Lue, sur la liste Netsec et largement décrite et commentée sur un site d’information Russe, cette faille Skype est exploitable avec une simplicité toute enfantine.
Dans un premier temps, il suffit de suivre la procédure de création de compte Skype en utilisant l’adresse email connue de la victime.
La procédure va immédiatement vitupérer et déclarer que l’adresse de messagerie en question est déjà utilisée… mais il suffit de ne pas tenir compte de l’avertissement et de continuer l’inscription, puis de tenter un login une fois la procédure achevée.
Sans Sésame, point d’accès possible, mais une procédure de demande de récupération de mot de passe est offerte par le programme en cas d’échec. En déclenchant cette procédure, le service Skype expédie un email à l’adresse de la victime…ainsi qu’un lien dans le logiciel client Skype. Ce lien donne accès à une fenêtre de renouvellement de mot de passe, le tour est joué, le compte est détourné. Il est notamment possible de récupérer au passage, outre le carnet d’adresse de la victime, l’historique des conversations « chat » tenues par le possesseur originel du compte.
Une mesure de contournement simple permet d’éviter d’être soi-même victime de ce genre de méfait : créer un compte sur une messagerie publique (Gmail, Hotmail) différent de l’adresse de messagerie généralement utilisée, ajouter cette adresse dans l’écran de gestion du profil Skype, puis, dans un second temps (après avoir sauvegardé la précédente modification), paramétrer ladite adresse comme adresse email par défaut.
