Skype : une faille peut révéler votre adresse IP mais Microsoft n’est pas pressé de la corriger
La version mobile de Skype présente une vulnérabilité permettant à une personne mal intentionnée de récupérer très facilement votre adresse IP, sans action de votre part. Alerté, Microsoft estime que corriger la faille n'est pas urgent.
Vous vous souvenez de Skype ? Mais si, l'application de messagerie instantanée de Microsoft ! En 2017, Skype dépassait le milliard de téléchargements sur le Google Play Store. Avec l'arrivée de Windows 10, l'application s'était même offert un relooking complet. Mais tout ça, c'était avant la venue de Windows 11 qui remplace officiellement la messagerie par Microsoft Teams. Depuis, Skype existe toujours, même si de moins en moins utilisé.
Les chercheurs en cybersécurité n'ont pas pour autant arrêté de l'analyser. Yossi est l'un d'eux. Début août 2023, il découvre une faille de sécurité sur la version mobile de Skype. Elle permet de récupérer l'adresse IP d'un utilisateur simplement en lui envoyant un lien Web. Pas besoin qu'il clique dessus, voir le message suffit. Pire : le lien peut renvoyer à n'importe quel site tout à fait légitime. Inutile pour le pirate de s'embêter à créer une copie infectée.
Une faille de sécurité dans Skype peut révéler votre IP, Microsoft prend son temps pour la corriger
Yossi a bien sûr averti Microsoft. La réponse initiale de l'entreprise peut paraître surprenante : “la divulgation d'une adresse IP n'est pas considérée comme une faille de sécurité en soi”. Mais quel renseignement obtient quelqu'un qui possède votre adresse IP ? Avec, il peut connaître la zone globale dans laquelle vous habitez. Dans une grande ville, il y a moins de risques. Dans une aire moins densément peuplée, on peut plus facilement remonter jusqu'à vous.
Le chercheur le mentionne à Microsoft, en prenant l'exemple des journalistes, activistes, ou des personnes se cachant d'un(e) conjoint(e) violent(e). L’entreprise confirme que “cette soumission ne répond pas à la définition d'une vulnérabilité […] qui nécessiterait une maintenance immédiate” mais consent à corriger la faille “dans une prochaine mise à jour”, sans précision de date. Il est étonnant de voir que Microsoft prend le problème à la légère malgré les exemples concrets fournis par Yossi montrant qu'il existe un danger réel. D'après Microsoft, seule la version mobile de Skype est touchée.
Source : 404 Media