Discussion :

[Hinault Romaric]

Un hacker publie le code du protocole de Skype
Et veut faire de l'outil de VoIP une solution open-source

Moins d'un mois après l'annonce du rachat du célèbre outil de VoIP par Microsoft pour un montant de 8,5 milliards de dollars, un hacker vient de publier le code du protocole Skype et une version open source de l'application.

Efim Bushmanov, un chercheur russe a réalisé cet exploit en perçant les secrets de Skype par reverse-engineering.

Son but est de créer une version open-source de la solution de communication. Il affirme par ailleurs que si beaucoup de choses restent à faire, la plupart des fonctions difficiles du projet ont déjà été réalisées pour les versions 1.X, 3.X et 4.X de Skype, y compris la compression RC4 et arithmétique.

« Vous avez une chance unique de jeter un coup d’œil au protocole interne de Skype et son chiffrement. Vous verrez qu'il utilise un chiffrement RSA fort et AES, avec une infrastructure de clés publiques » explique Efim Bushmanov sur son blog.

Microsoft n'a pas encore réagi à cette publication et pourrait rapidement engager des poursuites contre Efim Bushmanov pour violation de licence.

En attendant, les développeurs intéressés peuvent consulter le code et tester la version open-source du chercheur russe pour en apprendre un peu plus sur Skype et son fonctionnement.

Les sources du projet peuvent-être téléchargées sur cette page

Source : Blog du projet

Et vous ?

Que pensez-vous de cette démarche de Efim Bushmanov ?

Comment réagira Microsoft : en l'attaquant ou en laissant faire comme pour les hacks de Kinect ?

[Ryu2000]

Que pensez-vous de cette démarche de Efim Bushmanov ?
Si il est pour une sorte de Skype Open Source, je trouve sa démarche excellente.

Comment réagira Microsoft : en l'attaquant ou en laissant faire comme pour les hacks de Kinect ?
Microsoft vient de mette environ $8,500,000,000 pour Skype et maintenant les sources sont disponibles, à mon avis ils vont faire quelque chose, mais c'est déjà trop tard, les sources vont être sur les réseaux P2P ce qui les rendra ineffaçable.

Les hacks de Kinect étaient des publicités pour Microsoft.
L'utilisation de ce périphérique pour les jeux vidéo ne présente quasiment aucun intérêt.
Jouer c'est plus fun avec une manette.
Mais du coup des gens ont détourné l'utilisation de ce périphérique de jeu pour en avoir une meilleure utilisation, ça arrangeait bien Microsoft.

[Elendhil]

Que pensez-vous de cette démarche de Efim Bushmanov ?
Si il est pour une sorte de Skype Open Source, je trouve ça démarche excellente.

Open source ne veut pas dire pillage du travail des autres ...

[matpush]

Open source ne veut pas dire pillage du travail des autres ...

Bonne remarque. Ce type peut revendiquer le piratage et le vole de code source sans être inquiété ?

Comment réagira Microsoft : en l'attaquant ou en laissant faire comme pour les hacks de Kinect ?
Les deux affaires n'ont rien à voir. D'un côté on a détourné l'utilisation d'un périphérique alors que de l'autre on a volé des données.

[Ryu2000]

Oui effectivement je me suis mal exprimé.
Avoir une alternative à Skype, mais en Open Source serait très intéressant.
Par contre voler du code, ce n'est pas du tout une bonne chose.

Aussi bien je suppose que ce code est inexploitable et on ne peut pas non plus trop sans inspirer, car il est protégé du coup si quelqu'un l'utilise il aura un procès.

[Firwen]

Les deux affaires n'ont rien à voir. D'un côté on a détourné l'utilisation d'un périphérique alors que de l'autre on a volé des données.

En quoi faire une analyse d'un protocol réseau c'est "voler" des données ?

Du retro-ingénieuring sur un protocol, surtout quand c'est pour développer des clients tiers, n'est pas un acte de piratage.
Sinon pidgin, empathy, trillian, aMSN et la moitié des drivers du kernel seraient illégaux .

Réussir à analyser un protocole aussi tentaculaire que celui de Skype, c'est en tout cas un exploit technique qui merite d'être salué .

[Uther]

Open source ne veut pas dire pillage du travail des autres ...

Ou vois tu qu'il y a pillage?
Cette personne a réussi a déduire le protocle de Skype par reverse engeniering, mais il ne semble pas avoir volé de code.
Des logiciels comme Pigdin ou Trillan ont fait de même pour les protocoles MsnMessenger, Aim, YahooMessenger, ... Ce n'est pas légalement interdit.

S'Il y avait un brevet couvrant des techniques necessaires au protocole, ça pourait être un frein dans certains pays, mais il semble que les technologies sur lesquelles repose Skype sont connues et non brevetées

Bonne remarque. Ce type peut revendiquer le piratage et le vole de code source sans être inquiété.

Il revendique d'avoir établi un reverse-engeniering du protocole, absolument pas un vol de code source.

Aussi bien je suppose que ce code est inexploitable et on ne peut pas non plus trop sans inspirer, car il est protégé du coup si quelqu'un l'utilise il aura un procès.

S'il y avait vol de source, oui, mais ce n'a pas l'air d'être le cas.

[matpush]

Au temps pour moi, j'avais mal compris (je devais avoir les affaires de sony en tête :p) !

[huit_six]

Oulà y'a grosse confusion, l'article parle bien de reverse engineering et pas de vol de code. Si dans certains pays c'est illégal, ça ne l'est pas partout, notamment en France.

[Edit] Grillé, Firwen et Uther avaient déjà apporté la lumière (re-)

[Ryu2000]

S'il y avait vol de source, oui, mais ce n'a pas l'air d'être le cas.

