Des inquiétudes concernant la sécurité et la confidentialité de Skype

Amis Avaloniens,

Je n'utilise pas personnellement Skype -- Je ne possède pas actuellement l'équipement nécessaire à l'utilisation de Skype (du genre micro/casque ou webcam) -- et les renseignements que je vais partager dans ce message ne sont pas vraiment nouveaux, mais j'ai l'impression que la plupart des utilisateurs de la plateforme Skype ignorent tout, ou en partie, des implications de sécurité et de confidentialité liées à ce logiciel.

Je sais que beaucoup de gens ici sur Avalon utilisent assez couramment Skype, et que Bill, les mods et le Groupe de Guérison d'Avalon utilisent abondamment Skype pour leurs visioconférences. C'est la raison pour laquelle j'ai pensé qu'il me fallait porter à l'attention des gens d'Avalon qui utilisent ce logiciel quelques faits très alarmants.

Bon, comme je l'ai dit plus haut, je n'utilise pas Skype, mais le sujet a attiré mon attention à cause d'une question posée par quelqu'un sur l'alt.os.linux.ubuntu newsgroup de Usenet, à propos de la sécurité et de la confidentialité du logiciel de communication Skype.

Les paragraphes sélectionnés, en italique, ne représentent que quelques extraits de l'article Wikipedia (en anglais) sur Skype... :

Les experts en sécurité Biondi et Desclaux ont émis l'hypothèse que Skype pouvait comporter une porte dérobée, puisqu'il fonctionne même lorsqu'il est éteint, et parce que Skype a pris d'énormes précautions pour masquer ses échanges et le fonctionnement de son programme.

[...]

Quelque temps avant la vente de Skype en 2009, l'entreprise avait commencé son propre programme -- nommé Project Chess -- afin d'explorer les moyens légaux et techniques d'échanger facilement des appels avec les agences de renseignements et les organismes chargés de l'application de la loi.

[...]

On a découvert en novembre 2010 une faille révélant comment des pirates pouvaient pister secrètement l'adresse IP de n'importe quel utilisateur. En 2013 ce problème n'était toujours pas résolu.

[...]

Selon un article du Washington Post datant de 2012, Skype "a étendu sa coopération avec les autorités chargées du respect de la loi en rendant les conversations en ligne et d'autres informations concernant les utilisateurs disponibles pour la police" ; l'article signalait de plus que Skype avait effectué des modifications afin de permettre aux autorités d'avoir accès aux adresses et aux numéros de cartes de crédit.

Le 13 novembre 2012, un utilisateur russe a publié une faille repérée dans la sécurité de Skype, autorisant n'importe qui à prendre le contrôle d'un compte Skype, en ne connaissant que l'adresse électronique de la victime et en exécutant sept manipulations. On a affirmé que cette vulnérabilité existait depuis des mois, et qu'elle existait encore 12 heures après avoir été largement diffusée.

Le 14 mai 2013, il a été prouvé qu'une URL, envoyée au moyen de la session instantanée de messagerie Skype, a été usurpée par le service Skype et utilisée par la suite dans une "http head query" provenant d'une adresse IP enregistrée auprès de Microsoft, à Richmond (l'adresse IP utilisée était 65.52.100.214). la "query" Microsoft a utilisé toute l'URL fournie dans la conversation IM, et a été générée par un service de sécurité inconnu jusqu'alors. Les experts en sécurité supposent que l'action a été déclenchée par une technique du genre du filtre SmartScreen, que Microsoft utilise dans ses navigateurs.

Les révélations de 2013 concernant la surveillance à grande échelle ont montré que des agences comme la NSA et le FBI avaient les moyens d'espionner Skype, y compris d'effectuer la surveillance et l'archivage de messages comportant du texte ou des vidéos, et les transferts de fichiers.
Le programme de surveillance PRISM, qui nécessite l'autorisation d'une cour FISA, est présumé avoir accordé à la NSA un accès total aux super-nœuds de ses centres de données. Selon les documents "fuités", les travaux d'intégration ont débuté en novembre 2010, mais il a fallu attendre février 2011 pour que l'entreprise se voie accorder la directive conforme, signée par l'attorney général, et des documents de la NSA montrent que la collecte a commencé le 31 mars 2011. 

