Le service populaire de voIP avec Skype a, une fois de plus, fait la une des journaux ces derniers temps. Cela fait suite à une série de nouvelles allégations selon lesquelles sa politique de récupération de compte peu fiable offrait aux pirates informatiques de nombreuses opportunités d’accéder illégalement à de nombreux comptes Skype.

À noter que Skype compte actuellement environ 700 millions d’utilisateurs dans le monde, et ce nombre ne cesse d’augmenter.

Comment fonctionne Skype ?

Skype est sorti en 2003. Il a été conçu par des développeurs estoniens. Le service permet aux utilisateurs de communiquer avec leurs amis, leur famille et leurs collègues en utilisant une webcam, un microphone et la messagerie instantanée.

Skype est un service permettant aux utilisateurs de Smartphones, de PC et de tablettes du monde entier de communiquer avec d’autres utilisateurs de l’application via la vidéo ou la voix.

Téléphoner gratuitement et simplement via Internet

C’est en effet l’ambition des développeurs de Skype au début. Et on peut dire qu’ils ont bien tenu leurs promesses marketing. Il n’était donc pas étonnant qu’en 2005, le programme ait été téléchargé 1,5 million de fois. Cette même année, la marque Ebay a acquis Skype et six années plus tard, c’est au tour de Microsoft de l’acquérir pour une impressionnante somme d’environ 7,58 milliards d’euros, en intégrant Skype à sa suite Office.

Le service permet aux utilisateurs de se parler avec des téléphones fixes et mobiles, moyennant des frais. Par ailleurs, le service dispose d’une messagerie instantanée intégrée et de fonctions de transfert de fichiers.

Pour utiliser Skype, les utilisateurs doivent télécharger un logiciel qui est compatible avec les systèmes d’exploitation Mac et Windows ou avec les applications iOS et Android.

Lorsque vous créez un compte Skype, votre mot de passe et votre nom d’utilisateur sont enregistrés à la fois sur l’appareil sur lequel vous vous connectez et sur les serveurs de Skype.

Cela permet d’authentifier ultérieurement les destinataires des appels et de s’assurer que les appelants qui souhaitent s’authentifier puissent accéder à nouveau à Skype.

Un concept basé sur le P2P

Skype reposait initialement sur un protocole de peer-to-peer (P2P), ce qui permettait à ses utilisateurs d’échanger de la voix et de différents types de données entre eux, sans l’intervention d’un tiers. De cette façon, les informations échangées étaient chiffrées, ce qui garantissait une forte protection de la vie privée aux utilisateurs de l’application.

De nos jours, selon la marque, tous les transferts de voix, de vidéo, de messages instantanés et de fichiers entre les utilisateurs Skype sont encore chiffrés. Cela les protège contre d’éventuelles écoutes téléphoniques par des pirates.

Skype est un outil puissant pour communiquer

Skype est un outil de communication qui vous permet de communiquer ou de travailler ensemble, où que vous soyez :

  • Skype permet d’effectuer des appels voix/vidéo, des visioconférences, des présences et des messages instantanés dans un seul et même client facile à utiliser.
  • Vous pouvez facilement partager des documents et des présentations via Skype.
  • Vous pouvez utiliser Skype à partir de votre PC, tablette et Smartphone avec une prise en charge de Windows, Mac, iOS, Android et Windows Phone. Dans un premier temps, le support sera disponible pour Windows.
  • Un système qui continue à être maintenu par le fournisseur.
  • Un meilleur partage d’écran, y compris la possibilité de contrôler les documents d’un autre utilisateur
  • Des appels de groupe faciles sans pont.
  • Des informations sur l’occupation de votre agenda Outlook.
  • Sauvegarde de l’historique des chats dans Outlook.

L’un des premiers avantages de Skype pour les entreprises est qu’il permet de limiter le montant qu’une entreprise dépensera sur ses factures de téléphone. Premièrement, ça facilite grandement les échanges internationaux. Et comme le travail à distance implique de ne pas être à proximité de vos collaborateurs et clients, les applications de vidéoconférence sont essentielles pour garder un minimum de contact humain.

Malheureusement, Skype est aussi une cible facile pour les pirates

Force est de constater que Skype est vieux. Ceci signifie qu’il y a beaucoup de comptes qui ont été abandonnés. Au cas où un pirate informatique parviendrait à détourner l’un de ces anciens comptes, il pourrait l’utiliser pour diffuser des malwares et des liens de phishing à toutes les personnes qui figurent sur la liste de contacts du compte. De plus, la plupart des utilisateurs de Skype ne vérifient pas leurs contacts et acceptent souvent les demandes d’inconnus.

