Skype et Microsoft: relations... intimes

Patrick Zwahlen
Blog cybersécurité

Microsoft a fait l’acquisition de Skype en 2011. Depuis lors, les internautes ont beaucoup fantasmé sur un possible espionnage de leurs communications Skype par le géant Microsoft. A cet égard, la société allemande Heise Security a observé cette semaine un étrange phénomène: une URL sécurisée transmise par le biais d’une conversation privée sur Skype recevait rapidement la visite d’une adresse IP de Microsoft à Redmond.

Vérification légitime des liens?

Intrigués par la coïncidence, les spécialistes de Heise ont réitéré l’expérience – et obtenu les mêmes résultats. Interrogé, Skype a justifié la chose en invoquant la simple application de sa politique de vérification des liens douteux. En effet, pour pouvoir protéger les internautes des malware de toutes sortes, les sites à risque doivent être préalablement identifiés, donc visités. Oui mais...

Oui mais… avant son rachat par Microsoft, Skype bénéficiait de la réputation d’un site peer-to-peer fiable bénéficiant d’un cryptage de bonne qualité. Ses utilisateurs conversaient dans un climat de sécurité raisonnable. Le rachat par Microsoft avait initialement suscité de grandes inquiétudes, qui semblaient néanmoins peu crédibles puisque beaucoup des scénarios catastrophe envisagés tablaient sur une théorie généralisée du complot.

Vérification

Toutefois, les derniers éléments rapportés sont troublants. Navixia a donc voulu vérifier ce qu'il en est. Le 17 mai 2013, nous avons transmis un lien sécurisé et unique via Skype:

Peu après, ce lien recevait la visite suivante :

Ce que nous en concluons...

La conclusion : oui, Microsoft est bien venu visiter l'URL que nous avions transmis par Skype. Les conversations Skype font effectivement l'objet d'une "écoute" par la firme de Redmond.

Le problème n’est pas tant dans la vérification de liens potentiellement douteux. Les conditions générales de Skype (article 5.7) précisent du reste cette éventualité. Le problème, ce sont les vases communiquants établis entre Skype et Microsoft et les dérives sécuritaires qu’une telle surveillance, peut entraîner. En effet, si Microsoft est mis en demeure par le gouvernement américain de divulguer le contenu de conversations échangées, la société doit obtempérer.

Inutile donc d’insister sur le fait qu’il faut traiter les échanges via Skype avec plus de prudence que jamais. Skype n'est pas un mode de communication sûr. Les échanges confidentiels n'y ont en aucune manière leur place.

Quelques liens complémentaires (en anglais)