Faut-il utiliser Skype en entreprise ?

Vous avez dû voir dans les journaux que le géant de la messagerie instantanée Skype est sous le collimateur de l’ARCEP. L’autorité de régulation des communications reproche à la filiale de Microsoft de ne pas s’être déclaré en tant qu’opérateur de communication  et donc de ne pas respecter certaines obligations comme l’acheminement des appels d’urgence et la mise en œuvre des moyens nécessaires à la réalisation des interceptions judiciaires, en clair faciliter les écoutes.

Au-delà de cette bataille juridique qui n’est pas terminée – Skype a répondu via l’AFP qu’ «il n’est pas un fournisseur de services de communication électronique au sens de la législation française», il est intéressant de creuser un peu cette notification :

Appel d’Urgences :

Skype est membre du groupe de lobbying Voice On the Net in Europe regroupant des acteurs de la VOIP, et qui justifie cette position par :

Comme la voix est intégré dans une variété de nouveaux types d'applications et de services, il est important que les consommateurs comprennent que les jeux informatiques, les logiciels, les blogs, les avatars, la messagerie instantanée et les logiciels de communication vidéo, sites Web et autres services Internet - si elles incluent la voix qui touche le RTPC ou non - ne peut pas fournir un accès en cas d'urgence et ne doit pas se substituer à un service téléphonique traditionnel.

Pourtant, Sur le site de Skype, il est noté que les appels d’urgence Skype sont activés pour l’Australie, le Danemark, la Finlande et le Royaume-Uni.

Alors, un poids, deux mesures ?

Les écoutes

A coté des écoutes "légales", il y a les autres écoutes illégales cette fois. Et on ouvre la porte à un beau mélange de fantasmes et de réalités.

Ecoutes

Une écoute téléphonique, dans le film de Coppola "The Conversation"

Un DSI Client nous a posé récemment une question sur la confidentialité des communications Skype :

Confronté à une demande forte des directions métier à utiliser Skype pour communiquer entre eux, je me demande quels risques prend l’entreprise à utiliser SKYPE.

Voilà des éléments de réponses

Une communication sécurisée ?

Filiale de Microsoft pour qui la sécurité des produits est essentielle,  Skype est central dans la stratégie Messagerie Instantanée et VOIP de l'éditeur. En absorbant progressivement Windows Live Messenger, Skype représentera 83% du marché de la messagerie instantanée cette année.

Voilà quelques éléments à prendre en compte :

Il y a eu effectivement des analyses (ici, ) qui ont présenté des failles de sécurité dans Skype.  Les principales sont :

  • L'interface de Skype est basée sur des noms (pseudo) issus de la liste des contacts, pas les ID Skype. Il n'y a pas de garantie du contact final
  • Les transferts de fichiers ne se font pas en utilisant une connexion sécurisée et donc peuvent être altérée par un tiers
  • Les communications Skype pourraient être interceptés, imités et surveillés
  • Skype pourrait contenir une porte dérobée (backdoor) comme sur sa version destinée à la Chine (pour une conformité aux lois locales)
  • On peut rappeller également que Microsoft a déposé un brevet portant sur les moyens logiciels et matériels d’enregistrer les conversations téléphoniques passées via la VoIP à l’insu de l’utilisateur.

Ces études sont toutefois contestées par Skype et d'autres analystes.

Wikipedia a également un article sur la sécurité de Skype qui couvre ce sujet sensible en décrivant l’implémentation et les protocoles de l’application ainsi que des failles et des risques potentiels.

 

Quelques commentaires

  • La messagerie instantanée et la téléphonie sur IP sont des outils de travail collaboratifs indispensables au même titre que le mail.
  • Dans une utilisation professionnelle, ces outils doivent être déployés accompagnés d’une chartre précisant aux collaborateurs leurs limites (pas de discussions sur des sujets confidentiels, pas de transfert de fichiers, pas de pseudos...) (Voir par exemple les recommandations du CERN )
  • D'autres produits d'IM et VOIP existent. Les grands éditeurs proposent tous une solution dans ce domaine. IBM propose Sametime. Il existe également des solutions Open Source.
  • Avec ses  31 millions d'utilisateurs actifs (grand public et PME) et représentant un tiers des appels internationaux (source Telegeography),  le risque d'une attaque aléatoire (i.e. non ciblée) via Skype est minime. Par contre pour une attaque ciblée,  Skype est un point de faiblesse de plus.
  • Il utilise une communication peer-to-peer (VPN possible) basé sur un protocole propriétaire qui a l'avantage de ses inconvénients (plus difficile à hacker mais pas certifiable).
  • Comme toute offre SaaS du Cloud, il offre les avantages du Cloud (pas de maintenance, élasticité, cout à l'usage ....) et ses inconvénients (pas de personnalisation, sécurité...)

Votre avis ?

Et vous ? Utilisez-vous des messageries instantanées et la téléphonie sur IP ? En interne seulement ou également en externe ? Avez-vous fait une analyse de risques de ces outils en fonction des contextes d'utilisation ?