À moins d’avoir vécu sur une île déserte au cours des 12 dernières années, vous avez sans doute découvert les listes de diffusion, si ce n’est en tant que participant actif, du moins en tant que lecteur assidu. Les logiciels de liste de diffusion sont au cœur de plusieurs communautés allant des sites web de support aux alternatives aux forums.
Distribué sous Licence Publique Générale (GNU), Mailman est une application logicielle gratuite très utilisée pour gérer les listes de diffusion et les newsletters. Intégré au Web, Mailman fonctionne avec GNU/Linux et la majorité des systèmes de type Unix, ce qui lui vaut son succès en tant que logiciel de liste de diffusion.
Parmi les nombreuses fonctionnalités de l’application Mailman, l’une semble être devenue un cauchemar.
Lors de la création d’un compte, une option (déjà cochée) permet à l’utilisateur de recevoir un e-mail de rappel tous les mois contenant son nom d’utilisateur et son mot de passe en clair, comme vous pouvez le voir sur l’image ci-dessous :
Fig. 1. E-mail de rappel de la liste de diffusion
Imaginez maintenant que la plupart des listes de diffusion sont publiques et que ces rappels sont ajoutés en tant que posts aux listes de diffusion, indexables publiquement par la plupart des moteurs de recherche existants. Cela conduit à une divulgation massive d’informations personnelles, pouvant être recueillies par divers robots et moteurs de balayage et utilisées à des fins malveillantes.
Une simple recherche avec l’expression « mailing list membership reminder » obtient des résultats dévoilant des informations de connexion personnelles d’utilisateurs.
Fig. 2.Résultats de la recherche effectuée avec l’expression : « mailing list membership reminder »
Nous vous recommandons donc, si vous utilisez des listes de diffusion Mailman, de modifier immédiatement le mot de passe de votre compte et de désactiver les notifications mensuelles.
Et si vous êtes administrateur d’une liste de diffusion, modifiez les paramètres par défaut concernant les rappels de mots de passe tous les mois et envoyez une demande aux moteurs de recherche afin qu’ils purgent ce type d’informations de leur cache.
Fig. 3. Configuration de Mailman