[Toulibre] Skype risques et dangers

Nicolas Fournials nicolas.fournials at free.fr
Sam 25 Déc 23:26:04 CET 2010 

Le 23/12/2010 09:23, alexandre.cabrol at steria.com a écrit :
> lors du QJelt nous avons aussi discuté de skype et notamment en
> entreprise.

J'avais mené quelques recherches à titre perso sur Skype, je vous les
mets ci-dessous si ça peut vous intéresser. Ca me paraissait important
d'avoir de bonnes raisons de refuser ce logiciel alors qu'il possède
tellement d'utilisateurs qu'il est difficile de leur expliquer pourquoi
ils pourraient vouloir changer.
Le plus croustillant et le moins contestable, à mon humble avis, se
trouve dans les extraits de la licence elle-même et de la politique de
confidentialité.



Skype banni des facs françaises par le Haut Fonctionnaire de Défenses de
l'Education nationale
    -> les protocoles sont propriétaires.On ne sait pas trop par où
transitent les informations. Les communications vont sur un réseau que
vous ne contrôlez pas.
       
http://www.01net.com/editorial/289360/skype-banni-des-facs-par-la-securite-nationale/

Sécurité/chiffrage : tout repose sur le secret !
   -> Incompatible avec la liberté du code   

Skype semble fouiller dans votre répertoire personnel de Firefox
    -> Il peut récupérer nom (donc votre tel et adresse via n'importe
quel annuaire), mail et centres d'intérêts (recherche par mots clé dans
vos marque -pages)
        http://blog.philpep.org/search?q=skype

Inclinaison devant le régime chinois
    -> Filiale de Skype en Chine a développé une version modifiée :
filtrage par mots clé (« Tibet », « parti communiste », ...) et
rétention des échanges écrits sans que l'utilisateur ne le sache. La
rétention des échanges a, d'après le président de Skype, été abandonnée.
       
http://www.lexpansion.com/economie/actualite-high-tech/skype-accuse-de-faciliter-l-espionnage-de-ses-utilisateurs-en-chine_164318.html

Skype émettrait des données même lorsqu'il est éteint
    -> Backdoor ?

Contournement des sécurités mises en place
    -> Les données transitant par Skype sont encapsulées dans HTTP (très
difficile à détecter pour les admins réseau)
    -> Fonctionnalités de scanneurs de ports pour contournement de
pare-feu et NAT
    -> Les fonctionnalités de Skype vont bien au dela de celles visibles
=> détournements potentiels très dangereux ! (lancement d'applications à
distance démontré)
       
http://www.01net.com/editorial/289360/skype-banni-des-facs-par-la-securite-nationale/
        http://www.secuobs.com/news/13032006-skype_blackhat.shtml
        Biondi P., Desclaux F. "Silver Needle in the Skype", EADS
Corporate Research Center, 2006-03-02 to 2006-03-03


*Contrat de Licence Skype*
NDLR : Ci-dessous, quelques articles remarquables tirés de la licence !

