Plus de 3 millions de messageries utilisent les protocoles POP3 et IMAP sans chiffrement

Plus de 3 millions d'hôtes utilisant des services de courrier électronique via les protocoles POP3 et IMAP n'ont pas activé TLS et sont vulnérables à toutes sortes d'attaques.

Les utilisateurs peuvent accéder aux services de messagerie via des applications dédiées, mais la manière dont la connexion est établie varie. L'une d'entre elles est le protocole POP3 (Post Office Protocol 3), qui télécharge l'intégralité du courrier électronique sur l'appareil de l'utilisateur et le supprime du serveur. Une autre est le protocole IMAP (Internet Message Access Protocol), qui permet à l'utilisateur d'interagir avec le même message électronique à partir de plusieurs appareils.

Le problème se pose lorsque les hôtes de messagerie ne fournissent pas de communications chiffrées (TLS : Transport Layer Security ou Sécurité de la couche de transport), ce qui peut permettre aux pirates d'intercepter les données.

« Nous avons commencé à notifier les hôtes qui utilisent des services POP3/IMAP sans que le TLS soit activé, ce qui signifie que les noms d'utilisateur/mots de passe ne sont pas cryptés lors de la transmission. Nous constatons environ 3,3 millions de cas de ce type pour POP3 et un nombre similaire pour IMAP (la plupart des cas se chevauchent) », a déclaré la Shadowserver Foundation dans un rapport.

Le rapport souligne que le plus grand nombre de personnes exposées se trouve aux États-Unis, avec plus de 1,8 million, suivi de près par l'Allemagne avec 1,1 million et la Pologne avec 769 000.

Outre le fait qu'il permet aux pirates d'intercepter des informations importantes telles que les noms d'utilisateur et les mots de passe, ce type de mauvaise configuration de la sécurité peut également exposer ces services à des attaques par dictionnaire.

« Si vous recevez ce rapport de notre part, veuillez activer la prise en charge TLS pour IMAP/POP3 et déterminer si le service doit être activé ou déplacé derrière un VPN », a également indiqué la fondation.

Il convient également de noter que les attaques par dictionnaire contre les serveurs ne seront pas stoppées par la seule activation du chiffrement TLS.