Un bogue est découvert, et quelques jours plus tard, la solution est accompagnée d’une mise à jour de sécurité. Mais dans des cas exceptionnels, le problème est si complexe qu’il est plus facile de refaire le logiciel. C’est le cas chez Microsoft : il semble qu’un bogue dans Skype qui vous donne accès en tant qu’administrateur au système d’exploitation ne cessera d’exister que dans les prochaines versions du client de service.
La vulnérabilité a été découverte par un expert en sécurité nommé Stefan Kanthak et signalée à Microsoft en septembre 2017. Le problème réside dans l’installateur des mises à jour de Skype pour Windows, qui peut être trompé par un “détournement de DLL” : la technique consiste essentiellement à faire accéder l’installateur à un fichier DLL malveillant au lieu d’un fichier légitime et sécurisé.
Pour ce faire, l’attaquant doit placer le fichier malveillant dans un dossier temporaire et le renommer avec le même nom qu’un fichier DLL légitime. Ce fichier peut être modifié même par un utilisateur sans privilèges d’administrateur. L’astuce fonctionnera car l’installateur effectue une recherche en suivant une hiérarchie de dossiers. Ainsi, si le dossier temporaire est trouvé en premier, son contenu sera exécuté.
Lorsque le fichier malveillant est actif, l’attaquant peut installer des logiciels malveillants (tels que des logiciels de rançon), voler les données de l’utilisateur et supprimer des informations, par exemple, le tout à distance.
Kanthak a décidé de publier le bogue après avoir reçu une réponse de Microsoft selon laquelle, bien que l’entreprise ait pu reproduire le problème, le bogue ne sera corrigé que dans une prochaine version du client Skype, et non dans une mise à jour de sécurité d’urgence.
D’après Microsoft, il y a tellement de code à réécrire qu’il ne vaut pas la peine de corriger la version actuelle. Comme il n’est pas facile d’exploiter la faille (il faut accéder à l’ordinateur d’une manière ou d’une autre pour insérer le dossier temporaire), la société a décidé de consacrer tous ses efforts au développement d’une nouvelle version du client qui, évidemment, inclura la correction.
Microsoft était recherché. À Engadget, la société a déclaré qu’elle avait pour politique de traiter les problèmes à faible risque dans son programme Update Tuesday, ce qui implique que le bogue peut être corrigé dans un gros paquet de mise à jour de sécurité. Toutefois, la société n’a pas communiqué de date de diffusion, ni confirmé si elle utilisera effectivement le programme.
Bien que Kanthak n’ait pas donné de détails, il n’exclut pas la possibilité que les versions actuelles de Skype pour MacOS et Linux soient exposées à des défaillances similaires.
