La fonction vidéo dans Skype est victime d'une vulnérabilité

Pour l’instant, le trublion de la VoIP n’a pas publié de correctifs, il a simplement désactivé la fonction vidéo de son logiciel, le temps de trouver une parade…

Face à la menace, la fonctionnalité « partage de vidéo » est temporairement désactivée côté serveurs. Une méthode plutôt radicale.

À l’heure actuelle, il n’y a que les versions 3.5 et 3.6 pour Windows qui sont concernées. L’exploitation d’une erreur de type Cross-Zone Scripting lors de l’ajout d’une vidéo combinée à une vulnérabilité du site Dailymotion permettrait à un individu malveillant ou à un virus d’exécuter du code malicieux via une page Web piégée.

La menace est élevée, estime le chercheur en sécurité Aviv Raff qui explique dans une note que cette vulnérabilité pourrait permettre à un hacker de cibler les utilisateurs du logiciel de VoIP avec un ver qui se reproduit, et se propage à l’ensemble des contacts de la cible très rapidement.

Conséquence de cette découverte, Skype a été obligé de fermer l’option partage de vidéo. À la rédaction de cette note, l’éditeur n’a toujours pas corrigé ce problème. Le bug exploite la façon dont Skype utilise un composant d’Internet Explorer pour afficher du code HTML.

La fonctionnalité partage de vidéo permet aux utilisateurs du soft de partager des films des réseaux Dailymotion.com et Metacafe.com, tout en discutant avec leurs contacts.

D’après Raff, qui comme à son habitude a fait une démonstration de ce hack, « les utilisateurs sont piégés très simplement par un faux lien renvoyant vers un site contenant du code malveillant qui est placé dans la fenêtre de discussion la messagerie instantanée. Ce qui signifie que cette vulnérabilité peut être exploitée à grande échelle, et se répliquer très facilement »

Conséquence, depuis plusieurs jours, les utilisateurs de Skype ne peuvent plus cliquer sur l’option partage de vidéo. S’ils essayent, un message d’erreur, plutôt courtois, apparaît : « cette fonctionnalité a été temporairement désactivée pour des raisons de sécurité. Nos meilleurs ingénieurs travaillent sur la question et cette fonction sera rapidement de retour. Nous nous excusons pour la gêne occasionnée. »