Skype pour Linux lit les mots de passe et profils Firefox!

spook · Le 07/09/2007, à 09:38

glattering a écrit :

et bien, quelle nouvelle!!
moi qui avait décidé d'utiliser ekiga ou autre logiciel libre basé sur un protocole ouvert, mes arguments n'avait pas l'air très convaincants pour ma copine, mais là, j'avoue que c'est un sacré argument pour changer de logiciel!!!

Je sais pas comment tu t'y prends mais moi quand je parle sécurité à mon entourage et refus d'utiliser un programme je me retrouves souvent bien seul en me faisant traiter de vieux geeks.

mangoo a écrit :

shamanphenix a écrit :
Bah, au niveau légal, il n'et pas non plus légal que des softs tels que pidgin utilisent le protocole msn.
Sans compter que le protocole msn reste un des rares liens que peux avoir microsoft avec les linuxiens
Et tous ce que microsoft gagnerai a fermé le protocole au windows user c'est de voir fleurir un systéme open source conccurent identique si ce n'est mieux.

Ouai mais bon le jour où quelqu'un détronera Windows Live Messenger est pas encore arrivé je pense. Tant qu'ils auront une armée d'ignare et de moutons derrière eux prêt à utiliser leurs logiciels MS n'ont pas de crainte à avoir malheureusement.

J'utilise pratiquement plus et seulement à de rares occasions MSN Messenger ou son avenir Windows Live Messenger comme ils l'appelent et sérieusement mes contacts en ont un peu rien à foutre mais des idées au final.
Skype j'utilise pas mais bon là c'est pas pareil aller faire comprendre aux gens que ça lient des infos que ça devrait pas et la majorité continueront à l'utiliser quand même tant que la famille ou les copains/copines l'utiliseront.

glattering · Le 07/09/2007, à 11:24

d'une maniere genrale, convaincre prend du temps.
d'ailleurs à vouloir convaincre trop rapidement on echoue pour toujours!
le truc a ne pas faire, c'est ce qui malheureusement est souvent fait, cad dénigrer un logiciel, dire que c'est nul, moins bien que tel autre logiciel, car si la personne l'utilise et l'aime bien, elle prendra ta critique comme une attaque, comme une critique a son encontre, et c'est jamais plaisant, meme inconciemment!

plutot de se presenter avec un point de vue different, vaut mieux dire que soi meme on utilisais ec logiciel, puis qu'on a changé. comme ça la personne send un cheminement, et pas une opposition. elle place ton avis comme une evolution du sien, et pas comme une negation du sien, et cela pourra pousser cette personne a suivre ton avis par envie d'aller de l'avant, et pas sur un sentiment de defaite.

bon c'est tres abstrait et general ce que je dis là, mais ca se verifie chaque jour.
et se rappeler que ce qui est un argument massue pour soi n'est pas forcement digne d'interet pour qqun d'autre.

c'est tjrs dans cette optique de non confrontation que convaincre prend du temps d'ailleurs.

bonne chance

ByRoot · Le 07/09/2007, à 11:46

C'est domage que skype soit le logiciel de téléphonie le plus populaire a l'image de MSN alors que pour les deux en face il existe des protocoles ouvert (Jabber, SIP).

totopipo · Le 07/09/2007, à 11:48

+1
Même si convaincre n'est pas forcément le but, mais au moins éveiller la curiosité, sensibiliser (1- les problèmes engendrés par le modèle proprio dominant 2- l'existence d'une alternative logicielle 3- sa philosophie) et, afin que la personne ne se sente plus passive dans cet univers, pousser à la découverte avec la facilité d'utiliser un livecd par exemple.

Maz99 · Le 07/09/2007, à 14:04

http://www.wengophone.fr/index.php?yawl[S]=wengo.public.download&yawl[K]=wengo.public.whatisit

Et que pensez vous de Wengo?

ByRoot · Le 07/09/2007, à 20:26

Il utilise le standard SIP

rien a ajouter...

inconnu · Le 07/09/2007, à 21:05

Si vous utilisez Skype, vous devez accorder votre confiance à la boite qui exploite ce logiciel, ainsi qu'aux concepteurs de skype, sans oublier les agences de renseignements du pays dans lequel est basé l'entreprise exploitant skype.
Nul doute que si vous ne travaillez pas dans un domaine stratégiquement sensible, que vous ne faites pas parti de la mafia et que skype vous sert surtout à prendre des nouvelles de tata Janine (ou tonton Michel) skype peut vous convenir, bien que certaines vulnérabilitées seraient(parait il) exploitables:

