Sécurité IT : il y a encore du travail pour Facebook et Skype
Du code malicieux aux passerelles P2P, deux virus pour le prix d’un avertissement. L’INRIA appelle les utilisateurs de Facebook et de Skype à la vigilance après la découverte de failles logicielles potentiellement dévastatrices.
Les inquiétantes révélations d’un spécialiste de la sécurité ont poussé l’Institut National de Recherche en Informatique et en Automatique (INRIA) à tirer la sonnette d’alarme, invitant les utilisateurs de Skype et les membres de Facebook à faire preuve de vigilance face à deux nouvelles failles logicielles.
C’est un analyste du cabinet CDW qui a découvert, le 30 septembre dernier, sur le réseau social de Mark Zuckerberg, un pot aux roses dont il a récemment fait mention sur son blog.
Indirecte mais potentiellement dévastatrice, la menace ne tient qu’à un clic de souris suivi d’une frappe au clavier. Elle repose sur une défaillance du module de contrôle des éventuelles pièces jointes attachées à des messages envoyés par un membre à ses amis.
Par défaut, pour d’évidentes raisons de sécurité, Facebook proscrit la transmission de fichiers exécutables. Or, leur filtrage, qui repose en tout et pour tout sur une variable dénommée filename, n’est pas tout à fait au point.
Le simple ajout d’une marque d’espacement à la fin de l’extension distinctive (.exe) suffit à induire la confusion et se jouer du processus de vérification pour diffuser spywares et autres virus libérés instantanément à l’ouverture de la pièce jointe.
Un désagrément similaire est survenu à la fin du mois d’août. Un cheval de Troie déguisé en image a déferlé sur le réseau pour toucher essentiellement les utilisateurs d’Internet Explorer.
L’émergence progressive de cet iceberg d’insécurité dont l’envergure reste un mystère a convaincu l’INRIA de rendre publiques des constats similaires établis à propos de Skype, l’application de voix sur IP.
Une faille sévirait dans les dernières versions du client de bureau et permettrait à des pirates de géolocaliser des utilisateurs du service grâce à leur seule adresse IP.
Il leur resterait à entrer en contact avec leurs victimes désignées pour accéder à leurs machines respectives, via une passerelle P2P.
Un simple appel refusé suffirait à établir la connexion, déclare Le Monde Informatique. La suite se passe de commentaires et met un peu plus de plomb dans l’aile de Microsoft, dont le rachat de Skype vient tout juste d’être validé.
Itspresso