Quantcast
Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

Une fuite d’adresse IP dans Skype

Dans un document de 14 pages, des chercheurs Allemands, Français et Américains expliquent comment ils ont réussi à identifier une personne présente sur Skype et même savoir ce qu’elle partageait via Bittorrent.

Ça parait magique, mais finalement, ça ne l’est pas tant que ça. Ça reste quand même une véritable faiblesse du système Skype. En gros, voici comment ça fonctionne.

Tout d’abord, pour trouver l’ID Skype d’une personne, il suffit de chercher un peu. Soit sur le net, soit via le moteur de recherche de Skype. Il y a ensuite quelques infos personnelles que l’utilisateur a lui-même renseigné, qui peuvent être connu (age, sexe, ville…etc).

Jusque là tout va bien. Les chercheurs ont ensuite mis au point une méthode permettant d’extraire une adresse IP des paquets renvoyés pour un appel. Même si par exemple, un attaquant, qui ne vous a pas ajouté dans Skype, vous appelle, il peut connaitre votre IP. Cela fonctionne même avec les comptes dont l’utilisateur a bloqué les appels entrants en provenance de personnes qui ne sont pas dans sa liste de contacts. C’est là où Skype pèche… Le soft transmet l’adresse IP alors qu’elle ne devrait le faire réellement que quand 2 personnes sont vraiment en contact.

Ensuite, pour cette histoire de tracking Bittorrent, c’est ce qui m’a intéressé le plus mais finalement, il n’y a rien de transcendant… Les mecs ont tout simplement branché leur client bittorrent, ont téléchargé tous les plus gros hits tournant actuellement et ont fait du recoupage entre les adresses IP obtenues via Skype et celles obtenues lors d’un téléchargement dans bittorrent.

Et quand ça correspond, et bien, on sait finalement que Mr Machin Truc est en train de télécharger le dernier Fast & Furious. On peut aussi, en faisant un peu de géoloc sur l’IP, connaitre les déplacements de tel ou tel utilisateur Skype. Un peu comme si Skype était un mouchard GPS.

C’est une utilisation très intelligente (mais pas révolutionnaire) d’une fuite d’adresse IP. Skype reste un soft utilisant du p2p, donc c’est logique que ça se passe comme ça mais reste à voir maintenant comment Skype va réagir et s’ils vont faire quelques modifs pour limiter au maximum ce genre de pratiques (au moins avec des contacts qui ne nous ont pas encore ajouté).

————————-

Voici un complément d’information apporté par Arnaud, l’un des inventeurs de cette méthode :

Je tiens à apporter quelques précisions sur le travail discuté dans cet article. Tous les détails sont disponibles dans la publication scientifique (http://hal.inria.fr/inria-00632780/en/).
L’objectif des travaux du projet Bluebear (http://planete.inria.fr/bluebear) est de montrer qu’il est possible d’exploiter les communications pair-à-pair pour porter atteinte à la vie privée des internautes. Plus précisément, on étudie si un individu sans infrastructure dédiée (par exemple sans une infrastructure d’écoute) et sans information privilégiée (par exemple, sans travailler pour un FAI, Google ou Facebook) peut porter massivement atteinte à la vie privée des internautes. Les grandes sociétés de l’Internet (Google, Facebook, Apple, etc.) collectent énormément d’informations personnelles. Cependant, on peut raisonnablement croire que ces sociétés ne feront pas quelque chose qui risque de leur faire perdre des clients à grande échelle.

On pense que le vrai risque pour la protection de la vie privée est la possibilité qu’un seul individu malveillant puisse porter atteinte, sans aucun contrôle, à la vie privée d’un grand nombre d’internautes.
Le travail que l’on a effectué sur Skype s’inscrit dans ce cadre. Il s’agit d’un travail mené par Stevens Le Blond durant sa thèse à Inria sous la supervision d’Arnaud Legout et Walid Dabbous (chercheurs à Inria) et en collaboration avec Keith Ross et Chao Zhang de Polytechnic Institute of New York University.

Dans un papier qui sera présenté à la conférence Internet Measurement Conference 2011 en novembre à Berlin, on montre qu’un individu sans infrastructure dédiée et sans information privilégiée peut trouver l’adresse IP, suivre les déplacements et les téléchargements BitTorrent de n’importe quel utilisateur de Skype sans que celui-ci puisse ni détecter ni bloquer cette attaque. Cette attaque fonctionne pour l’intégralité des utilisateurs de Skype, soit plus de 500 millions d’utilisateurs enregistrés. De plus, comme Skype offre un service d’annuaire, il est possible de lier une identité sociale (par exemple, un nom, un prénom, un âge, ou une adresse email) à une adresse IP sans d’aide d’un FAI.

Il est important de faire la distinction entre la facilité de connaître l’adresse IP d’un pair avec qui on communique (l’adresse est contenue dans tous les paquets IP que l’on reçoit) et la difficulté d’exploiter de manière pratique cette attaque, en particulier pour faire des attaques à grande échelle (et donc potentiellement avec un impact néfaste important).

