Vol de données par l'intermédiaire de Skype, c'est possible

Une faille de sécurité a été découverte dans l'application de téléphonie sur Internet Skype, sous Windows. Cette faille pourrait être utilisée pour voler des données par l'intermédiaire d'un lien piégé qui, au lieu d'établir une communication vers un autre utilisateur, téléchargerait un fichier depuis le PC affecté, sans aucune permission nécessaire.

Mais pas de panique : dans tous les cas, l'attaquant doit connaître exactement le nom et l'emplacement du fichier convoité. Le receveur doit accepter le transfert du fichier sur son système. Si le transfert est refusé, aucune donnée n'est envoyée. Et enfin, le transfert de fichier, qui ouvre automatiquement la fenêtre de dialogue habituelle, peut être annulé d'un simple clic.

La vulnérabilité est classée « modérément critique », soit un troisième niveau de dangerosité sur une échelle de cinq.

Dans tout les cas, il est conseillé de ne pas cliquer sur des adresses Skype inconnues reçues par mail ou sur un lien sur un site renvoyant vers un correspondant Skype.

A noter que le correspondant Skype qui reçoit le fichier peut ne pas être complice de la malveillance.

Ce problème impacte les versions Windows de Skype 2.0.0.104 et précédentes, ainsi que la bêta 2.5.0 à 2.5.0.78. Néanmoins, il suffit de faire la mise à jour vers la version Skype 2.5, release 2.5.*.79 ou au-delà, ou Skype 2.0, release 2.0.*.105 ou ultérieure, qui toutes les deux, corrigent ce bug.

Notons qu'une nouvelle version (1.4.0.49) du logiciel pour Mac OS X a été également publiée. Elle fonctionne en mode natif à la fois sur les ordinateurs Mac basés sur un processeur Intel, et sur ceux équipés de puces PowerPC.