Devant la montée en puissance de nouvelles méthodes de détection et d’éradication des menaces informatiques, les pirates du Web renouvellent sans cesse leur arsenal. Les enfants prodiges sont en première ligne, comme Skype, otage bien malgré lui de cette lutte titanesque.
Un des pires cauchemars des administrateurs de réseaux d’entreprise est l’installation de chevaux de Troie susceptible de contrôler à distance leur parc d’ordinateur, et de s’en servir pour disséminer toutes sortes de menaces et de publicités non sollicitées. Les spécialistes de la sécurité informatique sont de plus en plus vigilants à ce sujet, mais les pirates rivalisent d’ingéniosité pour contourner les protections de plus en plus sophistiquées que les éditeurs d’anti-virus et de pare-feux mettent sur le marché. Les "méchants" ont peut-être trouvé en la VoIP (Voice over Internet Protocol) un allié involontaire.
Skype, par exemple, est en ce moment montré du doigt car il pourrait servir de conduit à des instructions à destination de logiciels espions et autres chevaux de Troie que les ‘’méchants’’ installent sur les machines des ‘’gentils’’. Selon un responsable du Communications Research Network, ‘’la VoIP représente un vecteur potentiel de choix pour la dissimulation d’informations sur Internet. Le trafic qui y transite est en pleine expansion, et les transmissions vocales se font le plus souvent par envoi de paquets de données en apparence totalement aléatoires. Il est difficile d’éradiquer une menace que vous ne voyez pas.’’
En écho, un des plus émérites chercheurs en ce domaine, John Crowcroft, du Marconi Institute de Cambridge, Massachusetts, précise que l’emploi de la bande passante dévolue à la VoIP pour acheminer des instructions vers des programmes espions est un jeu d’enfant. Crowcroft ajoute que la plupart des véritables attaques en déni de service ne sont répertoriées nulle part, ni à l’échelon des réseaux d’entreprise, ni à celui des des firmes de sécurité : lorsque de telles attaques se produisent, elles sont combattues en temps réel, autant que faire se peut, mais le simple fait qu’elles arrivent signifie que la parade a succédé à l’attaque, sans parvenir à l'anticiper…
Le PDG de Communications Research Network, David Cleevely, renchérit : ‘’l’activité criminelle sur Internet devrait faire l’objet de classifications plus sérieuses, notamment par le biais de la création d’une base de données centralisée et uniformisée. Il est important de se souvenir qu’il y a sur le Web plus de ‘gentils’ que de ‘méchants’. Plus les premiers échangeront d’informations sur les menaces auxquelles ils ont été confrontés, plus les seconds auront du souci à se faire.’’
Soit. Mais quid de la réponse du principal accusé ' L’éditeur de Skype, récemment passé dans le giron du géant eBay, réfute le caractère dangereux de sa gestion de bande passante, mais le logiciel s’est forgé une telle réputation de discrétion et de faible consommation de ressources système, et a été adopté par tant d’internautes, qu’il est nécessairement une arme par destination de choix pour les pirates de tous poils.
Skype a été conçu pour des utilisateurs peu au fait des choses de l’informatique : sa facilité d’installation et d’emploi, ainsi que son travail en arrière-plan très discret, ont bâti son succès, mais ont peut-être aussi contribué à en faire un conduit tout trouvé pour l’alimentation des très redoutés ‘’botnets’’, ces réseaux fantômes de PC dont les ‘’méchants’’ se servent pour noyer le monde sous les courriers électroniques non sollicités (le ‘’fameux’’ spam) et les menaces en tout genre.
Chez Skype, on balaye l’argument, en indiquant que la base de clientèle tend à se déplacer vers les versions payantes que sont SkypeOut et SkypeIn, mais que les utilisateurs du programme veulent avant tout pouvoir converser entre eux sans bourse délier ; la popularité de Skype auprès des entreprises, et des administrations et universités, est moins rapide que ne le souhaiterait l’éditeur, notamment en raison du fait que son fonctionnement est plus difficile à restreindre que celui des classiques messageries instantanées. Les éditeurs de pare-feux travaillent activement à une meilleure régulation du travail des applications de téléphonie sur Internet, mais une fois qu’un ou plusieurs ports sont ouverts, ce qui y transite ne peut pas, et ne doit pas, toujours être assimilé à une menace.
En fait, ce que les spécialistes de la sécurité sur Internet reprochent à Skype, c’est d’être unique en son genre : Skype n’a pas eu à adhérer à quelque standard que ce soit en matière de sécurité, puisqu’il est en quelque sorte une application sui generis, et un précurseur, qui plus est.
Le fait que le petit logiciel ait ouvert la voie à d’autres applications au fonctionnement similaire, comme Wengo, ne parvient pas à faire oublier que sa discrétion, qui est sa première qualité, peut aussi devenir son principal défaut. Chez Skype, on est conscient du problème, mais on sait aussi que la VoIP, telle que déclinée par le logiciel luxembourgeois, n’est pas encore parvenue à maturité, et que tant qu’elle sera en mutation, la standardisation ne sera pas à l’ordre du jour.
