Chronique Internet

Microsoft espionne-t-il ?

d'Lëtzebuerger Land du 17.05.2013

Skype, racheté par Microsoft en octobre 2011, est accusé d’espionner les échanges entre les quelques 600 millions de personnes qui utilisent régulièrement ses services de téléphonie sur le Net. Dans une lettre ouverte envoyée en janvier au patron de la « Skype Division », au responsable du respect de la sphère privée et au conseil de Microsoft, plusieurs dizaines d’organisations de défense des droits des internautes, dont l’Electronic Frontier Foundation, regrettent que la confidentialité des échanges sur Skype ne soit pas assurée. Ils reconnaissent qu’après le passage de Skype sous le giron d’une entreprise américaine, « des changements de jurisdiction et de direction ont pu rendre momentanément difficiles à résoudre de manière fiable des questions d’accès légitime, de collecte de données d’utilisateurs et de niveau de sécurité des communications sur Skype ». Mais, poursuit la lettre, alors que Microsoft s’apprête à intégrer Skype dans ses principaux logiciels et services, « le temps est venu pour Microsoft de documenter publiquement les pratiques de sécurité et de respect de la sphère privée de Skype ».

Les signataires de la lettre ouverte appellent ensuite Microsoft à publier un « Rapport de transparence » dont ils détaillent le contenu souhaité : des données quantitatives sur les informations relatives aux utilisateurs de Skype transférées à des tiers, ventilées par pays d’origine des requêtes, y compris le nombre de requêtes gouvernementales, le type de données réclamées, le nombre de requêtes auxquelles Microsoft/Skype a donné droit, et les raisons de ne pas donner suite à des requêtes. Ils souhaitent aussi connaître le détail des données collectées par Microsoft et Skype, ainsi que les règles quant à leur conservation ; l’estimation par Skype des capacités d’interception de données par des tiers, notamment les opérateurs de réseau ou des hackers ; les risques d’interception en Chine, et enfin les responsabilités de Skype à l’égard des autorités et services de renseignements des États-Unis en matière de transmission de données d’utilisateurs.

Cette liste témoigne du flou qui entoure à ce jour le statut des communications sur Skype et le manque de garanties qui subsiste quant à leur confidentialité. En Allemagne, où scruter de telles questions de respect de la sphère sur le Net est une activité particulièrement développée, ces récriminations ne sont pas passées inaperçues et ont poussé certains internautes à enquêter. Le magazine en ligne heise.de a lui aussi procédé à des tests, à l’aide d’une technique quelque peu artisanale mais efficace. Après avoir inclus des URL de type https (c’est-à-dire dont le détenteur du nom de domaine est clairement identifié grâce à un certificat) dans des chats sur Skype, ils ont surveillé le trafic sur ces URL spécifiques et constaté, peu de temps après les chats, des visites issues de serveurs liés à Microsoft sur ces adresses spécifiques. Heise fait remarquer que ces URL https contiennent souvent des données spécifiques d’identification ou relatives à des sessions, et constituent donc, au moins potentiellement, des informations sensibles.

Que venait renifler Microsoft sur ces adresses ? Un porte-parole de Skype a assuré à Heise qu’il s’agissait de vérifications de routine pour éviter la transmission d’adresses servant à du spam ou à des tentatives d’hameçonnage (phishing). Mais, comme le fait remarquer le magazine, cette explication ne tient pas vraiment : par définition, les offensives de spam ou d’escroquerie n’utilisent pratiquement jamais d’adresses certifiées de type https. En outre, les visites venues de Microsoft visaient les données administratives de ces pages plutôt que leur contenu, alors que c’est ce dernier qu’il faudrait analyser pour détecter des spams ou des tentatives de phishing. La suspicion quant aux pratiques de Skype en matière de respect de la sphère privée reste donc entière.

Jean Lasar
© 2017 d’Lëtzebuerger Land