Bien qu’il soit considéré comme un outil de communication vital pour de nombreux utilisateurs, Skype a également fait l’objet de plusieurs critiques au fil des ans, car ses fonctions de sécurité et de récupération de comptes ont subi quelques revers.

Par défaut, Skype peut par exemple enregistrer les détails de tous les appels (mais pas les appels eux-mêmes) puis les stocker dans un fichier « Historique ». L’historique des conversations se trouve sur votre appareil, ce qui ne constitue pas un problème en soi. Pourtant, si la sécurité de votre ordinateur, de votre tablette ou de votre Smartphone est compromise, les pirates pourront accéder à l’historique des conversations.

En 2016, la société de cybersécurité F-Secure a révélé que des pirates informatiques se faisaient passer pour des fonctionnaires américains qui offraient leur aide à des ressortissants suisses pour trouver des informations sur la façon de déposer une demande de visa pour visiter les États-Unis. Les escrocs ont réussi à piéger plusieurs victimes pour qu’elles téléchargent le malware QRAT.

Un autre malware Rietspoof a également été diffusé principalement via le spam Skype. Il s’agissait d’un cheval de Troie qui a été conçu pour infecter les systèmes d’exploitation afin qu’ils téléchargent des malwares plus puissants et plus intrusifs.

Selon l’utilisateur Skype et chercheur en sécurité @TibitXimer, son compte a été compromis jusqu’à six fois. Il a également prévenu que le compte de quiconque pourrait subir le même sort.

@TibitXimer a annoncé qu’un compte Skype peut être piraté facilement si l’attaquant parvient à :

  • Entrer en contact avec le support Skype
  • Fournir le prénom et/ou le nom de l’utilisateur
  • Proposer 3 à 5 contacts sur le compte Skype ciblé
  • Entrer une adresse e-mail qui a été associée à ce compte.

Afin d’argumenter ses propos contre ceux de Skype sur leurs mesures de sécurité, il s’est assuré de faire des captures d’écran lorsqu’il était en conversation avec un agent de support Skype.

Ces captures ont fourni la preuve que les agents ont seulement demandé les informations ci-dessus avant de vérifier le compte @TibitXimer.

Un problème similaire de détournement de compte a été découvert il y a cinq mois lorsqu’on a appris sur un site web russe que tout attaquant pouvait s’inscrire pour un nouveau compte avec un e-mail déjà utilisé.

A cause de cela, le pirate a pu continuer à configurer le compte pour recevoir les détails de la notification de sa victime.

Bien que Skype ait réussi à rectifier le problème peu de temps après, ce genre de failles de sécurité béantes ne devrait pas exister pour que des cybercriminels puissent en profiter.

Comment les cybercriminels piratent-ils un compte Skype ?

Ce que la plupart des gens ne savent pas, c’est que même si Skype est le leader mondial en matière d’envoi de messages et d’appels vidéo en direct, il est sujet à des actes de piratage, comme toute autre application de médias sociaux.

Les méthodes utilisées par les pirates pour pirater Skype vont de l’utilisation de programmes externes à l’utilisation d’étapes simples, mais tout aussi efficaces. En réalité, ces étapes ne nécessitent ni le téléchargement ni l’installation d’un programme supplémentaire.

Nous savons tous ce qui se passe lorsque le profil de réseau social ou le compte de messagerie d’un utilisateur est compromis. Mais savez-vous vraiment ce qui pourrait se passer si des pirates pouvaient obtenir l’accès à votre compte Skype ?

Les experts proposent diverses hypothèses comme :

  • l’utilisation des crédits Skype à des fins personnelles.
  • l’utilisation du compte de la victime comme un canal pour diffuser des liens malveillants ou des fichiers infectés.
  • l’utilisation des données comptables pour des services TDoS (Telephony Denial of Service) successifs.

Pour lancer les attaques, les pirates doivent tout simplement s’authentifier en utilisant un compte Skype usurpé, puis l’outil commencera automatiquement à utiliser le solde du compte et inondera le numéro de téléphone portable de la victime de messages multiples.

Nous avons également mentionné que le compte Skype peut être utilisé pour mener des campagnes malveillantes à grande échelle, en infectant les appareils des utilisateurs.

