Knock knock - Who's there ? - Imap - Imap who ?
D’après les outils de mesure de la Shadowserver Foundation, 3,3 millions de serveurs mail dans le monde opèrent des échanges POP3 ou IMAP sans que le chiffrement TLS soit imposé au client. De ce fait, les identifiants de l’utilisateur circulent en clair sur le réseau, l’exposant aux conséquences d’une interception. La fondation affirme avoir commencé à contacter les administrateurs concernés.
INternautes avisés par excellence, les lecteurs de Next savent que le chiffrement s’impose lorsqu’on échange des identifiants sur Internet. Il peut cependant subsister, même chez les plus avertis, un serveur de messagerie oublié, paramétré de façon trop laxiste. Le cas échéant, attendez-vous à recevoir un message de la part de la Shadowserver Foundation qui, au tournant de la nouvelle année, s’est attelée au problème des serveurs n’imposant pas le protocole TLS (Transport Layer Security).
3,3 millions de serveurs vulnérables, en POP3 ou en IMAP
L’alerte prend la forme d’un bulletin de sécurité, que la fondation affirme avoir commencé à faire circuler en direction des serveurs concernés. « Ce rapport identifie les hôtes qui ont un service POP3 exécuté sur le port 110/TCP ou 995/TCP sans prise en charge TLS. Cela signifie que les mots de passe utilisés pour accéder à la messagerie peuvent être interceptés. De plus, l’exposition du service peut permettre des attaques par devinette contre le serveur. Si vous recevez ce rapport de notre part, veuillez activer la prise en charge TLS pour POP3 et déterminer si le service doit être activé ou déplacé derrière un VPN », écrit-elle par exemple. Un message équivalent est adressé aux services IMAP.
Le rapport de situation se décline en versions IPv4 et IPv6. Il concerne, selon les outils de visualisation proposés par la Shadowserver Fondation, environ 3,3 millions de serveurs utilisant POP3, et 3,3 millions de serveurs utilisant IMAP, les deux ensembles se chevauchant largement. L’Europe serait le premier continent contributeur en matière d’adresses IP de serveurs POP3 vulnérables.
En France, ses outils font par exemple ressortir 120 000 adresses IP (v4 et v6 confondues) qui correspondraient à des serveurs exploitant le protocole IMAP sans TLS.
Un chiffrement à activer côté serveur
S’il est devenu activé par défaut dans la plupart des grandes messageries en ligne, notamment sur les serveurs exploités par les fournisseurs d’accès à Internet, le chiffrement TLS reste une option, à laquelle le fonctionnement des logiciels clients se subordonne. Sur Outlook par exemple, l’utilisateur a la possibilité de se connecter à un compte POP3 ou IMAP sans aucun chiffrement, même si la manipulation est bien sûr déconseillée, hors protections spécifiques de type réseau privé.
Recommandations de sécurité
Publiée en 2018, la dernière version en date du protocole de cryptographie TLS est la 1.3 et sa genèse, mâtinée des révélations d’Edward Snowden sur les capacités d’espionnage massif du trafic Internet, n’a rien eu d’un long fleuve tranquille.
Le déploiement de TLS reste cependant recommandé par l’ensemble des autorités en matière de cybersécurité. On pourra à cet égard consulter le guide réalisé par l’Agence nationale de la sécurité des systèmes d’information (ANSSI).