Ils ont besoin de votre aide

#1 19-04-2019 10:28:37

lioran
On est bien ici
Date d'inscription: 07-04-2016
Messages: 253

Messagerie sécurisée

Bonjour,
Les messageries "Orange" sont-elles bien sécurisées ?
J'entends les messages entrants aussi bien que les message sortants.
Merci d'avance.

Hors ligne

 

#2 19-04-2019 16:46:02

Le Marnais
Membre
Date d'inscription: 26-07-2018
Messages: 18

Re: Messagerie sécurisée

Bonjour,
Tu ne précises pas de quelle façon tu lis tes messages.
Depuis le webmail sur le portail Orange ? Ou depuis un courrielleur installé sur ton PC (comme Microsoft Outlook, ou Thunderbird) ?
Si tu utilises le webmail, la première sécurité c'est ton mot de passe qui doit être complexe, avec au moins 10 à 12 caractères; par ex. avec des majuscules, minuscules, chiffres et caractères spéciaux.
Bonne après-midi.

Dernière modification par Le Marnais (19-04-2019 19:29:28)

Hors ligne

 

#3 20-04-2019 10:55:29

lioran
On est bien ici
Date d'inscription: 07-04-2016
Messages: 253

Re: Messagerie sécurisée

Bonjour,
Oui en effet le mot de passe.
Mais du côté des serveurs de messagerie de chez Orange… ?

Hors ligne

 

#4 20-04-2019 13:20:01

Le Marnais
Membre
Date d'inscription: 26-07-2018
Messages: 18

Re: Messagerie sécurisée

Bonjour,
Tu ne précises toujours pas de quelle façon tu lis tes messages.
Les serveurs de messagerie de Orange sont bien évidemment sécurisés.
Qu'est ce qui te laisse supposer ou penser le contraire ?

Hors ligne

 

#5 20-04-2019 15:50:48

lioran
On est bien ici
Date d'inscription: 07-04-2016
Messages: 253

Re: Messagerie sécurisée

Via le webmail Orange mais je suis surpris des failles que j'entends par-ci par-là…
C'est donc un problème de mot de passe des utilisateurs.
Merci d'avoir confirmation que les serveurs de messagerie d'Orange sont bien sécurisés.
Bonnes fêtes de Pâques.

Hors ligne

 

#6 20-04-2019 16:26:07

Le Marnais
Membre
Date d'inscription: 26-07-2018
Messages: 18

Re: Messagerie sécurisée

OK pour ta réponse pour lecture des mails sur le webmail.
Problème de mot de passe des utilisateurs, mais aussi de manque de sérieux. Certains utilisateurs ont un mot de passe court, et unique pour leurs différents accès à des sites web, ce qu'il faut bien évidemment ne pas faire. Penser aussi à se déconnecter correctement, si par exemple tu consultes ta messagerie sur d'autres PC.
Voir le lien suivant qui donne des indications sur le choix des mots de passe.   Sécurité mots de passe

Hors ligne

 

#7 23-04-2019 19:23:08

Col. Lard
Membre
Date d'inscription: 18-12-2015
Messages: 76

Re: Messagerie sécurisée

D'une manière générale, lorsqu'on délègue un service à un tiers : Orange, Microsoft, Apple, Google, etc... la sécurité dépend de la politique sécuritaire de la boîte et de la compétence des équipes qui s'en occupe.
Même en hébergeant soit même un serveur de courriers (mails) la sécurité ne sera jamais à 100% ( failles, etc... ).
D'ailleurs, pour héberger un serveur (de mails ou autres) soit-même, il faut être un fin connaisseur. Ce n'est pas inaccessible mais ce n'est pas pour rien que c'est aussi un métier. Et comme partout, il y aura des bons et des moins bons professionnels.
C'est donc difficile de répondre par Oui ou par Non à votre question. La réponse dépend du fonctionnement du service fourni par l'opérateur choisi.

Dernière modification par Col. Lard (23-04-2019 19:23:59)

Hors ligne

 

#8 04-05-2019 12:35:23

sambapati
Je trouve plus la sortie
Date d'inscription: 12-03-2015
Messages: 1307

Re: Messagerie sécurisée

Bonjour le forum.

La "sécurité" d’un message envoyé, quoi qu’elle soit, ne dépend pas seulement de la politique de l’operateur de l’émetteur mais aussi de celle du récepteur du courriel: en fait le SMTP (avec ses extension et modifications) n’est pas un mécanisme de-bout-en-bout. Il faut considérer la sécurité globalement, dans toutes les étapes du trajet.