Info-Tech détermine cinq inconvénients majeurs à l'utilisation de Skype :
• le protocole de voix sur IP de Skype ne respecte pas les standards et traverse un peu trop facilement les systèmes de sécurité des réseaux d'entreprise (le pare-feu ou firewall ) et l'utilisateur n'aurait bien souvent pas besoin de l'agrément des responsables informatiques pour l'utiliser.
• Skype est bien trop vulnérable pour un usage professionnel . Info-Tech détaille les dangers potentiels : interception des communications et modification éventuelle par un tiers (attaque dite du Man in the Middle ), utilisation du format de codage des données transférées pour dissimuler des virus, ou failles de sécurité qui permettraient une prise de contrôle à distance.
• L'intérêt de Skype est limité dans la mesure où certaines institutions et certains pays l'ont déjà banni.
• Skype pose un certain nombre de problèmes au regard de la loi, notamment dans des domaines où les usagers sont tenus d'enregistrer leurs communications.
• Le logiciel constitue une nouvelle forme de communication qu'il faut réguler et normaliser au sein des entreprises. Or ces dernières ont déjà fort à faire au niveau des obligations légales de conformité et de sécurité.

http://www.atelier.fr/article.php?artid=30808&catid=17
Un article de la revue MISC était consacré au sujet:
http://www.miscmag.com/fr/index.php?2007/05/21/30-misc-31-le-risque-voip
Quelques autres articles:
http://www.zdnet.fr/actualites/internet/0,39020774,39267873,00.htm
http://www.zataz.com/communique-presse/10848/Gr%C3%A2ce-%C3%A0-SurfControl--les-entreprises-peuvent-d%C3%A9sormais-d%C3%A9tecter-et-contr%C3%B4ler-les-d%C3%A9ploiements-non-autoris%C3%A9s-de-Skype-sur-leurs-r%C3%A9seaux.html
Maintenant, qu'en plus ce logiciel fouille dans des fichiers qui ne le regarde pas... perso j'éviterai comme la peste ce genre d'application, non que j'ai des choses à cacher mais je déteste qu'on regarde par dessus mon épaule ce que je fais.

spook · Le 08/09/2007, à 09:49

DerKraKen a écrit :

Si vous utilisez Skype, vous devez accorder votre confiance à la boite qui exploite ce logiciel, ainsi qu'aux concepteurs de skype, sans oublier les agences de renseignements du pays dans lequel est basé l'entreprise exploitant skype.
Nul doute que si vous ne travaillez pas dans un domaine stratégiquement sensible, que vous ne faites pas parti de la mafia et que skype vous sert surtout à prendre des nouvelles de tata Janine (ou tonton Michel) skype peut vous convenir, bien que certaines vulnérabilitées seraient(parait il) exploitables:
Info-Tech détermine cinq inconvénients majeurs à l'utilisation de Skype :
• le protocole de voix sur IP de Skype ne respecte pas les standards et traverse un peu trop facilement les systèmes de sécurité des réseaux d'entreprise (le pare-feu ou firewall ) et l'utilisateur n'aurait bien souvent pas besoin de l'agrément des responsables informatiques pour l'utiliser.
• Skype est bien trop vulnérable pour un usage professionnel . Info-Tech détaille les dangers potentiels : interception des communications et modification éventuelle par un tiers (attaque dite du Man in the Middle ), utilisation du format de codage des données transférées pour dissimuler des virus, ou failles de sécurité qui permettraient une prise de contrôle à distance.
• L'intérêt de Skype est limité dans la mesure où certaines institutions et certains pays l'ont déjà banni.
• Skype pose un certain nombre de problèmes au regard de la loi, notamment dans des domaines où les usagers sont tenus d'enregistrer leurs communications.
• Le logiciel constitue une nouvelle forme de communication qu'il faut réguler et normaliser au sein des entreprises. Or ces dernières ont déjà fort à faire au niveau des obligations légales de conformité et de sécurité.
http://www.atelier.fr/article.php?artid=30808&catid=17
Un article de la revue MISC était consacré au sujet:
http://www.miscmag.com/fr/index.php?2007/05/21/30-misc-31-le-risque-voip
Quelques autres articles:
http://www.zdnet.fr/actualites/internet/0,39020774,39267873,00.htm
http://www.zataz.com/communique-presse/10848/Gr%C3%A2ce-%C3%A0-SurfControl--les-entreprises-peuvent-d%C3%A9sormais-d%C3%A9tecter-et-contr%C3%B4ler-les-d%C3%A9ploiements-non-autoris%C3%A9s-de-Skype-sur-leurs-r%C3%A9seaux.html
Maintenant, qu'en plus ce logiciel fouille dans des fichiers qui ne le regarde pas... perso j'éviterai comme la peste ce genre d'application, non que j'ai des choses à cacher mais je déteste qu'on regarde par dessus mon épaule ce que je fais.