Ah d'accord.
Mais alors c'est lui et des amis qui ont passé beaucoup de temps pour écrire les 44 Mb de sources ?

Légalement on a le droit de faire du rétro-ingénierie comme ça ?
Si c'est le cas, il ni a pas de raison pour que Microsoft fasse quelque chose.

[Uther]

Ah d'accord.
Mais alors c'est lui et des amis qui ont passé beaucoup de temps pour écrire les 44 Mb de sources ?

Vu que Skype pratique une obfuscation très intensive de son code, il y a peu de chance qu'il s'agisse d'un simple code source décompilé.
Quant a un vol de source suite à un piratage, je pense que ça se saurait très vite.

44Mb de code, c'est beaucoup mais pas gigantesque non plus.

[ZiGoM@r]

Voler signifie soustraire; dans l'absolu, il n'a fait que transformer un code publié en langage machine en un code plus compréhensible.

Skype ne vend pas un logiciel mais un service, tout cela n'aura que peu d'impact sur leurs résultats économiques.

[Hellwing]

Skype ne vend pas un logiciel mais un service, tout cela n'aura que peu d'impact sur leurs résultats économiques.

Il faut bien quelque part un logiciel client qui puisse exploiter ce service. C'est lui qui va en faire les frais.

[Kiiwi]

Comment réagira Microsoft : en l'attaquant ou en laissant faire comme pour les hacks de Kinect

Non comparable ...
faire un logiciel open source, offrant les mêmes services que Skype, c'est faire une concurrence directe.
Utiliser la Kinect pour passer de TF1 à France 2 en un seul geste (c'est qu'un exemple, j'ignore si un hacker y a pensé ), ça ne va pas perturber le nombre d'utilisateurs de la Xbox munie de la Kinect.
De même rendre la Kinect compatible avec la PS3 n'aura que très peu d'impact, vu que les jeux PS3 ne sont pas conçus pour la Kinect.

[Uther]

Attention reverse-enginering ne veux pas forcément dire décompilation ou désassemblage. Cela signifie simplement déduire le fonctionnement à partir de l'analyse des résultats.

Il est possible que cette personne ait désassemblé le Skype à un moment ou a un autre pour en comprendre certains points du fonctionnement, mais je ne pense pas qu'il se serait permis de publier du code décompilé. Il est aussi fort probable(surtout que Skype est terriblement obfusqué) que le code a été écris à partir de zéro.

[attila74]

Tiens...Avira s'emballe sur la première archive :

Le fichier 'C:\Downloads\skype_part1_binaries\skype_part1_binaries\Skype41_130_logpatch.exe'
contenait un virus ou un programme indésirable 'TR/Crypt.XPACK.Gen2' [trojan].

Faux positif ?

[squelos]

Il a fait du reverse engineering, il a rien volé ...
Apres, ca veut pas dire qu'il ne viole aucun brevet dans l'application qu'il a fait (et qui doit etre fortement inspirée de skype si l'on peux dire).


Surtout que comme dit précedemment, même l'interface de skype est obfuscée

[Neko]

Attention reverse-enginering ne veux pas forcément dire décompilation ou désassemblage. Cela signifie simplement déduire le fonctionnement à partir de l'analyse des résultats.

Il est possible que cette personne ait désassemblé le Skype à un moment ou a un autre pour en comprendre certains points du fonctionnement, mais je ne pense pas qu'il se serait permis de publier du code décompilé. Il est aussi fort probable(surtout que Skype est terriblement obfusqué) que le code a été écris à partir de zéro.

Voici un autre message de son blog:

Some words about binaries. Its not just usual exe files redistributed by Skype Inc.

Its specially patched for remove autoupdate, anti-debugging and obfuscation thnigs. So, its will be easy for you to load it into ollydbg or another debugger and got whole control on 'clean' binary. They also already patched for some usefull things like logging in most interesting parts.

Il redistribue l'exe de skype, mais patché et des-obfusqué.

[Uther]

Il redistribue l'exe de skype, mais patché et des-obfusqué.

Ok, je n'avais pas lu ce billet, donc je retire ce que j'ai dit

S'il redistribue simplement un binaire patché c'est en effet illégal.

Tiens...Avira s'emballe sur la première archive :

Le fichier 'C:\Downloads\skype_part1_binaries\skype_part1_binaries\Skype41_130_logpatch.exe'
contenait un virus ou un programme indésirable 'TR/Crypt.XPACK.Gen2' [trojan].

Faux positif ?

La prudence s'impose, quand on veut jouer avec ce genre de fichier, il vaut mieux faire ça dans une machine virtuelle comme VirtualBox ou VMWare.

[psykokarl]

Que pensez-vous de cette démarche de Efim Bushmanov ?

C'est une belle performance.
Ce que je trouve dommage c'est qu'une solution open-source de téléphonie sur IP existe déjà. Après utilisations, je peux dire que c'est beaucoup plus puissant et de qualité supérieure à ce que permet Skype.

Pour ceux qui seraient intéressé:
http://fr.wikipedia.org/wiki/Asterisk_%28logiciel%29
et faites des recherches sur les ipbx.

Quand je google "communication + open source", C'est en première position...

Belle performance je confirme, mais on ne me fera pas croire qu'un but aussi "noble" créer une version libre de Skype a motivé son geste. Quel est est sa réelle motivation ? Au mieux se faire connaitre, au pire dieux seul sait...

Le plus malheureux c'est de penser à ce qu'aurait pu faire cette personne pour le projet si elle s'était mieux renseignée. Pourquoi s'aligner derrière M$ quand on peut être pro-actif et faire mieux sans aucun risque de procès derrière ?