Skype, le célèbre logiciel de téléphonie VoIP racheté à prix d'or par Ebay propose pour les internautes français une offre de téléphonie illimitée sur les fixes en France jusqu'à la fin de l'année. L'intérêt de cet offre réside dans la seule nécessité de créer un compte, opération gratuite (une adresse email suffit).

Bien sûr Skype, c'est un protocole de téléphonie IP fermé, non documenté, avec un logiciel client mystérieux multi-plateformes. Cependant certains rétro-ingénieurs essaient de lever le voile sur le protocole en décompilant le logiciel (ce qui n'est pas chose aisée étant données les nombreuses obfuscations utilisées) : on citera par exemple la tentative de Philipe Biondi et Fabrice Desclaux présentée à la conférence Blackhat Europe. Quelques informations intéressantes en ressortent : Skype est très difficile à filtrer et pourrait très bien abriter des backdoors... Pas très rassurant. Cela explique sans doute que l'utilisation de Skype soit déconseillée, voire interdite au sein des établissements universitaires français (ainsi qu'au CNRS).

Mais y a-t-il un moyen de filtrer réellement le trafic Skype ? En fait, cette tâche est très difficile car Skype est très malin. Il affronte les pare-feux et autres proxys avec une arme imparable : les super-noeuds. Il s'agit de machines utilisant Skype, connectées à Internet sans système de NAT[1] ni firewall et disposant d'une bonne bande passante. Ces super-noeuds jouent le rôle de proxys pour les machines derrière un pare-feu. N'importe quel internaute connecté directement au net peut devenir super-noeud sans qu'il en soit averti.

Ainsi même avec une connexion n'autorisant que le trafic web sur le port 443 (https), Skype saura se débrouiller pour contacter un super-noeud offrant son port 443 aux pauvres Skypeurs mur-de-feuïsés. Sauf à bloquer l'accès à tous les sites webs sécurisés, il n'y a pas grand chose à faire. Un détail peut cependant distinguer le contact d'un super-noeud Skype de l'accès à un site web sécurisé classique : généralement, le contact d'un site web se fait par la connaissance du nom d'hôte : cela nécessite alors une résolution DNS afin de trouver l'adresse IP. Lorsqu'un noeud Skype est contacté, seule l'adresse IP est connue, et non un nom d'hôte. Conclusion : un moyen de filtrage pourrait consister à vérifier, avant l'autorisation d'accès à un serveur sur le port 443, si une requête DNS relative à ce serveur a été préalablement réalisée par le maintien d'une liste blanche.

Sinon, si l'on souhaite faire un peu plus compliqué, l'approche de Lynanda pour le filtrage du trafic Skype est intéressante : elle comprend une phase d'apprentissage pour entraîner des réseaux neuronaux à la reconnaissance du trafic Skype. Excitant... mais calculatoirement hyper-coûteux : maintenir une ferme de super-calculateurs uniquement pour éliminer l'utilisation de Skype d'un réseau d'entreprise n'est pas l'idéal. À part ça, certains utilisent des méthodes plus brutales : scanner toutes les machines sur le réseau et supprimer les clients Skype installés comme SkypeKiller. Ce logiciel ne fonctionne que pour supprimer des Skype sous Windows sur des machines contrôlées par l'administrateur. Évidemment il est bien incapable de supprimer un logiciel Skype installé sur un portable personnel se connectant au réseau (d'autant plus si le Skype est installé sous Linux).

Pour en revenir à l'offre illimitée de Skype sur les fixes français, Skype ne propose l'offre qu'aux internautes français. En fait, d'après quelques tests réalisés, Skype réalise une résolution DNS inverse sur l'adresse IP de l'internaute afin de récupérer son nom d'hôte. Le nom est sous la hiérarchie .fr ? Pas de problème l'offre illimitée est applicable. Il ne l'est pas ? Bah tant pis (notamment pour ceux disposant un reverse DNS personnalisé qui n'est pas sous .fr). De même le Skypeur français voyageant à l'étranger ne pourra pas appeler en France. Et puis il semble que seuls quelques appels soient possibles au cours d'une même session Skype.: après il faut se reconnecter pour ne pas voir ses appels échouer lamentablement. Et puis bien sûr (mais ce n'est pas étonnant) pas d'appel sur les mobiles autorisés... l'offre payante SkypeOut s'avère alors nécessaire.

Du côté de chez Wengo, concurrent français de Skype émanation du FAI 9Telecom, le protocole utilisé est beaucoup plus ouvert car s'agissant de SIP. De plus OpenWengo, un logiciel Open Source en cours de développement (et déjà relativement fonctionnel) est proposé. Actuellement des appels illimités vers plusieurs destinations internationales (dont la France, les Etats-Unis et la plupart des pays européens) sont proposés jusqu'à la fin de septembre 2006... à condition d'acheter au moins 10 EUR de crédit d'appel.