Maintenant, si les entreprises venaient à adopter Skype en masse, bien entendu…
Un des pires cauchemars des administrateurs de réseaux d’entreprise est l’installation de chevaux de Troie susceptible de contrôler à distance leur parc d’ordinateur, et de s’en servir pour disséminer toutes sortes de menaces et de publicités non sollicitées. Les spécialistes de la sécurité informatique sont de plus en plus vigilants à ce sujet, mais les pirates rivalisent d’ingéniosité pour contourner les protections de plus en plus sophistiquées que les éditeurs d’anti-virus et de pare-feux mettent sur le marché. Les "méchants" ont peut-être trouvé en la VoIP (Voice over Internet Protocol) un allié involontaire.
Skype, par exemple, est en ce moment montré du doigt car il pourrait servir de conduit à des instructions à destination de logiciels espions et autres chevaux de Troie que les ‘’méchants’’ installent sur les machines des ‘’gentils’’. Selon un responsable du Communications Research Network, ‘’la VoIP représente un vecteur potentiel de choix pour la dissimulation d’informations sur Internet. Le trafic qui y transite est en pleine expansion, et les transmissions vocales se font le plus souvent par envoi de paquets de données en apparence totalement aléatoires. Il est difficile d’éradiquer une menace que vous ne voyez pas.’’
En écho, un des plus émérites chercheurs en ce domaine, John Crowcroft, du Marconi Institute de Cambridge, Massachusetts, précise que l’emploi de la bande passante dévolue à la VoIP pour acheminer des instructions vers des programmes espions est un jeu d’enfant. Crowcroft ajoute que la plupart des véritables attaques en déni de service ne sont répertoriées nulle part, ni à l’échelon des réseaux d’entreprise, ni à celui des des firmes de sécurité : lorsque de telles attaques se produisent, elles sont combattues en temps réel, autant que faire se peut, mais le simple fait qu’elles arrivent signifie que la parade a succédé à l’attaque, sans parvenir à l'anticiper…
Le PDG de Communications Research Network, David Cleevely, renchérit : ‘’l’activité criminelle sur Internet devrait faire l’objet de classifications plus sérieuses, notamment par le biais de la création d’une base de données centralisée et uniformisée. Il est important de se souvenir qu’il y a sur le Web plus de ‘gentils’ que de ‘méchants’. Plus les premiers échangeront d’informations sur les menaces auxquelles ils ont été confrontés, plus les seconds auront du souci à se faire.’’
Soit. Mais quid de la réponse du principal accusé ' L’éditeur de Skype, récemment passé dans le giron du géant eBay, réfute le caractère dangereux de sa gestion de bande passante, mais le logiciel s’est forgé une telle réputation de discrétion et de faible consommation de ressources système, et a été adopté par tant d’internautes, qu’il est nécessairement une arme par destination de choix pour les pirates de tous poils.
Skype a été conçu pour des utilisateurs peu au fait des choses de l’informatique : sa facilité d’installation et d’emploi, ainsi que son travail en arrière-plan très discret, ont bâti son succès, mais ont peut-être aussi contribué à en faire un conduit tout trouvé pour l’alimentation des très redoutés ‘’botnets’’, ces réseaux fantômes de PC dont les ‘’méchants’’ se servent pour noyer le monde sous les courriers électroniques non sollicités (le ‘’fameux’’ spam) et les menaces en tout genre.
Chez Skype, on balaye l’argument, en indiquant que la base de clientèle tend à se déplacer vers les versions payantes que sont SkypeOut et SkypeIn, mais que les utilisateurs du programme veulent avant tout pouvoir converser entre eux sans bourse délier ; la popularité de Skype auprès des entreprises, et des administrations et universités, est moins rapide que ne le souhaiterait l’éditeur, notamment en raison du fait que son fonctionnement est plus difficile à restreindre que celui des classiques messageries instantanées. Les éditeurs de pare-feux travaillent activement à une meilleure régulation du travail des applications de téléphonie sur Internet, mais une fois qu’un ou plusieurs ports sont ouverts, ce qui y transite ne peut pas, et ne doit pas, toujours être assimilé à une menace.
En fait, ce que les spécialistes de la sécurité sur Internet reprochent à Skype, c’est d’être unique en son genre : Skype n’a pas eu à adhérer à quelque standard que ce soit en matière de sécurité, puisqu’il est en quelque sorte une application sui generis, et un précurseur, qui plus est.
Le fait que le petit logiciel ait ouvert la voie à d’autres applications au fonctionnement similaire, comme Wengo, ne parvient pas à faire oublier que sa discrétion, qui est sa première qualité, peut aussi devenir son principal défaut. Chez Skype, on est conscient du problème, mais on sait aussi que la VoIP, telle que déclinée par le logiciel luxembourgeois, n’est pas encore parvenue à maturité, et que tant qu’elle sera en mutation, la standardisation ne sera pas à l’ordre du jour.
Maintenant, si les entreprises venaient à adopter Skype en masse, bien entendu…
Source :
TechWorld
