Plus de trois millions de serveurs de messagerie POP3 et IMAP sans cryptage TLS sont actuellement exposés sur Internet et vulnérables aux attaques de reniflage de réseau.
IMAP et POP3 sont deux méthodes pour accéder au courrier électronique sur les serveurs de messagerie. IMAP est recommandé pour vérifier les courriels provenant de plusieurs appareils, tels que les téléphones et les ordinateurs portables, car il conserve vos messages sur le serveur et les synchronise entre les appareils. POP3, d’autre part, télécharge les courriels à partir du serveur, les rendant accessibles uniquement à partir de l’appareil sur lequel ils ont été téléchargés.
Le protocole de communication sécurisé TLS permet de sécuriser les informations des utilisateurs lors de l’échange et de l’accès à leurs e-mails sur Internet via des applications client/serveur. Cependant, lorsque le cryptage TLS n’est pas activé, le contenu et les informations d’identification de leurs messages sont envoyés en texte clair, ce qui les expose à des attaques de reniflage de réseau d’écoute clandestine.
Comme le montrent les analyses de la plate-forme de surveillance des menaces de sécurité ShadowServer Shadowserver, environ 3,3 millions d’hôtes exécutent des services POP3/IMAP sans cryptage TLS activé et exposent les noms d’utilisateur et les mots de passe en texte brut lorsqu’ils sont transmis sur Internet.
ShadowServer informe désormais les opérateurs de serveurs de messagerie que leurs serveurs POP3/IMAP n’ont pas activé TLS, exposant les noms d’utilisateur et mots de passe non cryptés des utilisateurs à des attaques de détection.
« Cela signifie que les mots de passe utilisés pour l’accès au courrier peuvent être interceptés par un renifleur de réseau. De plus, l’exposition du service peut permettre des attaques de devinettes de mot de passe contre le serveur », a déclaré Shadowserver.
« Si vous recevez ce rapport de notre part, veuillez activer la prise en charge TLS pour IMAP et déterminer si le service doit être activé ou déplacé derrière un VPN. »
La spécification TLS 1.0 d’origine et son successeur, TLS 1.1, sont utilisés depuis près de deux décennies, TLS 1.0 ayant été introduit en 1999 et TLS 1.1 en 2006. Après de longues discussions et l’élaboration de 28 projets de protocole, l’Internet Engineering Task Force (IETF) a approuvé TLS 1.3, la prochaine version majeure du protocole TLS, en mars 2018.
Dans une annonce coordonnée en octobre 2018, Microsoft, Google, Apple et Mozilla ont déclaré qu’ils retireraient les protocoles non sécurisés TLS 1.0 et TLS 1.1 au cours du premier semestre 2020. Microsoft a commencé à activer TLS 1.3 par défaut dans les dernières versions de Windows 10 Insider à partir d’août 2020.
En janvier 2021, la NSA a également fourni des conseils sur l’identification et le remplacement des versions et configurations obsolètes du protocole TLS par des alternatives modernes et sécurisées.
« Les configurations obsolètes permettent aux adversaires d’accéder au trafic opérationnel sensible en utilisant une variété de techniques, telles que le décryptage passif et la modification du trafic via des attaques de l’homme du milieu », a déclaré la NSA.
« Les attaquants peuvent exploiter des configurations de protocole TLS (transport Layer Security) obsolètes pour accéder à des données sensibles avec très peu de compétences requises. »