Le SkypeSkrayping pour rediriger et écouter des appels Skype, surveiller la messagerie vocale et former un Botnet VoIP

Par Xavier Poli, secuobs.com
Le 14/04/2009

---

Résumé : Le SkypeSkrayping permet de compromettre des comptes Skype afin d'écouter ou de rediriger les appels de la victime, la messagerie vocale est également concernée. L'automatisation massive de cette attaque pourrait permettre de mettre en place rapidement un Botnet VoIP pour effectuer du DDoS. - Lire l'article



Une attaque CSRF ( lien ), dite par SkypeSkrayping, a été identifiée par Secure Science ( lien ) à l'encontre des comptes utilisateur authentifiés sur les services Web du système populaire de VoIP ( lien ) Skype ( lien ). Cette attaque démontre qu'une personne malicieuse peut pirater des appels Skype entrants, l'autorisant ainsi à effectuer des écoutes illégales et éventuellement à récupérer des informations sensibles. A noter que l'attaquant doit être lui aussi authentifié sur son compte Skype afin que cette attaque soit fonctionnelle.

Des attaques plus ou moins similaires sont réalisables sur les appels sortants et sur la messagerie vocale. Skype-Out, Skype-In et Skype-Voicemail sont exploitables. Il existe une faiblesse dans l'interface entre les fonctionnalités Web de Skype et celles régissant les appels vers la téléphonie standard. Bien que Skype ne maintienne pas les sessions d'authentification navigateur aussi longtemps que d'autres, les attaquants peuvent tout de même effectuer du SkypeSkrayping dans une fenêtre temporelle de trente minutes après authentification Web de la victime ciblée.

Lors de la publication de cette méthode, il y avait quinze millions d'utilisateurs Skype en ligne, si seulement un pour-cent de ces utilisateurs répondait favorablement à un message de type Phishing ( lien ) envoyé sur la messagerie instantanée Skype, un attaquant récupérerait alors cent cinquante mille comptes Skype exploitables grâce à cette méthode, de quoi confectionner un Botnet ( lien ) VoIP de belle envergure pour mener à bien des Dénis de Service Distribués ( lien ) via l'utilisation d'un PABX ( lien ) central.

Le message envoyé par l'attaquant sur la messagerie instantanée de la victime pourrait être le suivant : « SkypeSkrayper: Bonjour, désolé pour cette interruption, ceci est un rappel sur le fait que ce jour est spécial pour les utilisateurs de Skype. Nous vous offrons gracieusement un crédit supplémentaire d'une valeur de vingt cinq euros sur Skype-Out, à la seule condition de visiter ce lien avant la fin de la journée. Noter que nos services ne vous demanderont jamais ni votre identifiant, ni votre mot de passe d'accès à la messagerie instantanée de Skype et aux autres services associés ».

Pour persuader la victime, un second message envoyé un peu plus tard, un message comme « SkypeSkrayper2: Des message promettant un crédit supplémentaire de vingt cinq euros sur votre compte Skype-Out ont été constatés sur la messagerie instantanée de Skype. Ils sont propices à la propagation d'un virus très dangereux. Si vous l'avez reçu, le département anti-fraude de Skype (SFD) pense que votre ordinateur peut être infecté. Aussi, nous vous conseillons de le vérifier en visitant cette page. Le SFD ne sera jamais amené à demander vos informations Skype personnelles d'accès ».

Une fois que la victime a cliqué sur le lien malveillant ici fourni, la page de destination contient une Iframe ( lien ) malicieuse, voir une balise image avec un script associé, qui peut alors être utilisée par l'attaquant afin d'effectuer les actions suivantes au niveau du compte Skype de la victime piégée : ajouter un numéro spécifique pour la redirection des appels entrants de la victime, obtenir un numéro Skype-To-Go ( lien ), accéder à la messagerie vocale de la victime, effectuer des appels sortants avec un Caller-ID ( lien ) usurpé, voir le service SpoofCard ( lien ).

Cette vulnérabilité peut par exemple être utilisée par l'attaquant pour qu'il se fasse passer pour des institutions financières légitimes afin d'obtenir des données personnelles sensibles. Il pourrait également se servir des comptes compromis par SkypeSkrayping comme d'un Proxy afin de relayer ses propres appels frauduleux sortants. Les capacités de Botnet VoIP auraient d'autant pu être renforcées par des comptes Google Voice ( lien ) compromis à l'aide de récentes attaques aussi démontrées ( lien ) par Secure Science, mais Google a été plus prompt que Skype à fixer ( lien ) ces vulnérabilités.

Le papier technique ( lien )
Page de démonstration attaque CSRF ( lien )
Des insécurités notables de Skype par le passé ( lien & lien )

Source : Security Bloggers Network ( lien )