Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 26/08/2007, à 23:46

jorkar

Skype pour Linux lit les mots de passe et profils Firefox!

De quoi décourager certains à utiliser un logiciel qui ne respecte aucun standard? big_smile
http://yro.slashdot.org/article.pl?sid= … 6&from=rss


La géologie pétrolière se contrefout de votre envie ou besoin de conduire une automobile.
Jabber ID: jorkar@fritalk.com : http://presence.jabberfr.org/f63814f96538116bb64ff88adc81e548/text-fr.txt

Hors ligne

#2 Le 26/08/2007, à 23:56

LeSmurf

Re : Skype pour Linux lit les mots de passe et profils Firefox!

Des processus tels que AppArmor (Suze) ou SELinux semble protéger contre ce type de dérives. Dommage que SELinux soit désactivé au démarage d'Ubuntu hmm

Hors ligne

#3 Le 27/08/2007, à 00:09

Adhémar

Re : Skype pour Linux lit les mots de passe et profils Firefox!

C'est justement via AppArmor qu'ils ont découvert la faille, sur une ubuntu gutsy big_smile

Hors ligne

#4 Le 27/08/2007, à 00:22

LeSmurf

Re : Skype pour Linux lit les mots de passe et profils Firefox!

Adhémar a écrit :

C'est justement via AppArmor qu'ils ont découvert la faille, sur une ubuntu gutsy big_smile

AppArmor est présent sur Ubuntu? Très bonne nouvelle alors smile
C'est déjà présent ou ça apparaîtra sur gutsy?

Hors ligne

#5 Le 27/08/2007, à 01:53

Link31

Re : Skype pour Linux lit les mots de passe et profils Firefox!

Il n'y a rien de mal à essayer de lire /etc/passwd, on peut avoir besoin de connaître le nom de l'utilisateur courant, son shell, ou d'autre choses. Même si habituellement, on préfère utiliser les API dédiées.
Après, je ne sais pas dans quel but ce programme inspecte le profil de Firefox. C'est vrai qu'il y a infiniment plus de données potentiellement privées que dans /etc/passwd, mais ces données personnelles peuvent tout autant être utiles à certains programmes non malveillants.

Enfin, il n'en reste pas moins qu'il est toujours une bonne idée de lancer des programmes propriétaires sous un utilisateur aux droits restreints, ou de les surveiller avec strace/lsof/...

Hors ligne

#6 Le 27/08/2007, à 07:23

Compte anonymisé

Re : Skype pour Linux lit les mots de passe et profils Firefox!

Il ne fait pas que ça !$
http://forum.skype.com/index.php?showtopic=95261
Il effectue au moins les choses suivantes :

    Récupérer la liste de toutes les applications qui tournent ;

    Récupérer la liste des applications installées ;

    Récupérer la liste des fichiers présents dans ~/Documents (c'est à dire, tous les fichiers personnels de l'utilisateur) ;

    Récupérer le contenu de tous les fichiers de préférences. Cela comprend les identifiants et mots de passes dans les bookmarks, les clés d'enregistrement de licence, des informations bancaires, etc. ;

    Récupérer les adresses, les numéros de téléphone, la liste des sites visités, stockés dans des documents (je ne sais pas lesquels, mais les info sont là).

Il semblerait aussi que la version Mac fasse des choses avec le trousseau d'accès. Par exemple, il y a dans les traces les noms des notes sécurisées (numéro de sécu, de comptes bancaires, de BEA, etc) ainsi que des certificats utilisés pour se connecter à des serveurs.

La version GNU/linux, elle, va entre autre récupérer tous les fichiers de configuration dans /etc, ce qui comprend la liste des comptes existants et les mots de passes (cryptés) associés (ce qui permet de les casser tranquillement si l'entreprise qui édite Skype le souhaite).

La version Windows, entre autre chose, va aussi trifouiller du côté du BIOS pour y lire des valeurs.

Dans l'état, Skype est un spyware, et un sacré !

Dernière modification par Compte anonymisé (Le 27/08/2007, à 07:26)

#7 Le 27/08/2007, à 07:38

Adhémar

Re : Skype pour Linux lit les mots de passe et profils Firefox!

LeSmurf a écrit :

AppArmor est présent sur Ubuntu? Très bonne nouvelle alors smile
C'est déjà présent ou ça apparaîtra sur gutsy?