Un expert de Kaspersky Lab a récemment publié un article intéressant dans lequel il décrit un malware qui utilise Skype comme vecteur pour diffuser son code afin d’infecter des machines dans le but premier d’extraire de l’argent en Bitcoins.

Ce type de campagne malveillante est vraiment récent, et des chercheurs ont détecté une variante de malware utilisant le populaire VOIP Skype pour envoyer des messages aux utilisateurs. Pour ce faire, les pirates suggèrent à leurs victimes de cliquer sur un lien malveillant pour voir une image d’eux-mêmes en ligne.

Des milliers d’utilisateurs ont déjà été victimes de cette attaque et ont cliqué sur le lien malveillant proposé par Skype. Selon Kaspersky, environ 2000 clics par heure ont été constatés.

Bien entendu, ce n’est pas la première fois que Skype est utilisé pour diffuser des malwares.

D’autres campagnes ont déjà été utilisées pour diffuser des malwares en provenance du Venezuela, par exemple, en utilisant les mêmes techniques, mais dans un but différent.

Pour le dernier scénario, Skype a été utilisée pour soutirer des données comptables pour les services TDoS (Telephony Denial of Service) successifs.

Des experts en sécurité ont constaté une augmentation du nombre d’attaques TDoS contre les centres d’appel d’urgence. Aux Etats-Unis, le Département de la sécurité intérieure (DHS) et le Bureau fédéral d’enquête (FBI) ont émis une alerte sur les événements malveillants et sur la nécessité d’adopter les mesures appropriées pour les contrer.

Coût d’une attaque via Skype

Selon Kaspersky, les fraudeurs ont récemment piraté Skype et piégé des personnes à partir d’une liste de contacts et ont récupéré plus de 4 560 euros en quelques jours. Le support Skype, les banques locales et la police ont refusé de faire quoi que ce soit.

Sergey Dolya, l’un des blogueurs russes les plus populaires a rapporté ce fait, en expliquant que cette histoire avait récemment impliqué un de ses amis. La victime était Katya, une employée d’une société internationale de services informatique. Il est important de le noter, car d’une certaine manière, la victime a une bonne connaissance en matière de sécurité web.

Récemment, Katya s’est fait pirater son compte Skype. Les pirates ont profité de cette occasion pour soutirer de l’argent aux personnes figurant sur sa liste de contacts. En une heure seulement, ils ont reçu plus de 1 368 euros.

Pour ce faire, les arnaqueurs ont décidé de demander à ses amis d’emprunter des sommes relativement modestes (environ 228 euros). En effet, c’est le montant maximum que Yandex Money (un système de paiement russe populaire) permet de transférer à la fois.

Comme argument, les pirates annonçaient que Katya voulait acheter des marchandises en ligne. Pourtant, elle n’avait pas d’argent sur son compte Yandex Money.

Cette approche était crédible et faisait croire aux gens qu’ils parlaient avec la victime. Ils ont décidé de transférer de l’argent sans appeler la victime. Certains ont même envoyé de l’argent deux fois.

Lorsque l’arnaque a été mise au grand jour, il était très difficile de faire quoi que ce soit pour résoudre le problème.

Quelques jours ont été consacrés à la communication avec le service d’assistance Skype. Les employés ont eu besoin de plus de 24 heures pour comprendre ce qui s’était passé. Lorsqu’ils ont découvert que le compte de Katya avait été piraté, ils lui ont envoyé un lien vers un formulaire de récupération de mot de passe, ignorant totalement la partie de la lettre dans laquelle Katya expliquait que les escrocs avaient également modifié l’e-mail associé.

Ensuite, le service d’assistance a demandé à Katya de remplir le formulaire de vérification, deux fois. Trois jours se sont écoulés depuis le début de cette affaire d’escroquerie et les pirates continuaient à envoyer leurs demandes par le biais de la liste de contacts de Katya. Le service de soutien a refusé de bloquer son compte Skype jusqu’à ce qu’ils aient pu clarifier la situation de bout en bout.

Au final, Katya a répondu correctement à toutes les questions du formulaire de vérification, sauf une, à savoir quand votre compte Skype a-t-il été créé ? Le service d’assistance a décidé que la situation était trop compliquée et lui a recommandé de créer un autre compte. À ce moment-là, les fraudeurs avaient déjà volé plus de 4 560 euros.