En octobre 2015 cinq fournisseurs de messagerie en France (dont Orange) ont signé une charte, proposée avec l’ANSSI, pour renforcer la sécurité du courriel Grand Public basé sur SMTP. On la trouve là https://www.ssi.gouv.fr/particulier/pre … troniques/ .

Les choses que je veux souligner de cette charte sont
a) engagement volontaire des fournisseurs signataires,
b) sécurité par TLS implicite pour l’accès par l’utilisateur,
c) serveurs MTA en France,
d) STARTTLS entre les relais MTA de bordure (client et serveur de transfert) de ces cinq opérateurs.

En 2016 l’ANSSI a publié ce guide https://www.ssi.gouv.fr/uploads/2016/09 … s_v1.1.pdf où l’on peut trouver, entre autre, les suites cryptographiques conseillées et celles dégradées et déconseillées.  Un site récent où vérifier ultérieurement les suites est ciphersuite.info.

Dans ce post https://communaute.orange.fr/t5/mon-mai … -p/1678363 du ‎24/10/2018 à 11h53 par webmastergreg, on précise que les relais (MTA) de bordure d’Orange permettraient toujours TLS1.0 (voire SSLv3) avec des suites cryptographique dégradées et déconseillées déjà en 2016 et classées comme de niveau "faible" sur ciphersuite.info .

En principe on trouve des infos, même si partielles, dans l’en-tête d’un message reçu. Mais les en-têtes des messages reçus sur une boite mail Orange ne montrent presque rien concernant la sécurité utilisée par les relais (MTA) d’entrée d’Orange. L’utilisateur reste ignare et content.

Pour les relais sortants, on peut trouver des infos dans les en-têtes reçus par les boites mail d’autres fournisseurs, plus transparents. C’est donc là qu’on trouvera la politique des MTA de bordure (sortants) d’Orange et acceptée par l’opérateur récepteur.

Avec des outils sur la toile on peut tester un relais d’entrée; dans le cas d’Orange (par exemple là https://ns.tools et là https://internet.nl ) le résultat indique que STARTTLS, ou TLS "explicite", est annoncé.

Avec STARTTLS, le colloque entre deux MTA commence en clair par le client, c'est-à-dire le MTA qui veut envoyer le courriel; le serveur (le MTA qui devra recevoir le courriel) répond en clair et annonce qu’il supporte STARTTLS; à ce moment le client passe aussi en TLS s’il le supporte.

Le protocole STARTTLS existe depuis 2002 mais il semble être un peu le maillon faible surtout pour les attaques du type MITM (Man In The Middle). Récemment certains acteurs (surtout google) ont développé le protocole MTA-STS (pour "Strict Transport Security") afin de pallier ce problème, protocole qui est standardisé depuis septembre 2018 par la RFC 8461 et complété par la RFC 8460.

Un petit extrait de l’introduction de la RFC 8460, traduit en français un peu à la va vite :

...L'extension STARTTLS du SMTP permet aux clients et aux hôtes SMTP d'établir des sessions sécurisées SMTP sur TLS. La conception du protocole utilise une approche connue sous le nom de "sécurité opportuniste". Cette méthode maintient l’interopérabilité avec les clients qui ne prennent pas en charge STARTTLS, mais cela signifie que tout attaquant pourrait potentiellement écouter une session. Un attaquant pourrait effectuer une attaque de rétrogradation ou d'interception en supprimant des parties de la session SMTP (telle que la réponse "250 STARTTLS") ou en redirigeant l'intégralité de la session SMTP (éventuellement en écrasant l'enregistrement MX résolu du domaine de livraison).

…de telles "attaques de déclassement" ne sont pas nécessairement visibles pour le MTA destinataire,…

Le protocole MTA-STS permet le chiffrement implicite durant la phase de transport entre deux MTA.

En ce moment orange.fr n’utilise pas MTA-STS. Mais ils sont au courant (voir là https://cyberdefense.orange.com/fr/2019 … u-mta-sts/ et là https://cyberdefense.orange.com/fr/blog … t-mta-sts/ .

Pour des courriels vraiment sensibles, un chiffrement de bout en bout serait à ajouter par l’utilisateur, sans lequel un tiers pourrait toujours "interférer", en principe, avec les courriels.

Bonne journée.

Dernière modification par sambapati (04-05-2019 12:36:32)

Hors ligne

 

Powered by PunBB
© Copyright 2002–2008 PunBB