juin
30

Est-il dangereux d’avoir un client mail chez Free ?

FREE ISP FAIFree ne propose pas de connexion via les protocoles TLS & SSL sur ses serveurs de messagerie. C’est écrit ici.

Si vous utilisez un client mail, tel que Outlook, Thunderbird ou encore Windows Live Mail (ancien Outlook Express) et que vous utilisez votre boite mail Free en dehors de chez vous, vous n’êtes pas en sécurité.

C’est par exemple mon cas, mon pc portable me suis partout et je m’y connecte depuis l’école, des bornes Wifi publiques etc.


Quel est le problème ?

Vos informations transitent en clair sur le réseau. C’est pour cette raison qu’à priori, je ne parle de « problème » que pour un pc portable car vous serez amené à vous connecter hors de chez vous, là où rôdent des petits fouineurs.

Lorsque vous établissez une connexion au serveur Free pour relever vos mails, votre client doit se connecter. Il envoie donc vos identifiants au serveur, comme si vous épeliez à haute voix votre numéro de carte bancaire à la caissière du supermarché.

De la même manière il est extrêmement simple de récupérer sur le réseau des trames contenant ces informations, puisqu’elles ne sont pas protégées.


Comment se protéger ?

Il n’y a qu’une seule solution : sécuriser le canal sur lequel vous allez diffuser ces identifiants. Yahoo! et Hotmail proposent tous deux la fonction d’authentification SSL pour l’envoi et la réception.

Chez Free cependant cela n’est pas possible. Vous êtes donc condamné à voir vos mot de passe transiter. En revanche, vous pouvez configurer votre client de manière à ne relever vos mails que lorsque vous cliquerez sur le bouton, ou à l’ouverture du logiciel. Réglage dans Thunderbird :
rendez vous dans Outil / Paramètre des comptes / Paramètre serveur et configurez de la manière suivante

FREE ISP FAI

Je conseille vivement aux comptes qui n’utilisent ni SSL ni TLS (autre nom pour SSL 3.0) de désactiver la vérification automatique périodique des nouveaux messages. Ce ne sera pas faire de la sécurité mais appliquer le principe de précaution.

Je trouve inconcevable de la part de Free de ne pas proposer cette option, sur des boites censées recueillir nos mails sensibles.


La neutralité mise à terre et piétinée

Si vous avez des conversations sensibles ou des mails importants, évitez Free. J’ai eu la désagréable expérience il y a quelques temps : un ami utilisant son propre serveur mail m’envoie un message pour tester son serveur SMTP, le mail contient le sujet « Test » et le message « salut ! ».

Ce mail absolument banal, a été reçu de mon côté d’Internet avec l’objet suivant : « *****SPAM***** Test ». Entre chez lui et chez moi le mail a donc été ouvert, Free a fouillé dans le mail et en a déduit de son propre chef, que le mail était susceptible d’être un « spam ». Fort de cette constatation, Free a pris la liberté d’altérer le message de mon ami, d’en salir le contenu et de rajouter un message dans l’objet.

Le message reçu n’est donc pas l’original et rien ne me disait que l’e-mail que j’avais reçu n’avait pas été vidé de sa substance, ou contrefait par je ne sais quel moyen. J’ai dû utiliser un compte Yahoo! (avec lequel je n’ai jamais eu ce désagrément) pour demander confirmation.


Ce qu’il faut retenir

Malgré toutes ses qualités de FAI, Free est un mauvais hébergeur et est un dangereux fournisseur de boite mail dont il faut dès à présent se méfier.


Pour continuer : Reportage sur France 2 « La guerre cybernétique »

Rédigé le 30 juin 2010 dans "Internet"
  1. Romain écrit le 30 juin 2010 à 14 h 49 min#

    Vui, moi aussi je vais bientôt héberger mes propres e-mails. En plus de tout ce que tu viens de dire, je n’aime pas l’idée que des boites comme microsoft lisent mes e-mails.

  2. Vincent écrit le 30 juin 2010 à 15 h 10 min#

    Free n’ajoute pas de pub en bas de ses e-mail contrairement à Hotmail. Ce qui est dérangeant c’est que Free le fait discrètement et là franchement je suis choqué.

