Section Universités

De nombreux étudiants dans les universités se trouvent éloignés de leur famille pour la première fois de leur vie. Que la distance soit à l'échelle d'une ville ou de la planète, Skype joue un rôle clé de plus en plus important dans la conservation des liens entre les étudiants et les enseignants, et leurs familles, amis et collègues.

Les administrateurs universitaires nous demandent fréquemment de quelle manière le logiciel Skype peut avoir un impact sur leur réseau et sur ce qu'ils peuvent faire pour améliorer l'expérience de ces utilisateurs avec Skype sans que cela ne pose de problèmes au réseau. Nous avons recueilli certaines questions qui nous étaient posées afin de partager nos idées quant à l'utilisation aussi large que possible de Skype sur un campus.

Pouvons-nous utiliser les caractéristiques de gestion d'une entreprise de Skype ?

Pouvons-nous utiliser les caractéristiques de gestion d'une entreprise de Skype ?

L'un des objectifs principaux de Skype concerne la protection de nos utilisateurs contre les écoutes illicites. Toujours dans cette optique, nous voulons éviter cette sorte d'usurpation d'identité que les fraudeurs utilisent souvent par e-mail pour abuser les utilisateurs et leur extorquer des informations personnelles de grande valeur.

Pour atteindre ces objectifs, Skype fournit un « certificat numérique » à chaque utilisateur Skype, qu'il pourra présenter afin d'établir l'identité de la personne passant ou recevant un appel Skype ou participant à une discussion. Ces certificats numériques représentent la partie centrale du répertoire en ligne de Skype, ce qui permet aux utilisateurs de se retrouver sur Internet sans avoir besoin d'une liste centrale indiquant qui se trouve en ligne.

Qu'est-ce qu'un certificat numérique ?

Un certificat numérique est un justificatif d'identité électronique qui peut être utilisé pour définir l'identité d'un utilisateur Skype, quel que soit l'endroit où il se situe. Au même titre qu'un document d'identité normal, un passeport par exemple, un certificat numérique doit avoir certaines propriétés pour être utilisé en tant que pièce d'identité. En particulier, il doit :

  • dénommer le compte spécifique étant identifié,
  • être émis par un service officiel qui peut l'annuler à tout moment,
  • être difficile à contrefaire, et
  • contenir un contreseing de l'autorité émettrice, en l'occurrence Skype.

Authentification

Puisque tous les utilisateurs Skype possèdent un justificatif d'identité numérique, il leur est possible de vérifier l'identité de tous les autres utilisateurs Skype. Ce procédé s'appelle l'authentification : la preuve que chacune des parties est identifiée par rapport à l'autre.

L'authentification est une étape critique permettant de garantir la sécurité des communications. Imaginons que nous ayons une discussion avec quelqu'un qui affirme être un partenaire commercial, mais qui est en fait un imposteur. Cette discussion peut être cryptée à un niveau aussi élevé que possible, mais la divulgation d'informations confidentielles peut toujours se produire.

Cryptage

Les réseaux de communication, comme Internet, peuvent être surveillés par des criminels et des pirates informatiques sur un grand nombre de points. C'est l'une des raisons pour lesquelles les messages électroniques et les programmes de discussions sur Internet sont considérés comme étant peu sûrs en matière de sécurité. En d'autres termes, puisqu'il existe autant de possibilités pour des personnes inconnues de surveiller les communications des utilisateurs, ceux-ci doivent prendre des mesures précises pour se protéger contre ce type d'intrusion.

Le cryptage est un processus de codage d'un message qui utilise des principes mathématiques de telle manière qu'il ne peut être lu que par son destinataire. De nombreuses techniques de cryptage ont été développées au cours des siècles, mais elles ont toutes tendance à ressembler à un boîtier de sécurité avec une clé : une fois que le message secret est introduit dans le boîtier de sécurité et verrouillé par une clé, il ne peut être ouvert que par une personne disposant de la même clé.

Skype utilise des algorithmes de cryptage normalisés et connus, empêchant que les communications des utilisateurs Skype ne tombent entre les mains de pirates informatiques et de criminels. Ainsi, Skype permet d'assurer la confidentialité des utilisateurs ainsi que l'intégrité des données envoyées d'un utilisateur à un autre.

Analyse indépendante de la sécurité

Cette analyse du cryptage Skype (fichier de signature PGP) fournit une étude détaillée de la structure de sécurité qui est incorporée aux produits Skype. Skype fournit à ses utilisateurs des protections contre une large gamme d'attaques possibles, comme l'usurpation d'identité, l'écoute illicite, les attaques par personnes interposées et la modification des données pendant le transport.

Ce rapport décrit les mécanismes généraux de protection qui sont utilisés dans toute l'infrastructure Skype ainsi que les directives générales sur la sécurité qui définissent le fondement de tous les concepts au sein de la structure opérationnelle de Skype.

Comment pouvons-nous éviter que notre réseau n'héberge des supernœuds ?

Comment pouvons-nous éviter que notre réseau n'héberge des supernœuds ?

Skype utilise des communications P2P (point à point) pour permettre aux utilisateurs de se retrouver. De ce fait, un petit pourcentage de nos utilisateurs conservera un enregistrement témoignant de la présence en ligne des autres utilisateurs. Lorsqu'un utilisateur conserve un enregistrement concernant la présence d'autres utilisateurs, il devient un « supernœud », ou nœud de répertoires.

Même si le trafic envoyé vers les supernœuds est négligeable, certaines institutions veulent empêcher que les utilisateurs de leurs réseaux ne deviennent des supernœuds pouvant ainsi répondre aux demandes des autres utilisateurs relatives aux données de répertoire.

Il existe plusieurs moyens d'empêcher Skype de devenir un supernœud :

  • C'est avec Skype 3.0 qu'un commutateur explicite est fourni pour configurer les paramètres du Registre et permettre la désactivation de la fonctionnalité de supernœud.
  • Tous les ordinateurs reliés à un réseau qui se trouve derrière un dispositif NAT (traduction d'adresses de réseau) ou un pare-feu restrictif désactiveront la fonctionnalité de supernœud.
  • Les clients Skype derrière un proxy HTTP ou SOCKS5 ne serviront pas de supernœuds.

Généralement, les entreprises optent pour la technique de paramétrage du Registre pour désactiver la fonctionnalité de supernœud car il est très facile de déployer un objet de stratégie de groupe Windows contenant le paramétrage approprié des clés de Registre. Néanmoins, les universités considèrent généralement que cela est plus problématique car les ordinateurs peuvent ne pas appartenir à ou être exploités par l'institution hôte, ce qui rend difficile, voire impossible, de s'assurer que les clés de Registre sont correctement paramétrées.

Dans de tels cas, il peut s'avérer plus utile de configurer un proxy SOCKS5. Skype peut être configuré pour utiliser un proxy SOCKS5, que le client se trouve sur un réseau avec une adresse IP publique ou sur un réseau avec une adresse IP privée.

Alors que l'utilisation d'un proxy SOCKS5 nécessite encore des interventions manuelles par l'utilisateur, la mise en oeuvre d'un proxy permet de « mettre en forme » le trafic Skype de manière économique. Cette solution a également un effet secondaire positif dans le sens où elle permet de réduire les supernœuds sur le réseau et les alarmes du système de protection contre les intrusions fausses positives, mais elle permet aussi d'effectuer une mesure précise de l'utilisation de Skype sur le réseau proxy.

Autres ressources utiles sur la sécurité

Autres ressources utiles sur la sécurité

Sécurité pour votre ordinateur

Réponses aux questions sur la sécurité