Skype est certainement l’application qui a le plus de succès, une application quasi virale ! Une application apparemment sans danger et un moyen peu cher de faire des appels. Si Skype “traîne” à l’intérieur de votre compagnie, sur la partie “trusted” de votre firwall: Attention ! Oui, de plus en plus de gens voient cela comme un souci de sécurité, surtout si Skype se déploie d’une manière incontrôlée. Skype utilise une architecture P2P passablement agressive qui est difficile à détectée. Une forte encryption propriétaire qui n’est pas basée sur SIP (Session Initiation Protocol).Mais est-ce un réel problème ? Skype ouvre son propre tunnel encrypté en sortant du réseau. Il peut établir des appels dont le contenu est inconnu, transférer des fichiers, ce qui est donc un risque tout comme ses propres vulnérabilités. Mais il faut aussi remarquer que beaucoup de compagnies utilisent Skype avec succès, dans ces cas là Skype est “proxié”, ce qui le sécurise dans ses actions asociales.
Creuser son tunnel !
C’est un outil intelligent quand il s’agit d’éviter la détection sur la couche réseau. Il utilise différents ports pour établir ses appels, ce qui rend le blocage conventionnel des ports difficile à mettre en place. Si plusieurs clients Skype sont en fonction en même temps sur le même réseaux, différents ports simultanés peuvent être utilisés. En fait, peu de choses sont facilement prévisibles avec Skype. La taille des paquets employés dans un flux de donnée varie entre 115 et 190 bytes et puis l’espace entre les paquets oscille entre 27 à 40 milli secondes. Le protocole UDP est employé pour l’établissement des appels avec TCP en seconde ligne en cas de problèmes. L’organisation en P2P de Skype révèle des “supernodes”. Ceux-ci aident à l’établissement des appels et un supernode est en fait n’importe quel client Skype qui a assez de bande passante pour gérer l’établissement des appels. Avoir un supernode sur son réseau peut aussi signifier une augmentation forte de l’utilisation de la bande passante ! Les appels sont établis via des numéros de port alloués dynamiquement et au hasard. Le même port peut être utilisé entre deux mêmes utilisateurs pendant un certain temps, mais ensuite les ports sont changés. Un burst de donnée (UDP) est émi lors de l’établissement de l’appel afin de tenter de caché celui-ci, une fois l’appel connecté, le flux de données est encrypté, tout comme le transfert de fichier et le IM.
Vous ne voulez pas Skpye sur votre réseau ?Trois solutions pour ça: bloquer son installation sur le poste de travail. Mais évidemment, il faudra gérer tous les PC pour s’assurer que seulement certains d’entre eux ne tourne pas Skype. (Un contrôle qui peut être cher pour un objectif qui semble simple, sans oublier qu’une version de Skype portable est disponible).Sinon, on fait du proxying. La bonne règle au bon endroit et on coupe Skype entre autre…. Skype est certainement une des applications les plus agressives, elle a tellement d’astuces pour se connecter en couche trois du réseau !La troisième solution est de détecter Skype en temps réel sur la couche trois car les règles du proxy seraient longues, pas évidentes, ce qui signifie que la compagnie doit avoir un département IT solide. Il est aussi dit que lorsque Skype a établi son appel, il est presque impossible de le détecté car il est encrypté comme n’importe quelle application en SSL ou HTTPS. Apparemment lorsque la compagnie Skype est contactée au sujet de l’agressivité de leur application, ceux-ci répondent que Skype assure une connection d’énormément de clients tout en offrant une très bonne sécurité. Qui pourrait leur en vouloir ? Mais cela signifie aussi: c’est ton boulot que de le stopper.
J’ai trouvé un white paper sur Skype ici (comment il fonctionne et comment le sécuriser !), il est réalisé par Blue Coat qui espère vendre sa solution pour se débarasser de Skype ! Un autre document expliquant Skype ici ! (Source: http://www.techworld.com)