Wikipedia possède aussi un article distinct sur la sécurité de Skype, dans lequel, on peut entre autres lire : 

Les organismes chargés du respect de la loi en Chine, en Russie et aux États-Unis ont la capacité de surveiller les conversations sur Skype, et avoir de même accès à la localisation géographique des utilisateurs. Dans de nombreux cas, il leur suffit d'une simple demande d'information, l'approbation d'un juge n'étant pas nécessaire. Microsoft a délibérément ajouté cette capacité après son rachat de Skype en 2011, au bénéfice de tous les organismes de respect de la loi dans le monde. On l'applique en faisant passer le client Skype possédant un compte utilisateur donné, d'un chiffrement côté client à un encryptage côté serveur, permettant la dissémination d'un flux de données non chiffrées.

Je conseille de lire dans leur intégralité ces deux articles Wikipédia, de façon à pouvoir saisir tous les risques associés à Skype. J'aimerais de plus faire remarquer -- comme les citations ci-dessus l'ont clairement révélé -- que Skype appartient actuellement à Microsoft, une entreprise dont le fondateur et ancien PDG, Bill Gates, est en cheville avec les Illuminati... :

• Le père de Bill Gates, William Henry Gates II, possédait autrefois (et c'est peut-être encore le cas) un bureau d'avocats qui représentait les Rothschild, les Rockefeller, la famille Bush, J.P. Morgan Chase & Co., et autres familles et institutions financières liées aux Illuminati.
  
  
• Bill Gates et son épouse, Melinda Braun, sont officiellement membres du Groupe de Bilderberg.
  
  
• Bill Gates est un chaud partisan du dépeuplement, en stérilisant les gens au moyen de vaccins (de préférence dans les prétendus pays en voie de développement).
  

En résumé, mieux vaut se tenir à l'écart de Skype. Oui, il existe des alternatives, via la communauté du logiciel gratuit et Open Source, mais ils ne sont très probablement pas compatibles avec les protocoles brevetés utilisés par Skype -- ce qui est tant mieux, si on prend en compte toutes les implications liées à la sécurité et à la confidentialité -- et je sais que ce serait un travail herculéen que de faire se convertir tous vos contacts à une autre plateforme de communication.

Vous n'avez cependant pas vraiment besoin d'obtenir ça de vos contacts si votre usage de Skype se limite à des communications sans grands soucis de sécurité ni de confidentialité. Si c'est plus sérieux -- et particulièrement s'il s'agit des choses plus sensibles débattues dans des communautés alternatives du genre d'Avalon -- je vous recommande vivement de choisir un des logiciels libres et Open Source (NB. Ces alternatives existent pour tous les types d'ordinateurs courants, on n'a donc pas besoin de se séparer du système d'exploitation qu'on a choisi.)

Namasté.

Des inquiétudes concernant la sécurité et la confidentialité de Skype

-------

Extrait de ma discussion  Le directeur de la CIA en retraite, un lanceur d'alerte, et Skype : une histoire vraie :


Chers Amis,

Appréciez cette petite histoire. Tout à fait authentique, et qui s'est produite il y a presque trois ans.

Quelqu'un avec lequel j'étais en communication depuis quelque temps, par l'intermédiaire de Project Camelot (un lecteur intelligent et bien informé), m'a un jour contacté sur Skype Audio pour me raconter une histoire.

Il m'a indiqué que sa partenaire appartenait à la famille d'un directeur de la CIA en retraite. Il ne m'a pas donné le nom de l'homme, et je ne le connais toujours pas. Ce monsieur était âgé, mais conservait un esprit vif et alerte.

Au cours d'un dîner de famille, cet homme s'était allé à révéler à la partenaire de mon ami que les États-Unis étaient effectivement entrés en contact au début des années 1950 avec une race ET. C'était en gros là ce que mon ami voulait que je sache.

Ce n'était bien sûr rien de neuf, mais l'information était cool. Je l'ai remercié pour son récit.