Voilà mais on en revient au problème habituelle, aujourd'hui la grande majorité des utilisateurs ne comprennent rien à tout ces charabia et du moment qu'on leur vend marketingement (ça existe ptete pas ce mot mais bon) parlant un logiciel tout beau, simple à utiliser avec plein de gadgets (surtout pour Windows Live Messenger) ils vont pas chercher plus loin. L'aspect technique ça les regardent pas et le côté légal ou non pareil. Va faire comprendre à quelqu'un qu'un soft si connu venant d'une grande société réalise à son insu des trucs illégales.
Je suis pas défaitiste mais juste réaliste, on changera pas le monde en convertissant tout les 3 semaines un membre de notre entourage qui la plupart du temps finira par repartir sur du proprio.

Psionic · Le 08/09/2007, à 13:25

Personne n'a tenté apparmor?
Je ne comprend rien à son fonctionnement et je souhaiterais un peu d'aide.

Yannick@AMD64 · Le 08/09/2007, à 13:38

Salut,

Un peu d'information tout d'abord:
La VoIP en général
http://doc.ubuntu-fr.org/voip
SIP en particulier:
http://doc.ubuntu-fr.org/SIP

Ensuite le standard IETF (standard du web) SIP a un gros support commercial :
on peux acheter des téléphones dits ATA (des vrais téléphones) qui font SIP (et avec la vidéo bien sur par exemple : http://www.grandstream.com/ipvideosolutions.html ), certains téléphones portables ont SIP aussi (notemment Nokia a developpé une "stack" SIP, par exemple: http://www.nokia.fr/A4363266 ), des très nombreuses sociétés (des centaines, voir par exemple http://www.sipbroker.com/sipbroker/action/providerWhitePages ) nous vendent des communications SIP pour joindre le réseau des téléphones fixes ou portables et leurs prix sont les plus bas du marché (bien plus bas que Skype ou Yahoo). Le FAI free offre un service SIP pour les appels téléphoniques.

Les opérateurs de téléphonie se tournent vers SIP tout comme des société pour leurs communications internes et vers l'extérieur vu que c'est le plus compétitif.

La VoIP du point de vue commercial c'est SIP. (IBM utilise SIP dans ces solutions pour entreprise, iChat d'apple utilise SIP mais ferme son réseau )

Du point de vue desktop on commence à avoir de très bons programmes (x-lite, kapanga pour windows ou Ekiga pour GNU/Linux).

Bref, SIP va bouffer Skype à moyen terme. Pour le moment, le problème c'est plus le grand public.

Concernant la sécurité de Skype, le problème c'est que les seules sources d'informations sont celles de Skype et que ce logiciel contient des fonctionnalités pour *empêcher* de comprendre son fonctionnement : ce n'est pas seulement qu'il est proprio c'est qu'il cache volontairement son traffic réseau comme son propre code binaire, même les pros ont des difficultés énormes a le désassembler.

C'est difficile de leur faire confiance : ils ont peut être de bonnes raisons pour allez voir ici ou là (si on considère que vouloir traverser les parefeu et routeur sans rien demander à l'utilisateur est une bonne raison), mais ils font tout pour empêcher de comprendre s'ils ne font que cela ou s'ils font autre chose.

Bref, il n'y a aucun moyen de savoir ce que fait Skype.

Cordialement,
Yannick

Dernière modification par Yannick@AMD64 (Le 08/09/2007, à 13:47)

Oni · Le 09/09/2007, à 00:31

Yannick@AMD64 a écrit :

Bref, il n'y a aucun moyen de savoir ce que fait Skype.

Un peu comme pour tous les logiciels à code source fermé, non ?

Yannick@AMD64 · Le 09/09/2007, à 00:39

Non c'est encore pire : cette opération http://fr.wikipedia.org/wiki/D%C3%A9sassembler est extrêmement difficile, le binaire est surcodé pour être obscurcit. Quand tu lances skype il va d'abord passer son temps à se décoder/vérifier qu'on ne l'a pas changé, puis, une fois sur qu'il est bien lui-même, il fait de la VoIP.

Si tu lis l'anglais, regarde cette étude:
http://www.secdev.org/conf/skype_BHEU06.handout.pdf

Le traffic réseau est lui aussi caché dans divers paquets.

Il ont fait tout ce qui est possible pour embrouiller ce qu'ils font. Généralement, un programme proprio ne va pas aussi loin.