    J’ai oublié de préciser que ces adresses Free de comptes Principaux sont considérées comme vecteur de contact pour les autorités (Hadopi par exemple).

    Défaut de sécurisation de la part de Free ?

  3. Guillaume écrit le 30 juin 2010 à 22 h 11 min#

    Perso j’aimerais bien heberger mes mails, mais je n’arrive malheureusement pas a passer outre la fermeture du port 25  » abonné orange », donc bon, pour le moment je bloque pas mal sur sa quoi …
    Mais Free n’est vraiment pas un bon hébergeur de mail sur ce coup la …

  4. Sebastienb écrit le 1 juillet 2010 à 12 h 28 min#

    Notons que si tu parles ici des protocoles touchant aux mails, le problème de l’insécurité est partout à partir du moment où l’on se connecte sur un réseau publique (typiquement, quand on a un ordinateur portable qu’on traîne souvent avec nous). Par exemple, lorsque vous allez sur une page web « normale », rien n’est chiffré, toute personne voyant votre communication avec le serveur web verra les pages consultées et les données envoyées (comme par exemple, les mots de passe). Truc amusant avec plus ou moins tous les navigateurs grand public : vous avez pleins d’avertissements si vous voulez consultez une page via HTTPS avec un certificat auto signé mais aucun avertissement si vous envoyez vos mots de passe sur une page via HTTP … Avant, j’utilisais systématiquement du ssl pour mon serveur web (qui n’héberge rien d’important) mais j’en avait marre de dire aux gens d’accepter le certificat auto signé (je ne vais pas payer une autorité d’authentification pour ça).

    Pour moi, penser à ces problèmes de sécurité est primoridale : ma connexion à Internet au Crous, c’est un réseau wifi ouvert. Autant dire que les mots de passe d’un peu tout le monde doit transiter en clair.
    La solution : un tunnel ssh ou un VPN. Deux solutions assez simples à mettre en oeuvre à partir du moment où on a un serveur à soi (le mien étant hébergé chez ma maman). Le principe est simple : toutes mes données transitent dans un tunnel chiffré jusqu’à mon serveur. Par exemple, si je veux aller sur fdn.fr, j’envoie à mon serveur (connexion chiffrée) une requete de connexion, il la fait suivre (clair), il recoit la page (clair), il me la renvoie (chiffré).
    Avec ca bien sur, mon addresse IP qui apparait est celle de mon serveur.

    Pour plus d’informations, renseignez vous sur les serveurs socks, c’est très simple à faire avec ssh. ( ssh user@machine -D1111 est la commande qui va créer un serveur socks qui écoute en localhost sur le port 1111)

  5. Vincent écrit le 1 juillet 2010 à 18 h 47 min#

    Complètement d’accord pour les certificats !

    Je souligne surtout le côté Free, j’aurais été chez Orange je n’en aurais même pas parlé car Orange ne vend pas de l’internet, seulement une version light sans sucre.

    Chez Free le service est réputé de bonne qualité, et je montre ici que Free est loin d’être tout rose, qu’en terme de boite mail ils avaient les moyens de faire mieux, les moyens d’être « haut de gamme » et qu’ils ne proposent pas ce service.

    Autre exemple, aujourd’hui je veux une boite capable d’envoyer des e-mails de n’importe ou dans le monde. Avec Free je ne peux pas, le serveur SMTP m’impose d’être sur une ligne Free.

    Je suis donc de préférence chez Yahoo! dans la mesure ou on me permet d’utiliser SSL pour envoyer et recevoir mes mails en pop3. Le SMTP tolère n’importe quel point de connexion du réseau et Yahoo! ne met pas de pub a la fin de ses e-mail. Je n’ai pas plus confiance en Free qu’en Yahoo!.

    Guillaume, je t’avais conseillé d’oublier le port 25, regarde plutôt le 993 tu peux utiliser le SSL c’est bien mieux dans tous les cas !

