La semaine dernière, une polémique un peu technique a émergé à propos de la sécurité de Skype et de ses programmes d’installation et de mise à jour. Un article de ZDnet a d’abord mis le feu aux poudres, entraînant dans son sillon toute une série de publications similaires. Notre confrère arguait qu’une faille dans le système de mise à jour permettait une méchante élévation de privilèges au travers d’une attaque par injection DLL. Pire : Microsoft ne voulait pas patcher ce problème car cela demandait trop d’efforts. Il s’appuyait pour cela sur l’article d’un hacker allemand, Stefan Kanthak.
Mais quelques jours plus tard, c’est le coup de théâtre. The Register veut rétablir la vérité, expliquant que la terrible faille a en fait été corrigée. Celle-ci aurait bel et bien existé dans la version 7.4, mais n’apparait plus dans la version 8 publiée en octobre dernier. L’article cite à cet effet un message de Microsoft qui précise : « Le problème se situait dans le programme qui installe le logiciel Skype. Le problème n’était pas dans le logiciel Skype lui-même ». On est donc rassuré.
Mais en fait, The Register s’emmêle un peu les pinceaux et ne rétablit la vérité qu’à moitié. La faille dont parlait ZDnet concernait effectivement Skype 7.4 (ce que le hacker allemand ne précisait pas au début), mais celle-ci était logée dans le programme de mise à jour, pas dans le programme d’installation (comme le suggère Microsoft). Par ailleurs, il s’avère que le message de l’éditeur est finalement faux.
Des logiciels « pourris »
Contacté par 01net.com, le hacker allemand explique que le programme d’installation de Skype v8 est tout aussi vulnérable à l’attaque par injection DLL que ne l’était le programme de mise à jour de Skype v7. Un attaquant peut là aussi « obtenir une élévation de privilèges, mais de manière légèrement différente », souligne-t-il dans une note de blog. Comment ? Il suffit qu’un attaquant arrive à placer une fausse DLL malveillante dans le dossier dans lequel s’exécute le programme d’installation, qui est généralement celui des téléchargements. Le programme ne va pas chercher plus loin et charge automatiquement cette DLL piégée avec les privilèges du système. Et le tour est joué.
Le chercheur en sécurité nous affirme également que l’utilisateur de Skype v7 ne peut pas mettre à jour de manière automatique son logiciel vers Skype v8, contrairement à ce qu’affirme Microsoft. La seule manière d’obtenir la dernière version du logiciel de communication est de l’installer manuellement.
Stefan Kanthak en profite, enfin, pour dire tout le mal qu’il pense de l’éditeur. Selon lui, les programmes d’installation de Skype sont développés avec des framework obsolètes de Borland Delphi qui n’intègrent pas certaines techniques de sécurité basiques comme la distribution aléatoire de l’espace d’adressage (ASLR) ou les « stack cookies », qui sont pourtant prônées par Microsoft lui-même. Bref, « ces logiciels sont pourris ! », estime-t-il.
Nous avons interpellé Microsoft sur toute cette histoire. Réponse : « Pas de commentaire pour le moment ». A noter, enfin, que Stefan Kanthak vient également d’épingler Microsoft sur la gestion de ses patchs de sécurité. C’est la série noire pour la firme de Redmond.