Prenons un exemple simple. Supposons qu’Alice utilise Skype pour communiquer ou BitTorrent pour partager un fichier. Alice peut facilement connaître l’adresse IP des tous les pairs avec qui elle communique puisque Skype et BitTorrent sont des applications pair-à-pair. Mais si maintenant Alice n’a pas de communication applicative avec Bob (c’est-à-dire qu’à aucun moment l’application ne sait qu’une communication existe entre Alice et Bob), est-ce qu’Alice peut toujours obtenir l’adresse IP de Bob ? Notre réponse est oui avec la plupart des protocoles pair-à-pair, et en particulier avec Skype. On utilise le fait que pour établir une communication applicative, il faut auparavant établir une communication réseau (par exemple, un handshake TCP). Si cette communication réseau est interrompue avant que la communication applicative soit établie, l’application n’a aucun moyen de connaître cette communication réseau, mais cette communication réseau est suffisante pour récupérer l’adresse IP de Bob. On a montré que pour Skype même si Bob bloque l’attaquant explicitement (dans les préférences de protection de la vie privée dans Skype), s’il utilise une liste verte de contacts autorisés, ou s’il est déconnecté au moment de l’attaque (du moment qu’il a utilisé Skype dans les dernières 72 heures), Alice peut obtenir son adresse IP sans qu’il n’ait aucun moyen de bloquer cette attaque ni de la détecter. Ce que l’on fait est très différent d’un simple tcpdump sur des communications entre pairs. C’est une attaque silencieuse, indétectable, non-bloquable, totalement automatique et qui de demande aucune coopération de la personne attaquée. Notre technique se base sur des détections de patterns réseaux et sur des interruptions prématurées des communications réseaux. Même s’il est possible pour Skype de changer ces patterns, il est impossible de totalement les supprimer (à moins de faire du padding, ce qui n’est pas réalisable dans ce contexte). Par conséquent, cette attaque est très difficile à empêcher.

Une fois que l’on peut obtenir l’adresse IP, on peut suivre les déplacements de n’importe quel utilisateur de Skype soit en faisant une géolocalisation de l’adresse IP ou en faisant un reverse DNS lookup sur l’adresse IP. On montre que sur 10 000 utilisateurs choisis au hasard 40% changent de ville et 4% de pays sur 2 semaines. Par conséquent, Skype peut être utilisé en pratique pour suivre la mobilité des internautes.

Pour finir on peut également lier une identité sociale (profil Skype, Facebook ou LinkedIn), une adresse IP et une liste de téléchargements BitTorrent à une même machine, même si la machine est derrière un NAT ou une passerelle IPv6/IPv4. Pour cela on utilise la prédictabilité de l’identifiant de datagrammes dans les entêtes IP pour identifier de manière sûre que Skype et BitTorrent sont exécutés depuis la même machine.

En résumé, un individu sans infrastructure dédiée ni accès à des informations privilégiés peut collecter sur des millions d’internautes leur activité réseau, leur identité sociale et leurs déplacements. Par exemple, il est possible de faire des attaques de phishing personnalisées, d’espionner des déplacements ou des interactions sociales en suivant les déplacements de tous les amis de Bob sur Facebook.

Note but est d’attirer l’attention des utilisateurs sur ces risques pour qu’ils prennent des mesures de protection appropriées (par exemple couper le client Skype lorsqu’on ne l’utilise pas).

[Source]


On fête la rentrée avec NordVPN ! [Bon plan] -68%

-68% 3,3€/mois durant 2 ans

Protection en un clic, fonctionnalité Kill Switch, masquage de votre adresse IP, prise en charge des partages de fichiers en p2p, protection contre les malwares et les pubs, streaming sans interruption, test de fuite DNS et même possibilité de coupler l’outil avec l’anonymat de The Onion Router … sont quelques-unes des autres options disponibles.

À noter que cet été l’outil a passé avec succès l’audit d’une société indépendante (PricewaterhouseCoopers) concernant leur politique de non-conservation de registre d’activité, validant que NordVPN ne conservait pas l’activité de ses utilisateurs sur le web.

De plus une licence NordVPN vous permet de protéger jusqu’à 6 appareils et cela, quelle que soit la plateforme sur laquelle ces derniers tournent (android où iOS, Windows, Linux ou macOS, android TV).

En Savoir +



Un korbenaute trouve son nouveau job via Laou et ça c’est cool

— Article sponsorisé par Laou (mais basé sur des faits réels) —

Salut les amis, vous vous souvenez de mes articles concernant le service Laou ? Et bien j’ai appris récemment qu’au moins un de mes lecteurs (les meilleurs lecteurs du monde à la base donc ils ont un bonus en charisme) a trouvé un nouveau travail grâce à ça. Et ça fait vraiment, mais alors vraiment, plaisir.