Pendant ce temps, un des amis de Katya a essayé d’obtenir un remboursement. Elle a bloqué sa carte et a demandé à sa banque d’annuler le paiement. Sa demande a été formellement acceptée. La banque a confirmé qu’elle n’avait jamais travaillé avec ce magasin auparavant et lui a demandé de déposer une plainte auprès du service de police local. Sa banque a demandé une copie de cette plainte afin d’ouvrir une enquête sur l’affaire.

La police a renvoyé la plainte à la banque, en plus de plusieurs documents. Elle annonçait qu’elle avait besoin d’un document de la banque pour que l’enquête soit lancée. Il y a eu beaucoup de va-et-vient à ce moment-là, et le service de police local n’avait aucune expérience d’une telle situation.

D’autres utilisateurs ont essayé d’écrire directement aux pirates. Ces derniers ne croyaient pas pourtant que la police pourrait faire quoi que ce soit dans cette affaire.

De toute évidence, ils ont bien compris l’imperfection du système juridique russe, combinée à la politique de sécurité de Skype.

D’une manière générale, la seule chose que vous puissiez faire dans ce cas est de sécuriser vos comptes, en utilisant un mot de passe fiable. Il ne faut pas utiliser le même mot de passe pour différents comptes, sinon vous risquez de perdre tous vos comptes lorsque l’un des services web est compromis. L’autre solution est d’utiliser l’authentification à deux facteurs pour protéger vos comptes. À titre d’exemple, vous devriez recevoir un code court par SMS ou par e-mail lorsque vous entrez votre mot de passe. Enfin, il ne faut pas cliquer sur des liens suspects, ni répondre aux messages provenant des contacts inconnus.

Combien d’attaques faudra-t-il pour que Skype reconnaisse l’urgence d’adopter des mesures de sécurité proactives ?

Il est certainement temps pour cette marque internationale de le faire comme tant d’autres géants des communications et des médias sociaux l’ont déjà fait. En effet, Skype pourrait mettre en place les mesures suivantes :

Questions de sécurité

Comme beaucoup de sites le font, les questions de sécurité peuvent être utilisées dans les scénarios de récupération de compte où la personne qui tente de se connecter au compte devra fournir une réponse à une question initialement établie par le créateur du compte, comme un fait ou une personne mémorable.

Authentifications à deux facteurs

La vérification en deux étapes offre une sécurité et une tranquillité d’esprit aux utilisateurs, car elle ajoute une couche de sécurité supplémentaire.

Il s’agit d’une approche d’authentification qui nécessite la présentation de deux ou plusieurs facteurs d’authentification, y compris un facteur de connaissance (quelque chose que l’utilisateur connaît) et un facteur de possession (quelque chose dont l’utilisateur est le propriétaire, comme le numéro d’un téléphone portable).

Certaines entreprises, comme Google, exigent par exemple que les utilisateurs entrent un code envoyé à leur téléphone par SMS pour confirmer l’accès à leur compte.

D’autres mesures de sécurité suggérées pour Skype consistent à mettre en place un support plus complet capable d’examiner les failles de sécurité avec plus d’urgence, la mise à disposition d’un support 24 h/24 et 7 j/7, outre la création d’une véritable politique de sécurité permettant aux utilisateurs de vérifier la propriété de leurs comptes.

Il est temps pour Skype de mettre de l’ordre dans sa politique de récupération

Vous avez récemment reçu un message bizarre sur Skype avec un lien vers LinkedIn ou Baidu ?

Sachez alors que vous n’êtes pas seul(e).

De nombreux utilisateurs de cette application ont aussi reçu des liens de spam vers Baidu. Ils étaient tous surpris de voir leurs comptes usurpés, mais certains ont cru qu’ils étaient protégés par l’authentification à deux facteurs de Microsoft. Pourtant, ce n’était pas le cas.

Un fil de discussion sur les forums d’assistance Skype de Microsoft révèle que cela se produit pour des centaines d’utilisateurs de Skype depuis des mois. Les comptes Skype usurpés ont été utilisés pour envoyer des milliers de spams avant qu’ils ne soient verrouillés et que leurs propriétaires ne pouvaient plus y accéder à nouveau.

Skype a déjà été victime d’attaques similaires auparavant. Les pirates informatiques ont réussi à usurper des messages sur le système après avoir utilisé les listes de noms d’utilisateurs et les mots de passe volés pour accéder aux comptes.

En 2016, Microsoft affirmait qu’il n’y a pas de faille dans la sécurité de Skype. Selon un porte-parole de la marque, certains clients de Skype ont signalé que leurs comptes étaient utilisés pour envoyer des spams.