Trois jours plus tard, il m'appelle de nouveau, très agité. Ce n'était plus sur Skype cette fois-ci, mais sur iChat -- une application Mac que j'avais poussée à   256 bits de cryptage.

Il m'a raconté que le directeur de la CIA lui avait téléphoné depuis Washington, car on lui avait remis une copie de la transcription Skype. "Il s'agissait d'une conversation PRIVÉE !" Il était furieux.

Pendant qu'il me racontait ça, j'entendais son mobile sonner en arrière plan.

"Mieux vaut décrocher, ai-je répondu, c'est lui qui appelle." Je riais.

Il n'en avait pas envie, mais je l'ai convaincu de prendre l'appel. "Je reste en ligne", lui ai-je dit.

Bon, ce n'était pas le directeur de la CIA en retraite, mais une femme de Washington.

"COUPEZ CETTE COMMUNICATION IMMÉDIATEMENT !"

La femme a ensuite envoyé une impulsion dans le téléphone, qui a grillé la carte SIM et effacé la mémoire du téléphone.

Mon ami était secoué. Je pouvais à peine me retenir. A son crédit, je dois dire qu'il a retrouvé son sang-froid et n'avait pas peur. Moi, je trouvais ça hilarant.

Les Amis, aucune communication n'est sûre. Et un codage 256-bits ne change rien à l'affaire.

Des inquiétudes concernant la sécurité et la confidentialité de Skype

Je me souviens qu'il y a environ 15 ans, mon journal local (The Ottawa Citizen), avait publié un article sur les logiciels utilisés par les gouvernements du Canada et des États-Unis pour surveiller toutes les communications imaginables. Ils pouvaient même lire les lettres cachetées ! Il me semble me rappeler que le logiciel pour la communication électronique se nommait Predator, mais ce n'était pas parce qu'il pouvait aider à appréhender les pédophiles et les criminels en ligne. Il se nommait ainsi parce qu'il pouvait débusquer et capter n'importe quelle communication. Pour autant que je m'en souvienne, il utilisait la reconnaissance de mots-clés (des mots ou expressions précis, ou des associations de mots) pour repérer une transmission et la stocker en vue d'une utilisation ultérieure. J'ai fait une recherche rapide, mais sans rien trouver qui s'accorde avec ma mémoire parfois hésitante. Si c'était le cas il y a 15 ans, imaginez où en est aujourd'hui la technique en question. Une fois de plus, à moins d'être pédophile ou de préparer quelque chose de criminel, vous n'avez rien à craindre. En revanche, si vous cherchez en ligne à renverser le gouvernement... vous pourriez avoir une surprise. 

 Voici un autre article sur un thème similaire, qui peut apporter quelque chose à la discussion en confirmant ce dont je parle plus haut. Rien n'a jamais été vraiment anonyme en ligne.

http://www.theguardian.com/commentis...ded-fbi-boston

Des inquiétudes concernant la sécurité et la confidentialité de Skype

La sécurité Internet, à mon avis, c'est comme se protéger contre des armes dangereuses. Il existe différents niveaux et sortes de protection, suivant les différentes menaces possibles.

Un gilet "pare"-balles relativement bon marché peut protéger d'un projectile calibre 22 (5,5 mm) tiré en direction du torse qu'il recouvre, mais un gilet de ce type n'apportera pas grande protection face à une balle de mitrailleuse calibre 50 (12,7 mm), et deviendra totalement méconnaissable si touché par une bombe atomique.

Dans mes activités variées de membre et administrateur de ce forum d'Avalon, j'utilise souvent Skype pour communiquer avec les autres membres, les modérateurs et les administrateurs d'Avalon. J'utilise presque toujours l'option dialogue en ligne. Le seul usage marquant que je fasse de la vidéo et/ou de l'audio de Skype, c'est pour parler avec ma propre famille. Le texte de Skype fournit la "sécurité" adéquate qui me permet de garder ce que j'y tape confidentiel par rapport aux autres membres du forum, à l'exception de ceux avec lesquels je sais être en communication à ce moment-là (ainsi que tous les gens avec lesquels eux ou moi choisissons de partager ultérieurement la conversation.)

