web-dev-qa-db-fra.com

Y a-t-il un risque de se connecter au serveur de messagerie POP3 ou SMTP sans connexion sécurisée?

Mon FAI donne des instructions comment se connecter à ses serveurs de messagerie POP3 et SMTP:

Ces paramètres vous aideront à configurer votre programme de messagerie.

  • serveur de messagerie: POP3
  • Serveur POP (entrant): pop.orangehome.co.uk
  • Port entrant POP: 110

  • Serveur SMTP (sortant): smtp.orangehome.co.uk

  • port SMTP sortant: 25
  • utiliser une connexion sécurisée (Secure Sockets Layer ou SSL): non
  • authentification: aucune

Si je comprends bien, ces paramètres impliquent que la connexion ne sera pas sécurisée avec SSL/TLS :

  • IMAP utilise le port 143, mais IMAP crypté SSL/TLS utilise le port 993.
  • POP utilise le port 110, mais POP crypté SSL/TLS utilise le port 995.
  • SMTP utilise le port 25, mais SMTP crypté SSL/TLS utilise le port 465.

Existe-t-il un risque d'envoyer et de recevoir des e-mails via sans connexion SSL/TLS sécurisée? Dois-je m'inquiéter? Qu'est-ce qui pourrait arriver?


EE est un FAI britannique avec environ 1 million de clients . Plusnet, un autre FAI britannique, demande également aux utilisateurs de se connecter de manière non sécurisée à ses serveurs IMAP et POP "SSL/TLS: Non"

21
Colonel Panic

Existe-t-il un risque d'envoyer et de recevoir des e-mails via sans connexion SSL/TLS sécurisée?

Le problème équivaut à utiliser votre messagerie Web via HTTP simple. Un attaquant du milieu pourrait capturer les e-mails que vous échangez avec le serveur et renifler vos informations de connexion au fur et à mesure de leur envoi en texte brut.

Une telle attaque est possible pour quelqu'un dans le même Wifi que vous, votre colocataire, votre employeur ou votre FAI - c'est particulièrement facile pour tous ceux qui traitent le trafic sur le chemin entre vous et le serveur, mais ce n'est généralement pas faisable pour une télécommande attaquant (comme un ami qui vous attaque de chez lui).

Donc, si vous le faites dans votre réseau domestique privé et ne craignez pas que votre FAI enregistre vos données1, tu vas bien. Dans un Wifi public cependant, c'est un risque sérieux - en particulier parce que les clients de messagerie contactent généralement le serveur périodiquement en arrière-plan sans votre interaction. Ainsi, au lieu d'utiliser votre messagerie Web, vous n'enverriez pas votre mot de passe une seule fois au début, mais le diffuseriez toutes les 15 minutes pour vérifier les mises à jour.

(Notez également qu'il est particulièrement facile pour un attaquant d'extraire automatiquement les informations d'identification POP3/IMAP/SMTP du trafic car leur transmission fait partie du protocole respectif. Pour un formulaire de connexion de messagerie Web, il faudrait au moins qu'il recherche dans le trafic HTTP pour trouver la demande où le mot de passe est transmis.)

1Dans votre cas, le FAI est le fournisseur de messagerie afin qu'ils aient évidemment déjà accès à ces informations.

27
Arminius

pop.orangehome.co.uk

Il existe en théorie un support pour TLS explicite dans POP3 en utilisant la commande STLS (similaire à STARTTLS dans SMTP) mais ce serveur ne prend pas en charge cette commande et donc aucun TLS n'est possible. Bien que le FAI puisse faire valoir que la connexion de votre domicile à ce serveur est contrôlée par le FAI et est donc sécurisée, cet argument n'est pas valide une fois que vous essayez d'accéder à vos e-mails à partir d'un point d'accès public ou similaire où le cryptage manquant signifie que tout le monde peut lire votre mot de passe et le contenu de l'e-mail. Et cela est également vrai pour toute personne ayant accès à votre réseau à la maison.

smtp.orangehome.co.uk

Ce serveur n'est pas accessible de l'extérieur mais uniquement de l'intérieur du réseau ISP. Si le FAI a un contrôle serré sur le réseau, il peut faire valoir que personne ne peut renifler le contenu et qu'il pourrait avoir raison. Mais j'espère que vous pouvez faire entièrement confiance à votre réseau domestique interne, car toute personne ayant accès à ce réseau peut lire tous les e-mails que vous envoyez, car ceux-ci ne sont pas cryptés. Fait intéressant, le serveur ne nécessite aucune authentification, ce qui pourrait signifier que le FAI vous authentifie par votre adresse IP interne.

