En août de cette année, Microsoft a inclus le chiffrement de bout en bout, appelé «Conversations privées», dans sa nouvelle version de Skype. Le chiffrement fonctionne pour les appels, les messages texte, ainsi que pour les fichiers et utilise le protocole Signal, développé par l'organisation à but non lucratif Open Whisper Systems.
Bien sûr, dans Skype, même avant l'avènement du cryptage des «conversations privées», il ne s'agissait pas du cryptage du canal entre deux utilisateurs, sur des clés générées uniquement pour leurs terminaux. Avant l'achat de ce messager par Microsoft, Skype utilisait le cryptage du canal AES avec des clés de session 256 bits, mais il a ensuite été complètement abandonné. Et maintenant, pour une communication normale, Skype utilise le protocole TLS, qui «couvre» le canal entre l'utilisateur et le cloud de l'entreprise.
Presque tous les systèmes modernes de prévention des fuites de données (systèmes DLP) ont appris à suivre (et certains contrôlent même) le transfert habituel des messages et des fichiers vers Skype grâce à une méthode assez standard - l'usurpation de certificat, connue sous le nom d'attaque de l'homme au milieu (MitM). Cependant, pour les «conversations privées», cette astuce ne fonctionne plus.
Chez DeviceLock, nous avons résolu ce problème en utilisant à la fois le contrôle de connexion réseau et des agents locaux travaillant directement sur la machine contrôlée. Par conséquent, DeviceLock DLP peut contrôler entièrement les «conversations privées» dans Skype. À part entière, le système surveille non seulement le fait du transfert de données et même sa composition, mais décide également en temps réel d'autoriser ou d'interdire le transfert de fichiers et de messages, en fonction de leur contenu et des politiques de sécurité définies pour cet utilisateur.
Je vais vous montrer avec un exemple réel comment il est interdit d'envoyer des messages contenant des adresses e-mail ou des fichiers avec un TIN dans une «conversation privée». Nous créons deux règles pour le protocole Skype qui interdisent l'adresse e-mail et le TIN dans les fichiers et messages sortants.
Nous essayons de transmettre l'adresse e-mail dans une «conversation privée» par message.
Envoyer l'adresse e-mail de chat privé Skype
Comme vous pouvez le voir, Skype n'a pas pu envoyer uniquement le message contenant l'adresse e-mail. Dans le même temps, la conversation entière a été enregistrée dans le journal des clichés instantanés DeviceLock DLP:
Cliché instantané des messages Skype Private Chat créés par DeviceLock DLP
Essayez maintenant dans une «conversation privée» de transférer deux fichiers, dont l'un contient
INN
Transfert de fichiers dans Skype Private Chat
Nous voyons qu'il n'a pas été possible d'envoyer le deuxième fichier, mais en même temps il est présent dans le journal des clichés instantanés:
Cliché instantané du fichier Skype Private Chat créé par DeviceLock DLP
Il s'agit de l'exemple le plus simple d'application d'un filtrage de contenu en temps réel, démontrant la capacité de DLP à contrôler entièrement le transfert de données dans Skype, même s'il utilise un chiffrement de bout en bout.