Lorsqu’un de mes tutos permet de débloquer une situation ou que je fais découvrir un nouveau site, ça fait zizir et j’ai l’impression d’avoir été utile de manière concrète. Mais si quelqu’un trouve un travail grâce à une de mes infos c’est forcément encore mieux. Parce que l’impact sur la vie de la personne en question est beaucoup plus grand. D’ailleurs, aider les gens à trouver un emploi a toujours été une de mes envies, raison pour laquelle j’ai lancé RemixJobs dès 2010 (longtemps site de référence pour le recrutement web et informatique). Et si ce dernier vient de mourir de sa belle mort, il est possible que je vous réserve l’une ou l’autre surprise sur le sujet bientôt.

Laou recherche d'emploi dans le numérique

Tout ça pour en revenir à Laou. Pour les nouveaux venus je rappelle qu’il s’agit d’une plateforme de recrutement spécialisée dans l’IT en région. Si vous voulez découvrir le travail en province et/ou quitter le stress de la capitale, Laou vous aidera non seulement à trouver un nouvel emploi sur mesure, mais prendra aussi un tas de « soucis » à sa charge : vous trouver un logement, trouver un boulot à votre conjoint, gérer le déménagement, vous faire découvrir votre ville d’adoption … Et cerise sur le gâteau tous les frais sont à la charge de votre futur employeur.

Maintenant la partie la plus cool de l’histoire. Elle concerne Steven, développeur fullstack de 25 ans.

Sans trop entrer dans des détails perso, Steven est originaire du sud de la France et était monté à Paris pour se faire une expérience pro. Il n’y arrive pas vraiment et a un peu de mal à s’y faire un cercle d’amis. Du coup il se dit que Laou pourrait être une option et qu’il va essayer de trouver son boulot rêvé : gameplay developper dans le secteur du jeu vidéo. Sans succès dans un premier temps, car sans expérience c’est tout de suite plus compliqué.

Quitter Paris en 2020 avec Laou

En discutant un peu avec Charlotte, la personne en charge de son dossier, il se rend compte qu’il est plus important pour lui de quitter Paris et d’avoir un cadre de vie adapté que de trouver l’intitulé de boulot exact qu’il recherche. Il est prêt à faire ses classes avant. Et là BAM tout décolle, il reçoit plusieurs propositions dans diverses régions de l’hexagone.

Après plusieurs échanges et un suivi, régulier Laou lui paie une nuit d’hôtel pour lui permettre de rencontrer ce qui sera son futur employeur, be-ys. En plus c’est situé à Clermont-Ferrand #AuvergneRepresent. Juste pour vous situer un peu le dévouement de Laou, le train de Steven est arrivé avec 3 heures de retard à Clermont, et pour s’assurer que tout se passerait bien pour lui, Charlotte était à la gare, de nuit, juste pour l’accueillir. C’est ça le service Laou, du sur mesure et de la flexibilité.

Service Settlesweet

Une fois le contrat signé c’est au tour de Settlesweet de prendre le relais. Settlesweet est le partenaire de Laou pour tout ce qui se touche à la recherche de logement, ce sont eux qui prennent en charge cet aspect de A à Z. Le principe est simple : leur algorithme va analyser une quinzaine de sites d’annonces selon vos critères personnalisés afin de vous trouver le logement le plus adapté à vos envies.

Ensuite, un Home Matcher dédié à votre recherche se chargera de prendre rendez-vous pour les visites et de déposer vos candidatures, le tout en vous tournant les pouces. Settlesweet est entièrement gratuit pour les déménagements dans le cadre d’un nouvel emploi ou d’une mutation. 

Au final il se sera passé quelques mois entre la lecture de mon article et son premier jour de travail. Ce qui est plutôt pas mal, surtout en considérant la pandémie qui a retardé beaucoup de choses. J’espère que Steven lira cet article et qu’il n’hésitera pas à nous partager avec ses mots la manière dont il a vécu tout le processus, ça ferait plaisir !


On fête la rentrée avec NordVPN ! [Bon plan] -68%

-68% 3,3€/mois durant 2 ans

Protection en un clic, fonctionnalité Kill Switch, masquage de votre adresse IP, prise en charge des partages de fichiers en p2p, protection contre les malwares et les pubs, streaming sans interruption, test de fuite DNS et même possibilité de coupler l’outil avec l’anonymat de The Onion Router … sont quelques-unes des autres options disponibles.

À noter que cet été l’outil a passé avec succès l’audit d’une société indépendante (PricewaterhouseCoopers) concernant leur politique de non-conservation de registre d’activité, validant que NordVPN ne conservait pas l’activité de ses utilisateurs sur le web.

De plus une licence NordVPN vous permet de protéger jusqu’à 6 appareils et cela, quelle que soit la plateforme sur laquelle ces derniers tournent (android où iOS, Windows, Linux ou macOS, android TV).

En Savoir +