Le service populaire de voIP avec Skype a, une fois de plus, fait la une des journaux ces derniers temps. Cela fait suite à une série de nouvelles allégations selon lesquelles sa politique de récupération de compte peu fiable présente offrait aux pirates informatiques de nombreuses opportunités d’accéder illégalement à de nombreux comptes Skype. À noter que Skype compte actuellement environ 700 millions d’utilisateurs dans le monde, et ce nombre ne cesse d’augmenter.

Skype est sorti en 2003. Il a été conçu par des développeurs estoniens. Le service permet aux utilisateurs de communiquer avec leurs amis, leur famille et leurs collègues en utilisant un microphone, une webcam et la messagerie instantanée. Bien qu’il soit considéré comme un outil de communication vital pour de nombreux utilisateurs, Skype a fait l’objet de plusieurs critiques au fil des ans, car ses fonctions de sécurité et de récupération de comptes ont subi quelques revers.

Les plus récentes rumeurs sur la sécurité du réseau arrivent en réponse à ce qui est perçu comme des mesures de sécurité médiocres mises en place par Skype pour protéger les comptes de ses utilisateurs contre les cybercriminels. Ces derniers ont tenté d’accéder à des comptes ciblés via un processus de récupération de compte plutôt peu sécurisé. Selon l’utilisateur Skype et chercheur en sécurité @TibitXimer, son compte a été compromis jusqu’à six fois. Il a également prévenu que le compte de quiconque pourrait subir le même sort.

@TibitXimer a annoncé qu’un compte Skype peut être piraté facilement si l’attaquant parvient à :

  • Entrer en contact avec le support Skype ;
  • Fournir le prénom et/ou le nom de l’utilisateur ;
  • Proposer 3 à 5 contacts sur le compte Skype ciblé ;
  • Entrer une adresse e-mail qui a été associée à ce compte.

Afin d’argumenter ses propos contre ceux de Skype sur leurs mesures de sécurité, il s’est assuré de faire des captures d’écran lorsqu’il était en conversation avec un agent de support Skype. Ces captures ont fourni la preuve que les agents ont seulement demandé les informations ci-dessus avant de vérifier le compte @TibitXimer.

Un problème similaire de détournement de compte a été découvert il y a cinq mois lorsqu’on a appris sur un site Web russe que tout attaquant pouvait s’inscrire pour un nouveau compte avec un e-mail déjà utilisé. Grâce à cela, le pirate a pu continuer à configurer le compte pour recevoir les détails de la notification de sa victime. Bien que Skype ait réussi à rectifier le problème peu de temps après, ce genre de failles de sécurité béantes ne devrait pas exister pour que des cybercriminels puissent en profiter.

Il est temps pour Skype de mettre de l’ordre dans sa politique de récupération

Combien d’attaques faudra-t-il pour que Skype reconnaisse l’urgence d’adopter des mesures de sécurité proactives ?

Il est certainement temps pour cette marque internationale de le faire comme tant d’autres géants des communications et des médias sociaux l’ont déjà fait. En effet, Skype pourrait mettre en place les mesures suivantes :

Questions de sécurité

Comme beaucoup de sites le font, les questions de sécurité peuvent être utilisées dans les scénarios de récupération de compte où la personne qui tente de se connecter au compte devra fournir une réponse à une question initialement établie par le créateur du compte, comme un fait ou une personne mémorable.

Authentifications à deux facteurs

La vérification en deux étapes offre une sécurité et une tranquillité d’esprit aux utilisateurs, car elle ajoute une couche de sécurité supplémentaire.

Il s’agit d’une approche d’authentification qui nécessite la présentation de deux ou plusieurs facteurs d’authentification, y compris un facteur de connaissance (quelque chose que l’utilisateur connaît — question de sécurité) et un facteur de possession (quelque chose dont l’utilisateur est le propriétaire — téléphone portable).

Certaines entreprises, comme Google, exigent par exemple que les utilisateurs entrent un code envoyé à leur téléphone par SMS pour confirmer l’accès à leur compte.

D’autres mesures de sécurité suggérées pour Skype consistent à mettre en place un support plus complet capable d’examiner les failles de sécurité avec plus d’urgence, la mise à disposition d’un support 24 h/24 et 7 j/7, outre la création d’une véritable politique de sécurité permettant aux utilisateurs de vérifier la propriété de leurs comptes.

SpamTitan recommande à tous les utilisateurs Skype de changer l’adresse e-mail de leur compte Skype avec un e-mail unique, c’est-à-dire, un compte qui n’est pas associé à d’autres comptes. Ils devraient également rester toujours très vigilants.