Un sérieux bug dans Skype peut permettre à des personnes mal intentionnées d’avoir accès aux systèmes des utilisateurs. Microsoft se voit donc obligée de prendre des mesures rigoureuses.
Une importante faille a été découverte dans le code d’une récente mise à jour du service de chat vidéo Skype. Le chercheur en sécurité Stefan Kanthak a signalé le problème à Microsoft, et l’entreprise de Redmond prépare une solution.
Mais selon Microsoft, une simple mise à jour sécuritaire ne pourra pas résoudre le problème. Il faudra en effet effectuer une ‘sérieuse révision’ du code. Le problème se situe au niveau de la toute dernière mise à jour transférant les conversations cryptées vers Skype.
‘DLL-hijacking’
En raison d’une légère modification introduite par la mise à jour automatique, des pirates peuvent déposer un maliciel dans le dossier temp sur le système d’un utilisateur de Skype. Ce dépôt nuisible reçoit ensuite le nom d’un fichier DLL original de ce dossier, une technique appelée ‘DLL-hijacking’. Tout le processus peut se dérouler sans droits d’administrateur spécifiques.
Selon Kanthak, des personnes mal intentionnées peuvent abuser de différentes manières de la faille en question. Elles sont par exemple à même d’intercepter des fichiers sensibles, supprimer des données ou installer un rançongiciel (ransomware). Le DLL-hijacking est aussi possible sur les systèmes Linux et Mac.
A l’entendre, Microsoft déploie tous les efforts possibles pour réécrire le code de Skype dans les plus brefs délais, sans préciser quand le problème sera résolu précisément.
