Heureusement, vous pouvez éviter complètement le problème en remplaçant la version «de bureau» de Skype par celle disponible sur le Microsoft Store. Néanmoins, c’est embarrassant pour le propre logiciel de Microsoft d’avoir une faiblesse aussi fondamentale, et l’exploit en question est celui que Redmond a mis en garde à plusieurs reprises contre d’autres développeurs.
Voici ce que cet exploit fonctionne et comment vous assurer que vous utilisez bien la version sécurisée de Skype pour Windows Store.
Quel est le problème avec Skype?
La mise à jour du logiciel est censée vous garder en sécurité, mais paradoxalement, dans le cas de Skype, la mise à jour est le problème. C’est parce que la faille ici n’est pas avec Skype, mais plutôt avec l’outil utilisé par Skype pour rechercher et installer les mises à jour. Cet outil de mise à jour est vulnérable au DLL hjjacking, comme l'explique le chercheur Stefan Kanthak:
This executable is vulnerable to DLL hijacking: it loads at least UXTheme.dll from its application directory %SystemRoot%Temp instead from Windows’ system directory. An unprivileged (local) user who is able to place UXTheme.dll or any of the other DLLs loaded by the vulnerable executable in %SystemRoot%Temp gains escalation of privilege to the SYSTEM account.
En gros, Skype exécute des DLL à partir du dossier Temp, auquel les utilisateurs peuvent accéder sans droits d'administrateur. Il est donc facile pour les mauvais acteurs de désactiver les DLL et d’obtenir le contrôle de votre ordinateur au niveau du système. C’est le genre de vulnérabilité que Microsoft met spécifiquement en garde les développeurs, mais l’équipe Skype de Microsoft semble avoir manqué ce mémo.
Et ça empire. Microsoft a déclaré à Kanthak qu'ils "étaient capables de reproduire le problème", mais aucun correctif ne sera publié pour résoudre le problème. Au lieu de cela, Microsoft prévoit de résoudre le problème lors de la prochaine version majeure de Skype. On ne sait pas quand.
C’est… pas idéal. Heureusement, il existe une alternative.
La solution: utiliser la version du Windows Store
Microsoft propose deux versions de Skype pour Windows: la version «Desktop», qui existe depuis très longtemps, et la version de la plate-forme Windows universelle (UWP), que vous pouvez télécharger à partir de l'application Microsoft Store fournie avec Windows. Seule la version de bureau est vulnérable à cet exploit, car seule la version de bureau utilise son propre outil de mise à jour.
Microsoft pousse les utilisateurs vers la version de Skype pour le Microsoft Store depuis un moment: la page de téléchargement de Skype dirige les utilisateurs vers le Store, par exemple. Cependant, de nombreux utilisateurs ont toujours la version de bureau sur leurs systèmes. Ils doivent désinstaller cette version et n’utiliser la version de Store que s’ils veulent rester à l’abri de cet exploit.
Comment pouvez-vous savoir quelle version vous avez? Le moyen le plus simple consiste à rechercher «Skype» dans le menu de démarrage. Si vous voyez les mots «Trusted Microsoft app app» sous le nom de Skype, vous êtes probablement couvert.
Voici la version du Microsoft Store:
Il est regrettable que Microsoft ne corrige pas seulement cette vulnérabilité, mais au moins une version de Skype en état de marche est verrouillée. Et bien que l'interface et les fonctionnalités de la version Microsoft Store soient un ajustement, des tests tels que les appels et les discussions en ligne fonctionnent parfaitement, même si l'interface offre moins d'options. Et hé: la version Store ne contient aucune annonce laide, ce qui est un avantage.