Cordialement,
Yannick

Dernière modification par Yannick@AMD64 (Le 09/09/2007, à 00:56)

Link31 · Le 09/09/2007, à 01:29

Pas de problème pour le protocole, puisque comme je l'ai dit, il a déjà été découvert par des hackers chinois.

En tout cas, ce PDF est une mine d'idées pour obscurcir un programme !
Non pas que ça me vienne à l'esprit de faire ça, mais bon... ça peut toujours servir

Scotchi · Le 09/09/2007, à 04:24

Vous m'en voyez une fois de plus dégouté de ces logiciel à code caché...
J'ai remover ce "VIRUS"
Non, je ne permet pas qu'un logiciel se permete de fouillé mon ordinateur, même si je n'ai rien a cacher... Le prix de ces information mise dans un paquet a niveau mondial est très élevé...
Pour ekiga ce qui serait bien un mode "auto" qu'un utilisateur lambda installe un ekiga et puisse directement appeler un correspondant... enfin là n'est pas le suget.
Vive mumble, ekiga et jabber.. on en a encore la preuve ici même.

Yannick@AMD64 · Le 09/09/2007, à 11:46

Bonjour,

@Scotchi,
Ekiga va avoir ce mode automatique pour la 3.0 avec l'inscription automatique à ekiga.net dans l'assistant (il faurdra quand même rentrer un nom et un mot de passe je présume). C'est la direction qui est suivie en tout cas.

@Link31,
Je n'ai pas trop le temps d'étayer ce qui va suivre, mais voici mes interrogations:
En effet des hackers chinois ont apparemment "découvert" le protocole de Skype.

Cependant, que vont-ils en faire?
Aux infos on parle beaucoup des hackers chinois (ceux qui sont tolérés par le gouvernement et qui sont très nationalistes, qui attaquent les États américains, allemands, français,... par exemple : http://www.lemonde.fr/web/article/0,1-0@2-3224,36-952776,0.html ). Bon les sources sont les militaires de ces divers pays et la Chine est au croisement de tout un tas d'intérêts contradictoires (idéologique, économique,...). Donc je prends tout cela avec des pincettes.

Ce que je crois, c'est d'une part que Skype ne va pas se laisser faire et changera son protocole pour briser la compatibilité et d'autre part je m'interroge sur le but de ces chinois : d'après l'étude que j'ai cité plus haut, Skype faisait (au moment de l'étude) une confiance aveugle aux clients qui "parlent" skype et les auteurs ont démontrés qu'on pouvait ajouter son propre réseau en surcouche. Comme Skype se fout royalement des mesures de sécurité réseau en cherchant tous les moyens de passer les parfeux et les routeurs, on a *possiblement* un gros trou de sécurité qui pourrait être exploité par ces hackers (interception des communications puisque Skype relai les communications en P2P, voir utilisation d'une faille dans le client pour exécuter arbitrairement des programmes sur la machine qui a Skype.

Bref, c'est le vieux problème de la sécurité par l'obscurité : ça vaut rien.

Quand à être épaté par les mesures qu'utilise Skype pour se cacher, c'est très exactement le contraire de tout ce qui se fait dans le logiciel libre (source publiques, code documenté, usage de standards le plus souvent, respect des pratiques de sécurité, etc.) Je ne comprends pas bien pourquoi tu trouves cela si bien et que dans le même temps tu utilises Ubuntu. Cela s'exclue mutuellement.

Cordialement,
Yannick

Dernière modification par Yannick@AMD64 (Le 09/09/2007, à 11:54)

inconnu · Le 09/09/2007, à 15:10

Scotchi a écrit :

Non, je ne permet pas qu'un logiciel se permete de fouillé mon ordinateur, même si je n'ai rien a cacher... Le prix de ces information mise dans un paquet a niveau mondial est très élevé...

J'ai commis le meme abus de language que toi: je n'ai rien a me reprocher mais comme tout à chacun j'ai des choses à cacher, ne serait ce que l'identité de mes contacts, ce que je leur raconte etc... C'est pas parce que je n'ai pas d'activité illégale ou stratégique que je dois permetre a quelqu'un de savoir ce que je raconte, à qui etc.... Car soyons clairs: c'est bien ce qu'on soupçonne à propos de skype.

Link31 · Le 09/09/2007, à 15:38

Yannick@AMD64 a écrit :

Je n'ai pas trop le temps d'étayer ce qui va suivre, mais voici mes interrogations:
En effet des hackers chinois ont apparemment "découvert" le protocole de Skype.
Cependant, que vont-ils en faire?