  6. Guillaume écrit le 1 juillet 2010 à 19 h 02 min#

    Oui justement je regarde toujours pour cette histoire de port, mais j’ai pas enormement de temps, on véras sa d’ici quelques jours / semaine

  7. Vincent écrit le 2 juillet 2010 à 11 h 25 min#

    Google analyse le contenu des messages Gmail afin de filtrer le spam et de détecter les virus. Le système de filtrage Gmail permet également d’analyser les mots clés inclus dans les e-mails

    Source Google.com

  8. Leroy écrit le 7 octobre 2010 à 11 h 36 min#

    Mais au final à part l’hébergement chez soit qui est le meilleur? Personnellement je cherche encore. Le minimum c’est imap/ssl,sans filtrage spam, si possible gratuit. Déjà rien qu’imap/ssl j’ai du mal.

  9. -=chf=- écrit le 16 septembre 2011 à 16 h 49 min#

    Bonjour Vincent,

    Je ne suis pas un pro-Gmail, Yahoo, MSN et autres sites hébergés aux US (même si je suis pro-américain… :) )! j’ai toujours l’impression que la boite mail est directement connecté à la NSA, via Echelon et Carnivor… Grrrr
    Je me souviens, il y a longtemps, des conditions de création de compte mail, dans les contions d’utilisation, MS pouvait lire et utiliser le contenu des mails…

    Même en paramétrant mon Synology en serveur de mail, n’oublions pas que les données transitent sur le réseau de Free (chez moi)… Combien de temps résiste un cryptage SSL sous deux ou trois cartes nVidia GTX275 qui font tourner un moteur en CUDA pour casser les clé de cryptage RSA 48 bits (à raison de 320 millions de clés par seconde, par carte, sans overclocking…)?

    Espérons que le projet d’accès aux webmail en SSL aboutira bientôt.
    Au lieu de demander à chaque fois si je veux passer mes boites en Zimbra, si Free propose le SSL sous Zimbra, je pense que la migration se fera toute seule….

    Mais merci pour la mise en garde!
    Note: je suis aussi un fan boy Free (personne n’est parfait!)
    :)

  10. Sébastien écrit le 16 septembre 2011 à 19 h 13 min#

    Euh, casser une clef RSA 48bits je pense qu’avec quelques feuilles de papier, un bon matheux peut te le faire en quelques jours. :)

    Bon, maintenant une clef RSA de 4096bits (courant de nos jours), à raison de 1000 milliards de clefs par secondes, t’en a pour

    331173541797676467114330514560066077682637065273777200781403311543618058083319842988592976894659296784909343833853140169326348756400873163135221996401371536639382602912135336865918819804155161819643604138716370568992998109905413732138614499094554356131661564150749525644115946454882866918590809799466650496793169386378040266979612389076059405314427782037298157440076958537246012498722856376114350438132241108537953921333789293009416772605216854591418212550795611792557209874960392462054112934751703478015458767752288295729303974890219693631782119429749096658206016250116731846215752885721824196113202585772512245377919363874063169338448704775522453266775378700595414194036393016767505921865640880238976540896209213319629634356658782172749489635147010258686666383444677223041689778120177433678901241223850366902975415100645264455762621170396814969489751061783554035836169988241953022124442661451933130828459869959067775534851706892580140299308717624867283664216522022535278113869798324483383900685494236687505850414591469828189475225289548272820126461050298657588706993054567767890512530903412747630205768288352481316086989410363705561053709299880494065798770073063631148441994297466866797185096645655134904899240 siècles si tu tente un bruteforcage. Faut commencer tout de suite :) .

  11. Vincent écrit le 16 septembre 2011 à 20 h 47 min#

    Sebastien, je suis pas matheux et je viens de péter ta clé. Tu as copié collé le chiffre 33117354179767646711433051456006607768263706527377720078140

    Owned ! Mais tu as raison sur le reste, tant que personne n’aura factorisé l’algorithme ;) Et ca, comme part hasard le concours a arrêté, et les gouvernement ont autorisé le chiffrage sans limite.

    [/théorie du complot extraterrestre du 11 septembre]

Pseudo*: E-Mail*: Site: