Skype est l’un des services de chat vocal et vidéo les plus anciens et les plus populaires sur Internet. En mars 2020, Microsoft a révélé que Skype comptait 40 millions d’utilisateurs actifs quotidiens. Bien que de nombreux concurrents aient fait surface, Skype reste populaire dans le monde entier.
Alors, est-ce sûr ? Est-il privé ? À quoi les utilisateurs de Skype doivent-ils faire attention lorsqu’ils passent des appels et envoient des messages ? Je vais répondre à toutes ces questions dans cet article. Je couvrirai principalement les applications Skype standard et non Skype for Business.
Collecte de données par Microsoft
Microsoft a acquis Skype en 2011, de sorte que Skype partage une politique de confidentialité avec tous les autres produits Microsoft grand public. Un compte Microsoft est nécessaire pour utiliser Skype. Malheureusement, cela rend les pratiques de collecte de données de Skype très opaques. Skype n’est même pas mentionné explicitement dans la déclaration de confidentialité de Microsoft, et cette déclaration ne précise même pas quelles informations sont collectées.
Cela étant dit, nous pouvons interpréter la déclaration de confidentialité pour déduire certaines des données que Microsoft collecte sur les utilisateurs de Skype.
Un profil Skype se compose de :
- Photo de profil
- Nom d’utilisateur
- Mot de passe
- Adresse électronique
- Lieu
- Date de naissance
- Liste de contacts
Si vous utilisez Skype pour appeler des téléphones, alors Microsoft vous demandera également vos informations de paiement.
Microsoft enregistre également les interactions des utilisateurs, qui peuvent inclure :
- Qui vous appelez
- Heure et durée des appels
- Historique de la conversation
- Fichiers envoyés et reçus
- Numéros de téléphone appelés
- Statut de l’activité
Microsoft dit obtenir également des données sur les utilisateurs auprès de tiers, ce qui peut inclure des courtiers en données.
Microsoft utilise les données personnelles pour la publicité ciblée, la personnalisation, la recherche et le développement, et pour améliorer ses produits. Vos données sont partagées avec les sociétés affiliées, les filiales et les fournisseurs de Microsoft. Il peut également remettre vos données en réponse à une demande légale.
Vous pouvez gérer certaines mais pas toutes les données que Microsoft possède sur vous en utilisant son tableau de bord de confidentialité en ligne.
Discoverability
Skype par défaut rend les utilisateurs faciles à trouver grâce à la fonction de recherche. Si vous ne souhaitez pas apparaître dans les résultats de recherche ou les recommandations, vous pouvez désactiver cette option dans les paramètres de votre profil.
Configurer 2FA
Microsoft offre à tous les titulaires de compte la possibilité de configurer une authentification à deux facteurs. Je recommande vivement de le faire, car c’est un excellent moyen de dissuasion pour les pirates potentiels.
L’authentification à deux facteurs, également appelée vérification en deux étapes, vous oblige à saisir un code à usage unique envoyé par courriel, SMS ou application d’authentification, en plus de votre mot de passe.
Vous pouvez également choisir de vous connecter avec une clé de sécurité, qui se présente généralement sous la forme d’un périphérique USB qui doit être branché lors de la connexion à votre compte.
Enregistrement des appels
Les participants aux appels entre utilisateurs Skype peuvent enregistrer leurs appels et les stocker sur les serveurs de Microsoft pendant 30 jours maximum. Il s’agit d’une fonctionnalité intégrée. Pendant cette période, ils peuvent télécharger la vidéo pour l’utiliser comme ils le souhaitent. Tous les participants seront avertis si un appel est en cours d’enregistrement. Le partage d’écran est également enregistré.
Cryptage
Skype n’utilise pas de cryptage de bout en bout par défaut. Cela signifie que chaque message, appel et fichier peut être vu par Microsoft.
Mais depuis 2018, Skype offre un cryptage de bout en bout si vous utilisez la fonction » Conversation privée « . Pour commencer une conversation privée, sélectionnez « Nouvelle conversation privée » dans le menu de composition ou dans le profil du destinataire. Le destinataire recevra une invitation, et tous les appels et messages de cette conversation seront cryptés de bout en bout jusqu’à ce qu’ils soient interrompus. Notez que les utilisateurs ne peuvent participer qu’à une seule conversation privée par appareil à la fois. Vous pouvez basculer la conversation privée vers un autre appareil, mais tout ce qui est envoyé et reçu n’est accessible que sur l’appareil actuellement utilisé.
