Inquiétude pour des clients de LaPoste.net

Le site Internet de LaPoste.net propose un service webmail efficace. Sauf que les identifiants de connexions ne sont pas sécurisés. Plusieurs lecteurs de Data Security Breach nous ont annoncé être inquiets du système d’identification du site LaPoste.net. Les connexions « chiffrées » au webmail Laposte.net n’existent pas. Sur la page d’accueil du site http://www.laposte.net, il est possible de se connecter à « Ma boîte aux lettres » LaPoste.net. « Je suis extrêmement surpris que l’on puisse saisir son identifiant et son mot de passe alors que la connexion n’est pas chiffrée et sécurisée en https avec un certificat SSL » indique à la rédaction Vincent. Effectivement, cela signifie tout simplement que les identifiants et les mots de passe transitent en clair sur le réseau Internet entre l’ordinateur de l’utilisateur et les serveurs de La Poste. Une personne mal intentionnée pourrait aisément, et avec quelques outils spécialisés, comme en sniffant les trames Ethernet avec Wireshark, récupérer les informations privées au moment de la connexion. Autant dire qu’un utilisateur passant par une connexion wifi gratuite dans un aéroport, un restaurant (MacDo…), un café (Starbucks…) met tout simplement son webmail en danger. Plusieurs lecteurs ont envoyé un courriel à La Poste. Des services tels que Google ou encore Outlook (live.com) proposent des connexions en https et un certificat SSL.

Alors sécurisé ou pas ?

Ce qui compte est la sécurisation https de l’url qui se trouve dans le formulaire de login. Si celle ci est en https, aucun souci, même si la page qui héberge ce formulaire n’est pas https. Donc, pas d’inquiétude le login de la poste est sécurisé, et les identifiants ne sont pas transmis en clair. « Une fois de plus le petit logo vert partout n’est pas un garant de la sécurité d’un site » rajoute Seb, un lecteur. Il faut admettre, cependant, qu’un peu plus de visibilité ne nuirait pas à la bonne compréhension, et à rassurer les utilisateurs. La dynamique équipe sécurité de La Poste nous a répondu à ce sujet. Il faut tout d’abord différencier le portail laposte.net sur lequel est disponible le webmail et l’authentification au webmail qui ne fonctionnent pas avec les mêmes restrictions d’accès et de sécurité. « Pour accéder à leurs mails XXXX@laposte.net,  nos clients doivent impérativement passer par une phase d’authentification (échange des login/mot de passe) qui est biensur  cryptée en Https » confirme à Data Security Breach l’équipe sécurité de La Poste. Voilà qui devrait définitivement rassurer les utilisateurs.

15 réflexions sur « Inquiétude pour des clients de LaPoste.net »

  1. Je viens de tester le domaine laposte.net sur Qualys Lab, j’ai obtenu comme note B

    1. En effet, https://www.laposte.net (130.193.27.21) est noté B.
      Par contre le formulaire de login https://compte.laposte.net (160.92.184.129) est toujours noté F…

      Ils supportent le protocole TLS 1.0, mais le problème est qu’ils n’ont pas désactivé SSL 2.0 (qui date de 1995).
      Le 2ème problème vient du support de renégociations non sécurisées (ils n’ont pas appliqué le patch RFC5746 qui date de 2010).

  2. Ce qui est inquétant c’est le score de compte.laposte.net sur http://www.ssllabs.com/ssltest
    Qualys trouve 2 raisons de donner la note F, qui est la plus mauvaise… J’ai contacté le service client Laposte le 15/04/2014, pas de réponse…

  3. dans un même ordre d’idée, je regrette que le webmail de la poste n’accepte pas les caractères spéciaux dans le choix du mot de passe

  4. Il faudra aussi m’expliquer comment on peut écouter avec un simple Wireshark les communications des personnes à côté de soi au MacDo…
    Zatazmanie si bien l’art du FUD… (Fear Uncertainty and Doubt)

    1. Bonjour,
      Je pense que votre culture numérique doit connaitre l’attaque « Man in the Middle » et que l’usurpation d’une connexion wifi, d’autant plus annoncée gratuite, est simple (malheureusement) comme bonjour. Pour avoir « vu » des gens se jeter sur un macdo free sans réfléchir, je me dis qu’alerter n’est pas inutile.

      1. Je suis tout à fait d’accord, il faut éduquer les « gens » et les alerter de ces danger.
        Mais il faut être précis dans ce cas, et cesser de dire qu’un simple wireshark permet de sniffer ce que fait le voisin s’il est connecté au réseau WiFi MacDo « légitime », ce que laisse entendre votre article. Pour réaliser une attaque de type MITM il faudrait auparavant corrompre les équipements réseau du MacDo…
        L’usurpation d’une connexion wifi est un autre problème, il faut fuir les « free wifi » comme la peste 🙂

        1. Je vais corriger cela ! Effectivement, pas qu’un simple WireShark… mais ça aide quand même 🙂

          1. A la réflexion, en utilisant une carte wifi en mode promiscuous connectée au même SSID que les victimes, je ne vois pas ce qui empêche d’écouter les paquets wifi qui passent autour de soi…

    2. il faut utiliser des outils adaptés, petit scarabée. wireshark est un outil de DSI, pas de tapping.

  5. Un dysfonctionnement important pour le webmail de laposte.net qui affiche un mail vide lorsque celui est signé avec gpg.
    L’expéditeur n’a aucun moyen de savoir comment le destinataire de l’email va lire cet email et donc qu’il n’a pu accéder au contenu.

  6. Si la page d’accueil est bien en HTTP, le formulaire de connexion utilise bien le SSL pour envoyer les identifiants sur https://compte.laposte.net/login.do
    Donc le formulaire est sécurisé.

    Si vous avez des doutes, la console de Firefox (ctrl+K) envoie une alerte de sécurité quand un champ mot de passe n’est pas sur une page sécurisée…

  7. ce qui compte est la sécurisation https de l’url qui se trouve dans le formulaire de login. Si celle ci est en https, aucun souci, même si la page qui héberge ce formulaire n’est pas https.

    Et en effet grâce à l’inspecteur de page de firefox, je vois qu’en allant sur laposte.net puis en faisant inspecter l’élément grâce a un bouton droit sur l’un des champ, je lis un peu plus haut:

    Donc OUI le login de la poste EST sécurisé, les identifiants ne sont PAS transmis en clair.

    Une fois de plus le petit logo vert partout n’est pas un garant de la sécurité d’un site.

    Votre article est donc techniquement très douteux, sauf si vous me trouvez des failles justement liées à cette configuration formulaire sur une page non chiffrée/envoi des infos chiffré.

    Preuve en image:
    http://www.mirari.fr/YKb4

    A+
    Seb

    1. Merci pour vos retours. L’idée n’est pas de taper sur LaPoste et son excellent service, mais de remonter des inquiétudes d’utilisateurs. La fin de l’article, et vos commentaires, doivent maintenant les rassurer.

      1. Tout à fait. Merci pour votre retour et votre flexibilité, et mes excuses si j’ai été un peu trop provocateur.

        L’inquiétude des clients de la Poste qui verront pas le symbole SSL est très possible.

Les commentaires sont fermés.