En tout cas, il est déjà dans les dépôts universe pour ma Feisty. (Et wikipedia me dit que cela a été fait en avril 2007)

Hors ligne

#8 Le 27/08/2007, à 09:55

mangoo

Re : Skype pour Linux lit les mots de passe et profils Firefox!

grossomodo, j'avais skype d'installé, je dois grave m'inquiter ????????
Apparmoor c'est quoi ?
Comment gicler skype et sa merde?
Skype laisse t il un cache de ce qu'il a pu regarder?
Est ce dans les CGU de Skype d'autoriser ce mouchard?

Dernière modification par mangoo (Le 27/08/2007, à 09:59)

#9 Le 27/08/2007, à 10:12

Watchwolf

Re : Skype pour Linux lit les mots de passe et profils Firefox!

skype lit /etc/passwd comme ls le fait aussi. Ce fichier contient pas mal d'informations sur les utilisateurs mais pas le password. Une simple pgme avec getpwuid() va accéder à ce fichier.

Dans le forum un utilisateur a poru idée que skype lit la configuration de firefox afin de voir si il n'y aurait pas une configuration de proxy et donc la récupérer. (apparemment skype le fait sous Windows avec IE).

Dernière modification par Watchwolf (Le 27/08/2007, à 10:14)

Hors ligne

#10 Le 27/08/2007, à 10:14

Watchwolf

Re : Skype pour Linux lit les mots de passe et profils Firefox!

shamanphenix a écrit :

Il ne fait pas que ça !$
http://forum.skype.com/index.php?showtopic=95261
Il effectue au moins les choses suivantes :

    Récupérer la liste de toutes les applications qui tournent ;

    Récupérer la liste des applications installées ;

    Récupérer la liste des fichiers présents dans ~/Documents (c'est à dire, tous les fichiers personnels de l'utilisateur) ;

    Récupérer le contenu de tous les fichiers de préférences. Cela comprend les identifiants et mots de passes dans les bookmarks, les clés d'enregistrement de licence, des informations bancaires, etc. ;

    Récupérer les adresses, les numéros de téléphone, la liste des sites visités, stockés dans des documents (je ne sais pas lesquels, mais les info sont là).

Il semblerait aussi que la version Mac fasse des choses avec le trousseau d'accès. Par exemple, il y a dans les traces les noms des notes sécurisées (numéro de sécu, de comptes bancaires, de BEA, etc) ainsi que des certificats utilisés pour se connecter à des serveurs.

La version GNU/linux, elle, va entre autre récupérer tous les fichiers de configuration dans /etc, ce qui comprend la liste des comptes existants et les mots de passes (cryptés) associés (ce qui permet de les casser tranquillement si l'entreprise qui édite Skype le souhaite).

La version Windows, entre autre chose, va aussi trifouiller du côté du BIOS pour y lire des valeurs.

Dans l'état, Skype est un spyware, et un sacré !

Tu as des sources ?

Hors ligne

#11 Le 27/08/2007, à 10:20

dwan

Re : Skype pour Linux lit les mots de passe et profils Firefox!

Dans le lien slashdot donné en premier post, il est dit que les programmes qui lisent /etc/passwd sont nombreux. De toute façon, ubuntu utilise /etc/shadow donc je vois pas trop la problème pour ce fichier.


Auto-hébergé !
HP dv6164ea

Hors ligne

#12 Le 27/08/2007, à 12:18

LeSmurf

Re : Skype pour Linux lit les mots de passe et profils Firefox!

Adhémar a écrit :
LeSmurf a écrit :

AppArmor est présent sur Ubuntu? Très bonne nouvelle alors smile
C'est déjà présent ou ça apparaîtra sur gutsy?

En tout cas, il est déjà dans les dépôts universe pour ma Feisty. (Et wikipedia me dit que cela a été fait en avril 2007)

D'accord.
J'avais fais le test avec SELinux, mais la commande dmesg me renvoit ça :

28.837480] Security Framework v1.0.0 initialized
[   28.837486] SELinux:  Disabled at boot.

je n'avais pas trouvé AppArmor, mais j'espère qu'il est présent smile

Hors ligne

#13 Le 28/08/2007, à 18:46

symbio

Re : Skype pour Linux lit les mots de passe et profils Firefox!

on ne peut donc vraiment pas faire confiance aux programmes à sources fermées

#14 Le 29/08/2007, à 07:02

Compte anonymisé

Re : Skype pour Linux lit les mots de passe et profils Firefox!