Par défaut, la voix, la vidéo, le texte et les fichiers envoyés entre utilisateurs Skype sont cryptés, mais uniquement entre votre appareil et les serveurs de Microsoft. Ces données sont décryptées une fois qu’elles atteignent le serveur, ce qui permet à Microsoft de fouiner s’il le souhaite. Compte tenu des antécédents de Microsoft avec la NSA, il est préférable de supposer que rien de ce que vous faites sur Skype ne reste privé.
Pour chaque appel que vous passez, votre client Skype crée une clé de chiffrement AES 256 bits unique pour cette session. Cette clé de session existe tant que la communication se poursuit et pendant une durée déterminée par la suite, selon la société. Lorsque vous passez un appel, Skype transmet la clé de session à la personne que vous appelez et cette clé de session est ensuite utilisée pour chiffrer les messages dans les deux sens. Là encore, il ne s’agit pas d’un cryptage de bout en bout.
Les appels passés entre Skype et des téléphones fixes ou mobiles normaux ne sont pas du tout cryptés. Les messages vocaux sont cryptés lorsque vous les téléchargez, mais ils sont stockés sous forme de fichier non crypté sur votre appareil.
Microsoft pinging URLs
En 2013, une enquête d’Ars Technica a révélé que Skype « analyse régulièrement le contenu des messages à la recherche de signes de fraude, et les responsables de l’entreprise peuvent enregistrer les résultats indéfiniment. Et cela ne peut se produire que si Microsoft peut convertir les messages en forme lisible par l’homme à volonté. »
Une partie de l’enquête qui a vu un chercheur en sécurité créer des URL spécialement conçues qui ont été envoyées sur le système de messagerie instantanée de Skype, contrecarre les affirmations de Skype faites en 2007 selon lesquelles il ne pouvait pas effectuer d’écoutes téléphoniques en raison d’un cryptage fort et de connexions complexes sur le réseau peer-to-peer.
Malware
Skype est la cible de certains types de malwares ainsi qu’un support de distribution pour d’autres types de malwares. Bien que toutes les vulnérabilités de sécurité connues de Skype aient été corrigées, nous allons couvrir ici quelques incidents passés :
En février 2016, des chercheurs de Palo Alto Networks ont révélé qu’un logiciel malveillant appelé T9000 ciblait spécifiquement les utilisateurs de Skype. Une fois installé, le logiciel peut enregistrer les appels vidéo et audio Skype, et les télécharger ainsi que les discussions textuelles sur un serveur. Il y a toutefois un bémol. Même si le logiciel malveillant est installé, l’utilisateur doit donner son autorisation explicite pour qu’il puisse accéder à Skype, bien qu’il masque la demande pour que l’utilisateur ne sache pas qu’il est malveillant. « La victime doit explicitement autoriser le malware à accéder à Skype pour que cette fonctionnalité particulière fonctionne. Cependant, étant donné qu’un processus légitime demande l’accès, l’utilisateur peut autoriser cet accès sans se rendre compte de ce qui se passe réellement. Une fois activé, le logiciel malveillant enregistre les appels vidéo, les appels audio et les messages de discussion « , ont déclaré les chercheurs.
Garder Skype et votre système d’exploitation à jour est le meilleur moyen de prévenir les logiciels malveillants. Un antivirus est également utile.
Spam et phishing
Skype est vieux, ce qui signifie qu’il y a beaucoup de comptes abandonnés. Si un cybercriminel parvient à détourner l’un de ces comptes, il peut l’utiliser pour diffuser des logiciels malveillants et des liens de phishing à toutes les personnes figurant dans la liste de contacts du compte. Ce phénomène est exacerbé par les utilisateurs qui ne vérifient pas leurs contacts et acceptent les demandes d’inconnus.
En 2019, le malware Rietspoof a été diffusé principalement par le biais de spams Skype. Il s’agissait d’un cheval de Troie conçu pour infecter les systèmes afin de pouvoir télécharger des logiciels malveillants plus intrusifs et plus puissants.
En 2016, la société de sécurité F-Secure a révélé que des criminels se faisaient passer pour des fonctionnaires américains et offraient leur aide à des ressortissants suisses pour trouver des informations sur la façon de déposer des demandes de visas pour visiter les États-Unis. Ils incitaient les victimes à télécharger le logiciel malveillant QRAT.
