L'écoute téléphonique passe elle aussi à l'IP et cible Skype
Symantec et Trend Micro annoncent avoir isolé le code source d'un Troyen ciblant l'application de VoIP Skype. Selon les éditeurs, ce malware enregistre, une fois installé, les conversations Skype de l'utilisateur ciblé en MP3, avant d'envoyer ces fichiers vers un serveur prédéfini par leur développeur malveillant. Mais le cœur de ce logiciel malveillant, la partie chargée de l’interception des communications sur IP, ne paraît pas totalement inconnu : il rappelle un code récemment diffusé en Open Source.
Un nouveau vers a commencé à se propager. Symantec et Trend Micro viennent de lancer l’alerte, sur leurs blogs respectifs. Identifié par le premier sous le nom de Trojan.PeskySpy, et par le second sous lappellation Troj_Spayke.C, le nouveau malware procède à des écoutes téléphoniques sauvages. Mais pas n’importe lesquelles : le logiciel malicieux vise les communications IP passées via Skype ; il les enregistre dans un fichier MP3 transmis, par la suite, à un pirate. Pour l’équipe Security Response de Symantec, il s’agit de « quelque chose qui pourrait être considéré comme le premier cheval de Troie d’écoute téléphonique. »
Une première technologique
Le vrai souci, comme l’indique Symantec, n’est pas que ce logiciel malveillant, diffusé à la manière d’un cheval de Troie, vise Skype : la popularité du logiciel en fait naturellement une cible de choix. Le souci n’est pas non plus que les protocoles utilisés par Skype soient perméables. Le souci, c’est bien que ce logiciel malveillant d’écoute sauvage « s’interface avec différents appels d’API de Windows utilisées pour les entrées/sorties audio. Il est ainsi capable d’intercepter toutes les données audio transitant entre les processus de Skype et les équipements audio. » Un modus operandi de niveau « inférieur aux mesures de sécurité » qui permet, de fait, de capturer l’audio « indépendamment de tout protocole ou de mesure de chiffrement spécifique à l’application. »
Pour Symantec, comme pour Trend Micro, ce logiciel malveillant ne représente pas encore une menace sérieuse : « il ne contient pas de méthode de propagation d’ordinateur à ordinateur », notamment. De quoi n’en faire qu’un prototype permettant de valider un concept. Un concept que l'on imagine aisément extensible à d'autres outils de VoIP.
Un concept à prendre au sérieux
Certes, depuis Vista, Windows intègre un dispositif de sécurisation des flux multimédia – Protected Media Path. Mais celui-ci ne s’applique qu’aux contenus protégés par DRM. Les flux audio classiques ne sont pas concernés. Mais ce qui donne de la crédibilité à ce nouveau logiciel malveillant, c’est surtout le fait qu’il semble largement inspiré d’un code, récemment diffusé en Open Source par son auteur, Ruben Unteregger. Ni Symantec, ni Trend Micro n’évoquent ouvertement de lien de parenté entre les deux codes. Mais le descriptif du malware produit par Symantec rappelle largement celui que Ruben Uteregger fait de son SkypeTrojan : « il injecte des appels dans le processus Skype pour intercepter les données audio entrant et sortant du processus. Il extrait les données audio PCM, les convertit en MP3, puis les adresse à l’attaquant après chiffrement. » Ruben Unteregger a développé ce code alors qu’il était salarié de la société suisse de services informatiques ERA IT Solutions. Laquelle a confirmé précédemment l’existence d’un logiciel d’écoute des communications en VoIP sur Skype, développé pour les besoins du gouvernement helvète.
Dans un entretien accordé au portail Gulli, Ruben Unteregger a reconnu vouloir procéder à la diffusion de son code source pour en permettre une large étude et, par ricochet, réduire l’efficacité potentielle de ce type de logiciel malveillant.