accueilSécuritéDirectives et Recommandations
 

Skype


L’utilisation de Skype pose des problèmes de sécurité incompatibles avec les objectifs de sécurité du CNRS, en particulier au niveau des laboratoires sensibles.

Il peut être toléré une utilisation de Skype sur une machine dédiée et déconnectée du réseau du laboratoire dans la mesure où les informations échangées ne sont pas sensibles.

Pour rappel ci-dessous les recommandations déjà émises.

[Les mesures de sécurité] peuvent être plus ouvertes sur le monde extérieur tout en comportant des aspects de protection des accès :

  • le refus d’utilisation de services hébergés dans le nuage informatique comme :
    • des services plus diffus (Webex, Skype)

« Recommandations pour limiter les risques de l’utilisation de Skype dans les laboratoires du CNRS. L’utilisation de skype a fait l’objet d’une sévère mise en garde gouvernementale en août 2005. Par principe de précaution il y a lieu de décourager le recours à SKYPE et ce de manière particulièrement ferme dans le cas de laboratoires sensibles. Pour l’immédiat, toute éventuelle demande de dérogation, qui ne pourrait être qu’exceptionnelle et ne saurait concerner des unités sensibles, est à solliciter auprès du Fonctionnaire de sécurité de Défense  »

« D’autres modèles se rapprochent du parasitisme. Ainsi Skype utilise les ressources en bande passante et en puissance de calcul fournies par les utilisateurs pour se bâtir un réseau privé virtuel mondial sans financer aucune infrastructure. En effet le fait d’installer sur une machine le produit de Skype qui permet de téléphoner « gratuitement » transforme cette machine en un noeud du réseau Skype sans que son propriétaire puisse contrôler réellement le trafic échangé. Par ailleurs il faut se demander quelles garanties offre un service gratuit. Même si l’on peut penser que le fournisseur fera de son mieux, il n’y a aucun engagement de sa part.  »

«  Alerte à l’utilisation du logiciel Skype

Le haut fonctionnaire de Défense du ministère de l’Éducation nationale, de l’Enseignement supérieur et de la Recherche, Bernard Vors a transmis aux présidents des universités et aux fonctionnaires de sécurité défense des organismes de recherche une note classifiée demandant de proscrire l’utilisation du logiciel de téléphonie sur IP proposé par la société SKYPE, à partir d’une note d’alerte du secrétariat général de la défense nationale. En relation avec le service du haut fonctionnaire de défense et la direction centrale de la sécurité des systèmes d’Information, le CNRS étudie les modalités précises de mise en œuvre de cette note dans ses laboratoires. Cela concerne les unités propres du CNRS mais aussi les unités mixtes, sous réserve de cohérence avec les directives qui pourraient venir d’autres tutelles, en particulier les universités. Il faut comprendre l’interdiction formelle de SKYPE comme devant s’appliquer dans un contexte de données sensibles échangées ou potentiellement accessibles). En l’attente de ces recommandations, et par principe de précaution il y a lieu de décourager le recours à SKYPE et ce de manière particulièrement ferme dans le cas de laboratoires sensibles.  »

Quelques problématiques liées à skype

  • Skype a connu un certain nombre de failles de sécurité comme CERTA-2012-AVI-058.
  • Les ordinateurs ayant skype installé fournissent au réseau skype des ressources non négligeables en matière de puissance de calcul et de bande passante.
  • Skype est aussi utilisé par les pirates pour camoufler certains trafics sur le réseau.
  • Le code source de Skype a fuité et a été publié.
  • Désormais Microsoft qui a racheté Skype héberge tous les « super nœuds »
  • Microsoft enregistre au moins le contenu de la messagerie instantanée.
  • Skype peut être utilisé pour surveiller les déplacements des personnes et les fichiers qu’elles partagent.
  • Microsoft détient un brevet d’interception légale qui s’applique à skype.


ARESU
Direction des Systèmes d'Information du CNRS

358 rue P.-G. de Gennes
31676 LABEGE Cedex

Bâtiment 1,
1 Place Aristide Briand
92195 MEUDON Cedex



 

 

Direction des Systèmes d'Information

Pôle ARESU

Accueil Imprimer Plan du site Credits