Comme l'a noté Tangri dans le message N°4 ci-dessus, je recherche également d'autres moyens de communiquer en ligne de façon plus sûre, comme dans ces deux discussions récentes :

• Une méthode passablement plus sûre que Skype ou iChat pour "clavarder" sur Internet
  
• Messagerie sûre, codée, conviviale, gratuite : Proton Mail.

Je ne suis pas expert en sécurité informatique ni en cryptanalyse, mais je suis peut-être un des amateurs les mieux informés que vous puissiez trouver sur le sujet, grâce à :

• ma formation en mathématique et informatique
  
• ma longue expérience professionnelle dans le domaine des logiciels pour systèmes informatiques, où ces questions sont parfois traitées, et 
• mon intérêt de longue date pour le sujet.
  

Comme dans l'exemple ci-dessus du "gilet pare-balles", la sécurité informatique doit prendre en compte contre qui ou contre quoi vous voulez vous protéger. Voulez-vous empêcher votre petite sœur de 6 ans de lire votre journal intime, ou êtes-vous la chancelière Angela Merkel tentant d'empêcher les forces concentrées de la National Security Agency (NSA) du gouvernement états-unien d'intercepter vos communications privées ? Une de ces tâches est beaucoup plus difficile à accomplir que l'autre, tout comme il est beaucoup plus difficile de se protéger d'une bombe atomique que d'une balle de 22.

===

Je suis en désaccord au moins avec plusieurs des arguments présentés par plusieurs "posteurs" ci-dessus.

Je ne suis pas d'accord avec le titre de cette discussion -- à mon avis personnel, il est trop alarmiste.

Je ne suis pas d'accord avec la manière dont différentes failles de sécurité de Skype sont présentées dans le message d'ouverture de cette discussion -- beaucoup trop alarmiste à mon avis, mais trop imprécis pour effectivement permettre à quiconque de pouvoir se forger une opinion valable.

Mais je ne suis pas non plus d'accord avec une des  implications probables de l'affirmation de Bill qu'"aucune communication n'est sûre". Je dirais qu'aucune communication n'est constamment sûre, contre tous les adversaires possibles. Dire qu'aucune communication n'est sûre risque d'encourager des lecteurs à renoncer à tout effort d'utilisation de mesures de sécurité, à tout effort visant à se protéger contre les menaces les plus courantes.

Je fais couramment usage de différents niveaux de sécurité quand je communique en ligne avec d'autres gens et d'autres institutions :

• J'ai couramment recours au SSL (à l'https) pour encoder ma connexion à mon compte bancaire en ligne ; je suis convaincu que, jusqu'à présent, et ce sera probablement le cas à l'avenir, cela a empêché les voleurs habituels de me dérober les modestes fonds que j'ai déposés sur différents comptes bancaires.
• J'utilise couramment, et je le recommande à l'occasion, des logiciels comme Lastpass pour m'aider à gérer les mots de passe de mes comptes en ligne.
  
• Je travaille avec Ilie pour gérer les mots de passe, la sécurité des comptes, les autorisations liées aux fichiers et aux données qui figurent sur notre serveur d'Avalon. 
  
• J'envoie couramment des messages aux autres membres du forum d'Avalon en utilisant la fonction Messages Privés, certain qu'ils resteront à l'abri de la curiosité des membres avec lesquels nous avons mutuellement décidé de ne pas partager ces messages.
  
• Je poste couramment dans divers sous-forums réservés aux modérateurs de ce forum des messages concernant par exemple l'administration du serveur et l'évaluation des demandes d'adhésion, certain que seuls les modérateurs du forum (et la NSA et consorts) peuvent le lire.
  
• J'utilise et continuerai à utiliser, chercher et parfois recommander des services et outils du genre de fastmail.fm, unseen.is, chatcrypt, pgp encrypted email, gnupg, protonmail.ch, ssh, et des comptes protégés par mots de passe (il y en a des centaines), qui offrent un niveau raisonnable de protection contre différentes menaces liées à la sécurité.
  

Aucun des systèmes présentés ci-dessus ne vaut tripette contre une attaque en règle de la NSA.

===

Veuillez utiliser les mesures de sécurité de manière responsable, en fonction de vos ressources et de vos capacités, et proportionnée à la nature de la "menace" contre laquelle vous voulez vous prémunir.