Il n’y a pas eu de violation de la sécurité de Skype et Microsoft pensait plutôt que les criminels utilisaient des combinaisons de noms d’utilisateur et de mots de passe obtenues illégalement pour voir si elles existent sur Skype.

Microsoft avait déclaré qu’il continuait à prendre des mesures pour durcir le processus de connexion et recommandait aux clients de mettre à jour leur compte Skype afin de bénéficier de protections supplémentaires telles que l’authentification à deux facteurs.

Récemment, un employé anonyme de Microsoft a eu un compte Skype usurpé. Selon lui, Microsoft avait utilisé une authentification à deux facteurs, mais les pirates ont pu se connecter en utilisant une ancienne combinaison de nom d’utilisateur et de mot de passe Skype. Vous pouvez même tester sur vos propres comptes personnels pour vous connecter à votre compte Skype avec un ancien mot de passe.

Conclusion

Vous pouvez installer le pare-feu le plus cher et le plus performant secteur. Vous pouvez également informer vos employés sur l’importance de choisir des mots de passe solides pour vos comptes Skype professionnels ou sur les procédures de base en matière de sécurité web. Vous pouvez même verrouiller vos serveurs pour éviter une éventuelle infection par des malwares. Mais comment pouvez-vous être sûr de protéger votre entreprise contre les menaces d’attaques d’ingénierie sociale, comme celles lancées via des comptes Skype personnels ?

Les employés restent toujours le maillon faible de la chaîne de web. Et pour communiquer, la plupart d’entre eux utilise encore Skype, un programme qui présente lui-même certaines vulnérabilités. Il est donc essentiel de former vos employés pour qu’ils sachent comment reconnaître les menaces cybercriminelles et comment peuvent-il les éviter, les signaler ou les supprimer. De son côté, l’équipe d’assistance de Microsoft devrait également faire un effort pour mieux communiquer avec les utilisateurs de Skype et penser sérieusement à renforcer la sécurité de cette application.

SpamTitan recommande à tous les utilisateurs Skype de changer l’adresse e-mail de leur compte Skype avec un e-mail unique, c’est-à-dire, un compte qui n’est pas associé à d’autres comptes. Ils devraient également rester toujours très vigilants. Ne cliquez jamais sur des liens ou des pièces jointes non sollicités, surtout s’ils proviennent de contacts avec lesquels vous n’avez pas communiqué depuis un certain temps.

Questions fréquentes sur la sécurité Skype

Faut-il arrêter d’utiliser Skype à cause des cybermenaces ?

En réalité, il est actuellement presque impossible de ne pas utiliser cette plate-forme de communication à distance pour rester en contact avec vos collaborateurs et vos partenaires.

Les pirates peuvent-ils vraiment accéder à vos appareils photo mobiles et portables et tout enregistrer ?

C’est la triste vérité. Que vous utilisiez Skype, Zoom ou encore Microsoft Teams, la webcam de votre PC ou de votre ordinateur portable pourra toujours être accessible aux pirates (ou du moins, ils peuvent vous convaincre de l’avoir fait) si vous n’adoptez pas les mesures de sécurité adéquates.

Utiliser Skype Entreprise est-elle une alternative pour contrer les menaces en ligne ?

La version gratuite de Skype a des options limitées. Opter pour ce module est intéressant en termes de fonctionnalités, notamment si votre organisation compte plus de 20 salariés. À noter que Skype Entreprise peut prendre en charge jusqu’à 250 participants lors d’une réunion. Il s’agit donc d’un programme pratique, mais en matière de sécurité, sa fiabilité reste encore à prouver.

Skype vous rembourse-t-il vraiment si la vulnérabilité de l’application est avérée et que vous en êtes victime ?

Les fournisseurs de l’application vous demanderont tout d’abord une série de questions. C’était en effet le cas de Katya qui a dû remplir deux fois un formulaire de demande de remboursement. Mais trois jours après le début de l’arnaque, les pirates ont encore envoyé des demandes à travers sa liste de contacts. De plus, le support technique a refusé de bloquer son compte jusqu’à ce que la situation soit clarifiée de bout en bout. Jusqu’au moment où la situation a été réglée, les voleurs avaient déjà eu le temps de soutirer environ 4580 euros à ses contacts. Le remboursement est possible, mais c’est à vous de voir s’il en vaut vraiment la peine d’utiliser l’application, en considérant son efficacité.