Une vulnérabilité a été découverte dans l’application mobile Skype qui permet aux pirates d’obtenir l’adresse IP de l’utilisateur lors de l’ouverture d’un message avec un lien spécifique.
Trouver votre adresse IP, via un simple message sur Skype, possible. Ce défaut a été identifié par un chercheur indépendant en sécurité nommé Yossi. Le chercheur a découvert qu’n pirate informatique peut déterminer l’emplacement général d’un utilisateur en lui demandant d’ouvrir un message contenant un lien. Yossi a signalé le problème à Microsoft début du mois d’août. Pour démontrer la vulnérabilité, Yossi a réalisé une démonstration avec l’adresse IP d’un journaliste de 404 Media.
Un pirate pourrait faire de même et récupérer l’IP originale, même si cette adresse est cachée derrière un réseau privé virtuel (VPN). Lorsque Yossi a contacté Microsoft le 12 août, on lui a répondu que « la divulgation d’une adresse IP en soi n’est pas considérée comme une faille de sécurité ». À la suite d’un appel de 404 Media, Microsoft a déclaré qu’il résoudrait le problème dans une « future mise à jour du produit« , sans préciser de date. Rappelons que des pirates chinois ont récemment eu accès au courrier électronique du gouvernement américain via Microsoft Azure, ce qui a suscité des critiques à l’encontre de l’entreprise pour son approche des failles de sécurité.
Plus tôt cet été, le PDG de la société de cybersécurité Tenable, Amit Göran, a accusé Microsoft de « négligence grave » en citant le retard de l’entreprise à corriger une vulnérabilité critique.