Plus de 3 millions de serveurs de messagerie exposent les e-mails des utilisateurs : voici pourquoi !
À l'échelle mondiale, plus de 3 millions de serveurs de messagerie continuent d'utiliser des protocoles non sécurisés pour faire transiter les e-mails des utilisateurs, ainsi que les mots de passe. Quels sont les risques pour la sécurité des utilisateurs ? Faisons le point.
Une nouvelle alerte lancée par The Shadowserver met en évidence la quantité importante de serveurs de messagerie, connectés à Internet, et qui acceptent toujours des connexions non sécurisées. Après avoir scanné les machines connectées à Internet, il en ressort ce qui suit : environ 3,3 millions de serveurs de messagerie autorisent les connexions non sécurisées avec POP3 et IMAP.
Petit rappel sur les protocoles de messagerie :
- SMTP est un protocole utilisé pour envoyer les e-mails.
- POP3 est un protocole utilisé pour lire et stocker les e-mails : le téléchargement s'effectue en local sur un seul appareil, et donc sans synchronisation entre plusieurs appareils.
- IMAP est un protocole utilisé pour lire et stocker les e-mails, avec une fonction de synchronisation (c'est en général celui-ci qui est utilisé).
Il existe des versions sécurisées de ces protocoles : SMTPS, POP3S et IMAPS. Il est recommandé d'utiliser des connexions sécurisées à l'aide de TLS pour bénéficier du chiffrement des flux.
L'analyse de The Shadowserver met en évidence les serveurs qui acceptent les connexions non sécurisées. "Ce rapport identifie les hôtes qui ont un service POP3 fonctionnant sur le port 110/TCP ou 995/TCP sans support TLS.", peut-on lire sur leur site.
Désormais, les équipes de The Shadowserver contactent les propriétaires de ces serveurs de messagerie, dans le but de les inciter à activer les connexions sécurisées via TLS. "Si vous recevez ce rapport de notre part, veuillez activer la prise en charge TLS pour POP3 et déterminer si le service doit être activé ou déplacé derrière un VPN.", peut-on lire.
Quels sont les risques ?
Lorsque le chiffrement TLS n'est pas activé, la connexion n'est pas sécurisée, c'est-à-dire que les informations transitent en clair sur le réseau. Dans le contexte de la messagerie électronique, cela signifie que les informations d'identification (identifiant et mot de passe) et les e-mails sont envoyés en texte clair sur le réseau.
Dans le cas où une personne malintentionnée parviendrait à capturer le trafic réseau échangé avec le serveur et le client, elle pourrait lire ces informations. On parle alors d'une attaque par reniflage réseau (network sniffing). C'est exactement ce risque que met en évidence l'analyse effectuée par The Shadowserver.
Avec autant de serveurs de messagerie dans cette situation, il y a du travail pour les administrateurs systèmes... Mais, cela implique aussi d'adapter la configuration du côté des clients de messagerie. La carte ci-dessous montre la répartition par pays, pour IMAP (la majorité des serveurs concernés, le sont pour IMAP et POP3), avec plus de 118 000 hôtes identifiés en France.
Enfin, sachez qu'utiliser TLS, c'est bien, mais vous devez utiliser TLS 1.2 ou TLS 1.3, puisque les versions précédentes sont considérées comme obsolètes.
