controlling_skype_wp.pdf\" target=\"_blank\" rel=\"noopener\">white paper de Blue Coat<\/a> (qui vend des solutions pour contr\u00f4ler Skype) explique comment Skype fonctionne et comment le s\u00e9curiser. Un autre document technique est disponible <a href=\"http:\/\/www1.cs.columbia.edu\/~library\/TR-repository\/reports\/reports-2004\/cucs-039-04.pdf\" target=\"_blank\" rel=\"noopener\">ici, sur le site de l\u2019universit\u00e9 Columbia<\/a>.\n<\/p>\n<p><em>(Source : <a href=\"http:\/\/www.techworld.com\" target=\"_blank\" rel=\"noopener\">Techworld<\/a>)<\/em><\/p>\n<!-- AddThis Advanced Settings generic via filter on the_content --><!-- AddThis Share Buttons generic via filter on the_content -->","protected":false},"excerpt":{"rendered":"<p>Skype est certainement l&#8217;application qui a le plus de succ\u00e8s, une application quasi virale ! Une solution apparemment sans danger et un moyen peu co\u00fbteux de passer des appels. Mais si Skype &#8220;tra\u00eene&#8221; \u00e0 l\u2019int\u00e9rieur de votre entreprise, sur la partie &#8220;trusted&#8221; de votre firewall : attention ! De plus en plus de sp\u00e9cialistes consid\u00e8rent [&hellip;]<!-- AddThis Advanced Settings generic via filter on get_the_excerpt --><!-- AddThis Share Buttons generic via filter on get_the_excerpt --><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4],"tags":[],"class_list":["post-90","post","type-post","status-publish","format-standard","hentry","category-techno-gadget"],"_links":{"self":[{"href":"https:\/\/embargo.ch\/AllBlog\/wp-json\/wp\/v2\/posts\/90","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/embargo.ch\/AllBlog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/embargo.ch\/AllBlog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/embargo.ch\/AllBlog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/embargo.ch\/AllBlog\/wp-json\/wp\/v2\/comments?post=90"}],"version-history":[{"count":2,"href":"https:\/\/embargo.ch\/AllBlog\/wp-json\/wp\/v2\/posts\/90\/revisions"}],"predecessor-version":[{"id":1963,"href":"https:\/\/embargo.ch\/AllBlog\/wp-json\/wp\/v2\/posts\/90\/revisions\/1963"}],"wp:attachment":[{"href":"https:\/\/embargo.ch\/AllBlog\/wp-json\/wp\/v2\/media?parent=90"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/embargo.ch\/AllBlog\/wp-json\/wp\/v2\/categories?post=90"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/embargo.ch\/AllBlog\/wp-json\/wp\/v2\/tags?post=90"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}