EDIT: comme l'a souligné @Jasen dans un commentaire, il existe un moyen de connecter cet hôte si vous n'êtes pas à la maison en utilisant le port 587. Cet accès nécessite alors une authentification mais offre uniquement du texte brut et toujours pas de cryptage. La sécurité est donc comparable à celle du boîtier POP3: quelqu'un peut renifler votre mot de passe et lire votre courrier.

En résumé: ce n'est pas la sécurité que vous devez attendre d'un grand FAI.

18
Steffen Ullrich

Lorsque vous parlez de votre FAI, il n'y a normalement rien entre votre hôte et le réseau de votre FAI. Donc, bien sûr, rien n'est chiffré, mais même si vous utilisiez SSL, il serait déchiffré avant d'atteindre l'application serveur. Autrement dit, à moins que vous ayez un réseau local non fiable qui serait bizarre pour une connexion personnelle, le cryptage SSL n'apporterait aucune sécurité supplémentaire. Utilisez des messages cryptés si vous ne voulez pas que votre fournisseur de messagerie lise le contenu de vos mails, pas SSL.

Mais le paragraphe suivant dans la page liée est à mon humble avis bien pire. Parce qu'ils disent que lorsque vous êtes connecté via un service externe (disons un hotspot WiFi public), vous utilisez le port 587 (fin), authentifié avec votre nom d'utilisateur et votre mot de passe (toujours normal) et sans cryptage (glp ...). Autrement dit, si vous envoyez ou lisez du courrier en dehors de votre domicile , vous envoyez votre mot de passe en texte clair sur un réseau inconnu, ce qui est clairement inacceptable.

Vous pouvez utiliser EE comme votre FAI s'il n'y a pas d'autre problème avec eux, mais vous devez utiliser un autre fournisseur de messagerie si le ne prend pas en charge le cryptage lorsque vous êtes connecté via un réseau tiers.

4
Serge Ballesta

Tout comme l'a dit Pineappleman, dès que vous quittez votre réseau domestique avec un téléphone portable ou un ordinateur portable, un PC de bureau amené à une partie LAN, vous pourriez être attaqué. Un attaquant pourrait non seulement lire vos mails, mais aussi les modifier, ajouter du contenu malveillant aux pièces jointes, utiliser cet accès pour réinitialiser nos mots de passe sur les Webservices, encore plus de mauvaises choses ...

De plus, si vous utilisez un VPN pour une raison quelconque et que tout votre trafic est tunnel, vous pouvez alors ouvrir votre communication à quiconque se trouve entre vous et le FAI.

Et enfin et surtout, il y a beaucoup de trafic malveillant sur Internet, essayant de casser votre routeur. Si cela réussit et change les entrées DNS, vous aurez également un problème.

1
SchreiberLex

OMI, cela était quelque peu acceptable il y a une décennie, lorsque la plupart des gens utilisaient des ordinateurs de bureau ou des ordinateurs portables et les connectaient uniquement à Internet à la maison/au travail, le wifi commençait tout juste à apparaître et le wifi public était inexistant. Votre réseau domestique et votre FAI étaient raisonnablement dignes de confiance et vous ne devriez de toute façon pas envoyer de trucs super secrets par e-mail.

L'essor de l'informatique mobile a radicalement changé le modèle de menace. De plus en plus de personnes utilisent des appareils mobiles et les connectent via des réseaux wi-fi publics non sécurisés.

Malheureusement, de nombreux fournisseurs, y compris le site sur lequel nous en discutons actuellement, ne l'ont pas rattrapé et pensent toujours que c'est bien d'utiliser http simple pour les utilisateurs authentifiés.

0
Peter Green

Ce n'est pas sûr. Qu'est-ce qui pourrait arriver? Supposons que vous configuriez ce courrier sur votre téléphone et que votre téléphone recherche de nouveaux messages toutes les 15 minutes. Si vous vous connectez (votre téléphone) à un réseau non fiable, comme un réseau wifi public, n'importe qui pourrait intercepter votre trafic de messagerie. Vous n'auriez même pas besoin d'ouvrir le client de messagerie sur votre téléphone, car il envoie automatiquement le nom d'utilisateur/mot de passe en texte clair pour vérifier les nouveaux messages en arrière-plan. Intercepter un tel trafic non crypté et obtenir des mots de passe en texte clair est assez facile pour un attaquant qui a juste besoin d'être sur le même réseau et d'utiliser un outil comme ettercap.

0
stanko