Un autre lien intéressant : http://www.theinquirer.net/default.aspx?article=37489

#15 Le 29/08/2007, à 07:25

®om

Re : Skype pour Linux lit les mots de passe et profils Firefox!

Pourquoi le fichier /etc/passwd s'appelle passwd?
Je sais pas, moi, passwd, ça me fait penser à password, et donc à mot de passe. S'il n'y a pas de mots de passe dans ce fichier, pourquoi l'avoir appelé comme ça?

Hors ligne

#16 Le 29/08/2007, à 08:03

dwan

Re : Skype pour Linux lit les mots de passe et profils Firefox!

Parce qu'avant, il y avait les mots de passe dedans. Le souci est que /etc/passwd doit être lisible par l'utilisateur, et que laisser les mots de passe dedans, même sous forme de hash, pose un problème de sécurité : on a donc déplacé les mots de passe dans /etc/shadow, qui n'est lisible que par le root.


Auto-hébergé !
HP dv6164ea

Hors ligne

#17 Le 29/08/2007, à 08:37

mangoo

Re : Skype pour Linux lit les mots de passe et profils Firefox!

bon et concretement; que dit Mozilla du fait que Skype espionne Firefox?
Est ce une alliance avec MS?

#18 Le 29/08/2007, à 09:40

mangoo

Re : Skype pour Linux lit les mots de passe et profils Firefox!

Bon j'y reviens, Est ce que la désisntall par synaptic de skype est suffisante pour ne plus se faire.....

Apparmor sa sert a quoi et comment on l'install.

#19 Le 29/08/2007, à 18:12

Psionic

Re : Skype pour Linux lit les mots de passe et profils Firefox!

Quelqu'un peut donner quelques expliquation sur le fonctionnement de Apparmor?
(et surtout le moyen de museller skype si possible)

Hors ligne

#20 Le 29/08/2007, à 20:05

mangoo

Re : Skype pour Linux lit les mots de passe et profils Firefox!

Psionic a écrit :

Quelqu'un peut donner quelques expliquation sur le fonctionnement de Apparmor?
(et surtout le moyen de museller skype si possible)

Idem, j'ai mis les paquets apparmor met je ne sais pas comment sa fonctionne.
J'ai un volume de 3.1 Go qui se monte en media/disk avec des fichiers protégé avec des symboles incompréhensibles et j'apperçois un nom qui ressemble a ma version de noyau, cela a t il un rapport?

Dernière modification par mangoo (Le 29/08/2007, à 20:05)

#21 Le 03/09/2007, à 16:13

Oni

Re : Skype pour Linux lit les mots de passe et profils Firefox!

Un "apt-get autoremove --purge skype" suffit-il pour se débarrasser complètement de ce gros spyware ?


« La nature a créé des différences, l'Homme en a fait des inégalités. »

Hors ligne

#22 Le 03/09/2007, à 16:22

tolemys

Re : Skype pour Linux lit les mots de passe et profils Firefox!

On se croirait chez Microsoft... lol avec leurs spywares de tous les cotés


BTS Informatique du Lycée Saint Michel de Picpus sous Ubuntu : http://www.infomichel.fr

Hors ligne

#23 Le 03/09/2007, à 20:28

mangoo

Re : Skype pour Linux lit les mots de passe et profils Firefox!

tolemys a écrit :

On se croirait chez Microsoft... lol avec leurs spywares de tous les cotés

merci au poste d'avnat pour l'aide

Oui mais question spyware au moins la preuve est faite que notre tux est pas invincible et ce n'est malheureusement que le début

#24 Le 03/09/2007, à 21:05

Compte anonymisé

Re : Skype pour Linux lit les mots de passe et profils Firefox!

mangoo a écrit :

Oui mais question spyware au moins la preuve est faite que notre tux est pas invincible et ce n'est malheureusement que le début

Après il faut savoir composer, il y a intrusion et intrusion.
Si tu ne veux vraiment aucun spyware, brûle ton modem. tongue

#25 Le 03/09/2007, à 21:18

Stardust

Re : Skype pour Linux lit les mots de passe et profils Firefox!

shamanphenix a écrit :

Si tu ne veux vraiment aucun spyware, brûle ton modem. tongue

Bonsoir


ou bannir ce genre de logiciel propriétaire big_smile:D


Hardware :Partie de l'ordinateur qui reçoit les coups quand le software se plante. Desproges.

In a world without walls and fences, who needs windows and gates ?

Hors ligne