    3.2.4 Licence : vous accordez par les présentes à Skype une licence
non exclusive, *mondiale*, *perpétuelle*, *irrévocable*, *hors-droits*,
*sous-licenciable* et transférable pour l'utilisation du contenu
[Contenu : désigne tout contenu constitué de texte, de sons, d'images,
de photos, de vidéos et/ou tout type d'informations ou de
communications. ] sur tout support en rapport avec le logiciel Skype,
les produits Skype et le site Web Skype.
    3.2.5 Suppression de contenu : Skype se réserve le droit (mais
n'assume aucune obligation en la matière) de décider si un contenu que
vous utilisez est conforme au présent contrat et à des conditions
générales supplémentaires quelles qu'elles soient. *Skype peut, à sa
seule discrétion, à tout moment et sans préavis, supprimer ledit
contenu* et/ou résilier le présent contrat et votre compte utilisateur
si vous utilisez un contenu enfreignant le présent contrat et/ou des
conditions générales supplémentaires quelles qu'elles soient.
    4.5 Restrictions d'exportation : le logiciel Skype peut être
astreint à des réglementations internationales régissant l'exportation
des logiciels. Vous vous engagez à respecter toutes les lois
internationales et nationales en vigueur applicables au logiciel Skype
ainsi que toutes les restrictions imposées par les gouvernements
étrangers concernant les utilisateurs finaux, les utilisations finales
et les pays destinataires. Ce logiciel est régi par la convention ECCN
5D992.b.1 de la loi Export Administration Regulations (« EAR ») en
vigueur aux États-Unis (CCATS n° G047973) et ne peut à ce titre être
exporté ou réexporté vers, ou téléchargé dans un pays considéré comme
favorable au terrorisme international en vertu de l'EAR (Iran, Corée du
Nord, Cuba, Syrie et Soudan). EAR 742.15(a), Section 15 Code of Federal
Regulations. De plus, le logiciel ne peut être exporté, réexporté à
destination ou encore téléchargé par toute personne ou entité où
qu'elles soient, faisant l'objet d'une interdiction aux États-Unis. Voir
http://www.bis.doc.gov/ComplianceAndEnforcement/ListsToCheck.htm  and
EAR Part 736. Skype vous permet de télécharger ce logiciel uniquement si
vous apportez la garantie que vous ne faites pas partie de ces personnes
ou entités et que le téléchargement n'enfreint d'aucune façon les
réglementations en matière de contrôle et de sanctions de l'exportation
en vigueur aux États-Unis.
    5.2 Résiliation : [...] Skype pourra limiter, suspendre ou résilier
cette licence ainsi que votre utilisation du logiciel Skype, interdire
l'accès au site Web Skype et supprimer votre compte d'utilisateur et/ou
votre pseudo, avec effet immédiat, automatiquement et sans recours
possible, si nous estimons [...] que vous commettez des actes
frauduleux, immoraux ou illicites [...]
    5.4 Nouvelles versions : Skype se réserve le droit de modifier à
tout moment le présent contrat en publiant le contrat révisé sur le site
Web Skype. Le contrat révisé entrera en vigueur dans les trente (30)
jours suivant sa publication sur le site Web, à moins que vous
n'acceptiez expressément le contrat révisé avant cela en cliquant sur le
bouton J'accepte. En marquant votre accord ou en continuant d'utiliser
le logiciel Skype après l'expiration de ladite période de trente (30)
jours, vous indiquez que vous acceptez les conditions générales du
contrat révisé. La dernière version de ce contrat est affichée sur
http://www.skype.com/intl/fr/company/legal/eula. Skype se réserve le
droit de modifier à tout moment les présentes conditions générales
supplémentaires. Ces modifications seront réputées effectives trente
(30) jours après la publication de la version révisée sur le site Web
Skype (sauf acceptation expresse des conditions révisées en cliquant le
cas échéant sur le bouton J'accepte) ou dans les délais précisés dans
les conditions applicables.

       
POLITIQUE DE CONFIDENTIALITÉ DE SKYPE :

NDLR : A lire dans son intégralité... La modification de la politique de
confidentialité est valable sous 30 jours, comme le contrat de licence.

       Extrait choisi :
    2. QUELLES SONT LES INFORMATIONS UTILISÉES PAR SKYPE ?
    (a) Données d'identification (par exemple, le nom, l'adresse, le
numéro de téléphone fixe, le numéro de téléphone mobile, l'adresse e-mail)
    (b) Informations sur le profil (par exemple, l'âge, le sexe, le pays
de résidence [...]
    (c) Données d'identification électronique (par exemple, adresses IP,
cookies) ;
    (d) Informations bancaires et de paiement (informations sur la carte
de crédit, numéro de compte) ;
    [...]
    (o) Contenu des discussions sur Skype pour votre mobile (veuillez
consulter la section 13).
    (p) Informations (telles que les informations démographiques) reçues
de sociétés tierces.

sources
        http://www.skype.com/intl/fr/legal/eula
        http://www.skype.com/intl/fr/legal/privacy/general/
-------------- section suivante --------------
Une pièce jointe HTML a été nettoyée...
URL: <http://toulibre.org/pipermail/toulouse-ll/attachments/20101225/26c978f7/attachment.html>

Plus d'informations sur la liste de diffusion Toulouse-ll