Mise à jour le 3 janvier à 10 h 23 HNE : Shadowserver a suspendu les rapports IMAP et POP3 TLS en raison de faux positifs potentiels.
Plus de trois millions de serveurs de messagerie POP3 et IMAP sans cryptage TLS sont actuellement exposés sur Internet et vulnérables aux attaques par reniflage du réseau.
IMAP et POP3 sont deux méthodes pour accéder au courrier électronique sur les serveurs de messagerie. IMAP est recommandé pour vérifier les e-mails provenant de plusieurs appareils, tels que les téléphones et les ordinateurs portables, car il conserve vos messages sur le serveur et les synchronise entre les appareils. POP3, en revanche, télécharge les e-mails depuis le serveur, les rendant accessibles uniquement depuis l’appareil sur lequel ils ont été téléchargés.
Il convient également de noter que de nombreux hébergeurs configurent les services POP3 ou IMAP par défaut, même si aucun utilisateur ne les utilise.
Le protocole de communication sécurisé TLS permet de sécuriser les informations des utilisateurs lors de l’échange et de l’accès à leurs e-mails sur Internet via des applications client/serveur. Cependant, lorsque le cryptage TLS n’est pas activé, le contenu et les informations d’identification de leurs messages sont envoyés en texte clair, les exposant ainsi à des attaques de reniflage du réseau.
Comme le montrent les analyses de la plate-forme de surveillance des menaces de sécurité ShadowServer, Shadowserver, environ 3,3 millions d’hôtes exécutent des services POP3/IMAP sans que le cryptage TLS soit activé et exposent les noms d’utilisateur et les mots de passe en texte brut lorsqu’ils sont transmis sur Internet.
ShadowServer est maintenant notifiant les opérateurs de serveurs de messagerie que leurs serveurs POP3/IMAP n’ont pas activé TLS, exposant les noms d’utilisateur et mots de passe non chiffrés des utilisateurs à des attaques par reniflage.
“Cela signifie que les mots de passe utilisés pour accéder au courrier peuvent être interceptés par un renifleur de réseau. De plus, l’exposition du service peut permettre des attaques par devinette de mot de passe contre le serveur”, Shadowserver dit.
“Si vous recevez ce rapport de notre part, veuillez activer la prise en charge TLS pour IMAP et déterminer si le service doit être activé ou déplacé derrière un VPN.”
Serveurs de messagerie IMAP et POP3 sans TLS (Shadowserver)
La spécification TLS 1.0 d’origine et son successeur, TLS 1.1, sont utilisés depuis près de deux décennies, avec l’introduction de TLS 1.0. en 1999 et TLS 1.1 en 2006. Après de longues discussions et l’élaboration de 28 projets de protocole, l’Internet Engineering Task Force (IETF) a approuvé TLS1.3la prochaine version majeure du protocole TLS, en mars 2018.
Dans une annonce coordonnée en octobre 2018, Microsoft, Google, Apple et Mozilla ont annoncé qu’ils retireraient les protocoles non sécurisés TLS 1.0 et TLS 1.1 au premier semestre 2020. Microsoft a commencé à activer TLS 1.3 par défaut dans les dernières versions de Windows 10 Insider à partir de en août 2020.
En janvier 2021, la NSA a également fourni des conseils sur l’identification et le remplacement des versions et configurations obsolètes du protocole TLS par des alternatives modernes et sécurisées.
“Les configurations obsolètes permettent aux adversaires d’accéder au trafic opérationnel sensible en utilisant diverses techniques, telles que le décryptage passif et la modification du trafic via des attaques de l’homme du milieu”, a déclaré la NSA.
“Les attaquants peuvent exploiter des configurations obsolètes du protocole TLS (Transport Layer Security) pour accéder à des données sensibles avec très peu de compétences requises.”