C’est le blog Allemand de The H, un blog spécialisé dans la sécurité informatique qui vient d’annoncer avoir découvert des preuves indiquant que Microsoft serait susceptible d’accéder et de lire les conversations de Skype.
C’est un lecteur du blog qui avait attiré l’attention des experts en sécurité, après avoir constaté un trafic inhabituel sur son site juste après une conversation Skype.
Pour s’en assurer, Heise Security a renouvellé plusieurs fois le test, utilisant des URL HTTPS sécurisées dans des échanges de messages sur Skype, allant jusqu’à indiquer des informations de login et des URL pointant vers des espaces Cloud privés potentiellement inaccessibles au cours d’une visite « hasardeuse ».
Résultat sur le log du site partagé dans la messagerie Skype :
65.52.100.214 - - [30/Apr/2013:19:28:32 +0200]
"HEAD /.../login.html?user=tbtest&password=geheim HTTP/1.1"
Les deux sites ont reçu la visite dont l’IP est enregistrée auprès de Microsoft à Redmond.
Questionné sur le sujet, Skype a indiqué qu’il s’agissait là d’une pratique décrite dans sa politique de sécurisation des données :
« Skype peut procéder à des scans automatiques de la messagerie instantanée et SMS pour identifier du Spam et/ou identifier des URL qui ont déjà été précédemment identifiées comme du spam, frauduleuses, ou liens de Phishing. »
Malheureusement, il est difficile de croire que de tels sites soient concernés par les URL en HTTPS qui impliquent des données sécurisées. D’autant qu’il apparaîtrait que les URL partagées en HTTP simple ne sont pas autant vérifiées sur celles en HTTPS par Skype.
Néanmoins, les preuves sont actuellement insuffisantes pour établir si Microsoft effectue une collecte de ces informations et si les visites sont clairement établies dans le but d’accéder à des données personnelles. Encore plus difficile à établir, la possible vente de ces informations auprès d’annonceurs ou autres partenaires.