Une règle simple vous évitera d’être un jour victime de spam et de phishing sur Skype : ne cliquez jamais sur des liens ou des pièces jointes non sollicités, en particulier de la part de contacts avec lesquels vous n’avez pas communiqué depuis longtemps.
Skype expose les adresses IP
Les utilisateurs de Skype peuvent comprendre les adresses IP des appelants en listant simplement toutes les connexions TCP vers votre appareil. Cela peut être fait avec une seule commande dans l’Invite de commande Windows, par exemple.
Une adresse IP est une séquence unique de chiffres et de décimales qui identifie un appareil et son emplacement.
Bien qu’une adresse IP en soi puisse ne pas être extrêmement précieuse, elle pourrait être utilisée avec d’autres informations personnelles contre quelqu’un. Une solution de contournement consiste à utiliser un VPN pour cacher votre véritable adresse IP.
TOM Skype
En mars 2013, Jeffrey Knockel, un étudiant diplômé en informatique de l’Université du Nouveau-Mexique, a révélé que la version spéciale de Skype que les utilisateurs chinois sont obligés d’utiliser – connue sous le nom de TOM Skype – permettait au gouvernement chinois de recueillir des informations sur ses utilisateurs, y compris des informations sur leurs convictions politiques, ainsi que de censurer ce qu’ils peuvent se dire.
En mai de la même année, la publication russe bien considérée « Vedomosti » a rapporté que l’agence de sécurité nationale et la police sont en mesure d’écouter les conversations Skype sans même déposer une ordonnance du tribunal.
Alternatives à Skype
Je vais énumérer quelques-unes des nombreuses applications VoIP alternatives de Skype, de la plus sûre à la moins sûre :
- Signal : Si vous n’avez besoin d’appeler qu’une seule personne, Signal est l’option la plus sécurisée qui existe. C’est une appli de messagerie qui privilégie la sécurité et la confidentialité avant tout. Tous les appels et messages sont chiffrés de bout en bout, sauf si l’autre partie utilise des SMS ou MMS normaux. Cependant, elle ne prend en charge que les appels entre deux utilisateurs.
- Facetime : Facetime prend en charge les appels de groupe jusqu’à 32 personnes. C’est l’une des seules apps de vidéoconférence qui offre un cryptage de bout en bout lors d’appels avec plus de deux personnes. Vous aurez cependant besoin d’un iPhone ou iPad plus récent pour l’utiliser. iMessage est utilisé pour les messages texte. Aucune information d’identification n’est stockée par Apple, à l’exception de la personne appelée et des configurations réseau, qui sont conservées pendant 30 jours.
- WhatsApp – Application de messagerie populaire dans le monde entier, WhatsApp utilise le protocole de communication sécurisé de Signal pour chiffrer les appels vocaux et vidéo de bout en bout entre les utilisateurs. Ce n’est pas tout à fait aussi durci que Signal, mais c’est plus pratique. Les messages texte sont chiffrés de la même manière. Jusqu’à quatre personnes peuvent se joindre à un appel vidéo.
- Google Duo : Cette application est disponible pour les smartphones ou dans un navigateur web. Elle crypte tous les appels de bout en bout, de sorte que Google n’a pas accès au contenu des appels. Cependant, Google collecte beaucoup d’autres informations sur les titulaires de comptes. Jusqu’à 12 personnes peuvent se joindre à un appel.
- GoToMeeting, Google Meet et Zoom – Ces services fonctionnent à peu près de la même manière et offrent une sécurité similaire. Ils sont utiles pour les vidéoconférences avec des groupes de personnes plus importants. GoToMeeting est basé sur le Web, ce qui signifie que tout se passe dans votre navigateur Web. Zoom nécessite l’installation d’une application native. Hangouts Meet, la version de Google, fonctionne dans les deux cas. Des codes d’invitation sont envoyés aux participants pour qu’ils se joignent aux appels. L’hôte a un contrôle total sur les privilèges et les autorisations des participants. Le cryptage TLS est utilisé en transit, mais les appels ne sont pas cryptés de bout en bout entre les utilisateurs. GoToMeeting, Google et Zoom ont accès au contenu des appels lorsqu’ils atteignent leurs serveurs.