Une belle faille a été découverte dans Skype pour iPhone. Comme le montre cette vidéo, il est assez facile pour un utilisateur malintentionné de récupérer l’ensemble de votre carnet d’adresses. Il suffit juste d’insérer des commandes JavaScript dans le nom de l’utilisateur que vous désirez attaquer, puis de lui envoyer un petit message.

Ensuite, le script s’exécute et communique à un serveur web l’ensemble de vos contacts sans que vous ne vous en rendiez compte. Phil Purviance, à l’origine de cette trouvaille, profite du fait que Skype n’est pas assez vigilant pour bloquer “des commandes cachées” et du fait qu’Apple permet aux développeurs d’accéder au carnet d’adresses.

Cette faille a été divulguée il y a 48 heures. Il sera intéressant de voir combien de temps met l’éditeur pour la combler. Ce n’est pas la première fois que Skype connait ce type de problèmes. En juillet dernier, une faille assez similaire avait été trouvée dans la version Mac (lire : Une sérieuse faille de sécurité dans Skype).