Et, de grâce (Aragorn -- je te regarde <grand sourire>) cesse de courir en tous sens sur le pont du navire, en criant aux passagers que les canots de sauvetage ne vont pas les protéger contre l'attaque en règle d'un destroyer de l'US Navy, cesse de faire (avec trop peu de détails pour cela puisse être vraiment utile à quiconque, mais suffisamment de détails sélectifs pour en alarmer beaucoup) la liste de plusieurs des limitations, failles et rappels de produits auxquels les canots de sauvetage du navire et le matériel de survie ont été soumis au fil des ans, en faisant remarquer dans la foulée que l'ex-PDG de la compagnie, qui a par la suite rachetée l'entreprise qui fabriquait les canots de sauvetage, appartient probablement aux Illuminati. (Prends bien note, si tu le souhaites, de la dernière phrase -- cela pourrait bien être les mots les plus gentils que tu me verras poster avant longtemps à propos de Bill Gates <grand sourire>)

Agir ainsi, c'est, à mon avis, répandre la peur. Cela ne sert pas à grand-chose (c'est même plutôt un peu décourageant) pour "assurer une traversée sans problèmes" des "passagers du navire", afin qu'ils puissent arriver à bon port de manière plus sûre, plus fiable, plus rapide, plus économique et plus agréable.

===

Posté par Aragorn
Attention, utilisateurs de Skype -- importantes  préoccupations liées à la sécurité et à la confidentialité !

Aragorn - je t'invite à proposer d'autres titres possibles, et moins alarmistes, pour cette discussion, si tu peux en trouver un valable qui corresponde à ce que tu veux dire à propos de cette discussion.

Si aucune alternative n'est possible, alors demande-toi peut-être quel était ton but en postant cette discussion, de la manière dont tu l'as fait, avec le titre que tu lui as donné et avec le message d'ouverture rédigé comme tu l'as fait.

Des inquiétudes concernant la sécurité et la confidentialité de Skype

Posté par Paul (ici)

Mais je ne suis pas non plus d'accord avec une des  implications probables de l'affirmation de Bill qu'"aucune communication n'est sûre". Je dirais qu'aucune communication n'est constamment sûre, contre tous les adversaires possibles. Dire qu'aucune communication n'est sûre risque d'encourager des lecteurs à renoncer à tout effort d'utilisation de mesures de sécurité, à tout effort visant à se protéger contre les menaces les plus courantes.

100 % d'accord. C'est ce que je voulais dire, et Paul l'a exprimé de manière beaucoup plus précise.

Personnellement, je pars du principe qu'un service de renseignements suffisamment haut-placé et techniquement compétent peut littéralement lire mes pensées s'il le veut vraiment. Ce n'est ni une plaisanterie ni de l'imagination. (Voir https://projectavalon.net/lang/fr/jake_simpson_fr.html concernant une extraordinaire expérience personnelle de surveillance, datant de 2008, qui a changé ma vision sur beaucoup de choses.)

Je ne fais donc pas grand-chose pour coder mes communications ordinaires. Je suis tout à fait conscient que le piratage OCCASIONNEL, pas nécessairement dû aux services de renseignements, est, dans la pratique, un problème probablement beaucoup plus fréquent.

Des inquiétudes concernant la sécurité et la confidentialité de Skype 

PSA : si vous vous intéressez à cette discussion et que vous n'avez pas vu citizenfour, alors regardez-le. Le voir en ligne n'est pas évident, mais j'ai finalement pu le faire. On est en train de tranquillement le bloquer, mais persistez et vous pourrez finalement le voir. C'est étonnant. 

Suggestions :

You Tube : https://www.youtube.com/watch?v=F4YOEHI8ctw

http://ultra-vid.com/watch-citizenfo...line-for-free/


Je prends note du nouveau titre (NdT : celui qui apparaît actuellement) et de  l'adoucissement de l'aspect alarmiste. Permettez-moi peut-être d'insister une nouvelle fois sur ce qui a déjà été dit.