C'est bien la question, cependant du moment que le protocole est connu par quelqu'un d'autre que les développeurs de Skype, il y a plus de chances d'avoir un jour l'occasion de l'obtenir.

Yannick@AMD64 a écrit :

Ce que je crois, c'est d'une part que Skype ne va pas se laisser faire et changera son protocole pour briser la compatibilité

Ce n'est pas si facile que tu crois, quand on est en position de force sur un marché, de casser comme ça la compatibilité du protocole...

Yannick@AMD64 a écrit :

Quand à être épaté par les mesures qu'utilise Skype pour se cacher, c'est très exactement le contraire de tout ce qui se fait dans le logiciel libre (source publiques, code documenté, usage de standards le plus souvent, respect des pratiques de sécurité, etc.) Je ne comprends pas bien pourquoi tu trouves cela si bien et que dans le même temps tu utilises Ubuntu. Cela s'exclue mutuellement.

Et alors ? Je ne vois pas en quoi étudier les mesures de protections des logiciels libres est intéressant, puisqu'ils n'y en a pas. Par contre, c'est beaucoup plus intéressant d'étudier les techniques utilisées par Skype.

Je n'ai jamais dit que c'était bien d'obscurcir un programme, mais en ce qui concerne la façon dont s'y prend Skype c'est astucieux. Si je devais ne m'intéresser qu'aux choses "bien", j'en serais encore au stade bisounours. De plus, savoir comment faire du code indéchiffrable permet d'apprendre à faire du code et des prococoles clairs.

Sache que toutes les lignes de code que j'ai pu écrire depuis que je connais Linux sont sous >=GPL2.

Oni · Le 09/09/2007, à 16:43

Yannick@AMD64 a écrit :

Non c'est encore pire : cette opération http://fr.wikipedia.org/wiki/D%C3%A9sassembler est extrêmement difficile, le binaire est surcodé pour être obscurcit. Quand tu lances skype il va d'abord passer son temps à se décoder/vérifier qu'on ne l'a pas changé, puis, une fois sur qu'il est bien lui-même, il fait de la VoIP.
Si tu lis l'anglais, regarde cette étude:
http://www.secdev.org/conf/skype_BHEU06.handout.pdf
Le traffic réseau est lui aussi caché dans divers paquets.
Il ont fait tout ce qui est possible pour embrouiller ce qu'ils font. Généralement, un programme proprio ne va pas aussi loin.
Cordialement,
Yannick

Ok, merci pour tes précisions.

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#51 Le 07/09/2007, à 09:38

Re : Skype pour Linux lit les mots de passe et profils Firefox!

#52 Le 07/09/2007, à 11:24

Re : Skype pour Linux lit les mots de passe et profils Firefox!

#53 Le 07/09/2007, à 11:46

Re : Skype pour Linux lit les mots de passe et profils Firefox!

#54 Le 07/09/2007, à 11:48

Re : Skype pour Linux lit les mots de passe et profils Firefox!

#55 Le 07/09/2007, à 14:04

Re : Skype pour Linux lit les mots de passe et profils Firefox!

#56 Le 07/09/2007, à 20:26

Re : Skype pour Linux lit les mots de passe et profils Firefox!

#57 Le 07/09/2007, à 21:05

Re : Skype pour Linux lit les mots de passe et profils Firefox!

#58 Le 08/09/2007, à 09:49

Re : Skype pour Linux lit les mots de passe et profils Firefox!

#59 Le 08/09/2007, à 13:25

Re : Skype pour Linux lit les mots de passe et profils Firefox!

#60 Le 08/09/2007, à 13:38

Re : Skype pour Linux lit les mots de passe et profils Firefox!

#61 Le 09/09/2007, à 00:31

Re : Skype pour Linux lit les mots de passe et profils Firefox!

#62 Le 09/09/2007, à 00:39

Re : Skype pour Linux lit les mots de passe et profils Firefox!

#63 Le 09/09/2007, à 01:29

Re : Skype pour Linux lit les mots de passe et profils Firefox!

#64 Le 09/09/2007, à 04:24

Re : Skype pour Linux lit les mots de passe et profils Firefox!

#65 Le 09/09/2007, à 11:46

Re : Skype pour Linux lit les mots de passe et profils Firefox!

#66 Le 09/09/2007, à 15:10

Re : Skype pour Linux lit les mots de passe et profils Firefox!

#67 Le 09/09/2007, à 15:38

Re : Skype pour Linux lit les mots de passe et profils Firefox!

#68 Le 09/09/2007, à 16:43

Re : Skype pour Linux lit les mots de passe et profils Firefox!

Pied de page des forums