Une faille de Skype permettait à une personne malintentionnée de connaitre l’adresse IP d’un utilisateur pour la cibler avec une attaque DDoS. Elle vient d’être corrigée… après plus de 5 ans.
C’est en novembre 2010 que des chercheurs français de l’INRIA et de l’institut polytechnique de New York ont découvert qu’il était possible de géolocaliser les utilisateurs en utilisant une faille qui révèle leur adresse IP. Ils ont même pu effectuer de courts appels vers ces utilisateurs sans apparaitre dans le journal des communications, en désactivant les notifications. L’association des deux permet de découvrir quel identifiant est associé à quelle IP.
Alors que les joueurs en ligne utilisent beaucoup Skype, la connaissance de leur adresse IP par une personne malveillante permet de les cibler avec une attaque DDoS. Ce genre d’attaque vise bien évidemment à nuire aux joueurs.
Plus de 5 ans après sa découverte, cette faille vient enfin d’être colmatée. Les versions pour PC, Mac et les appareils mobiles viennent d’être mise à jour pour masquer par défaut les adresses IP des utilisateurs. Il suffit donc d’installer cette nouvelle version pour être un peu plus à l’abri d’une éventuelle attaque DDoS.
Il est à noter que cela n’explique pas pourquoi Skype a mis si longtemps à corriger cette faille. Il était certes déjà possible de masquer son adresse IP dans l’application, une option qui n’était pas activée par défaut.