Vous ne devez jamais utiliser Skype en pensant que c'est privé. Il faut vous attendre à ce que tout ce que vous y dites soit enregistré et que tout ce que voit votre caméra puisse être récupéré de façon permanente et utilisé contre vous si vous dépassez les bornes. C'est aussi terriblement simple que ça.

Il y a longtemps que j'ai conclu que ce n'était plus fiable. Au début, Skype était en fait plutôt sûr, mais il ne rendait pas le protocole "open source". Microsoft l'a finalement acheté, l'a modifié et y a installé une porte dérobée au bénéfice de qui vous savez.

(Le bon codage rencontre généralement des forces du marché qui le décryptent -- mais elles ne gagnent pas à tous les coups.)

Je vous recommande de chercher une alternative et de complètement retirer Skype de vos ordinateurs -- vous ignorez ce que ce logiciel peut leur faire... sérieusement, en faisant ça, vous ouvrez la porte et invitez instamment les vampires à entrer chez vous. La plupart des gens le laissent se mettre à jour -- et on vous forme tous à suivre "la bonne façon de faire" et à installer toutes vos sécurités, par vous-mêmes ou bien automatiquement -- ou bien en cliquant OUI quand on vous le demande. Ceci est très pratique pour ceux qui peuvent éventuellement s'inviter dans votre ordinateur -- pas besoin de briser un code quand ils peuvent vous briser, vous, à sa place.

Si vous avez des secrets à protéger, il vous faut plus d'un ordinateur et, à moins d'en avoir déjà une, il vous faut aussi une formation. C'est un peu comme quand on apprend une autre langue -- sauf que, quand vous faites des fautes, vous risquez d'être compromis. 

Des inquiétudes concernant la sécurité et la confidentialité de Skype 

Posté par Aragorn (ici)
Amis Avaloniens,

Je sais que beaucoup de gens ici sur Avalon utilisent assez couramment Skype, et que Bill, les mods et le Groupe de Guérison d'Avalon utilisent abondamment Skype pour leurs visioconférences. C'est la raison pour laquelle j'ai pensé qu'il me fallait porter à l'attention des gens d'Avalon qui utilisent ce logiciel quelques faits très alarmants.

Namasté.

L'équipe est parfaitement consciente que Skype et la plupart des autres formes de communication ne sont pas toujours sûres. Il nous arrive de dire "Salut" et de laisser un message à ceux qui surveillent nos communications. Il nous est arrivé de taper des mots-clés pour attirer leur attention, et ensuite de leur laisser des conseils pour qu'ils changent, au profit de l'ensemble de l'humanité.

Il est parfois bon d'expliquer à un salaud qui croit posséder le pouvoir, ou aux pions qu'il utilise, qu'ils sont en train de perdre la partie et qu'il est temps de ne plus être un salaud.

Des inquiétudes concernant la sécurité et la confidentialité de Skype 

Posté par Billy (ici)

L'équipe est parfaitement consciente que Skype et la plupart des autres formes de communication ne sont pas toujours sûres. Il nous arrive de dire "Salut" et de laisser un message à ceux qui surveillent nos communications. Il nous est arrivé de taper des mots-clés pour attirer leur attention, et ensuite de leur laisser des conseils pour qu'ils changent, au profit de l'ensemble de l'humanité.

Il est parfois bon d'expliquer à un salaud qui croit posséder le pouvoir, ou aux pions qu'il utilise, qu'ils sont en train de perdre la partie et qu'il est temps de ne plus être un salaud.

De toute façon, dans le bavardage des mods sur Skype, il n'y est question de rien que nous SOUHAITERIONS garder secret.

Il s'agit surtout d'une routine, avec, à l'occasion, une discussion philosophique et toutes sortes de mises à jour personnelles.

N'importe quel affreux à l'écoute, avec un tant soit peu de cœur, en arriverait vite à penser : "Ouah, il s'agit juste d'un groupe de types très sympas qui font du bénévolat pour aider les autres. Et vous savez quoi : une partie de leur conversation est vraiment passionnante. Je trouve ce job très intéressant !"

Et ce serait vrai.

(NdT : pour plus de détails techniques sur un éventuel codage, consulter la suite de la discussion ici, en anglais)