Notre actualité

„Les actualités de Posteo : nouveautés, développements, informations générales, revue de presse sur Posteo - tout ce qu'il faut savoir sur nous.“

Blog et médias

Categories:

  • Blog
  • Médias
  • Info

Actualisation : Petya visait une destruction des données

Créé le 27. June 2017, 18:30 | Catégorie: Blog

Actualisé le 3 juillet 2017 à 17:00 :

Des entreprises leader dans le secteur de la sécurité considèrent maintenant que Petya (aussi connu sous le nom “Petrwrap” ou “NotPetya”) visait une destruction des données. Apparemment, Petya s’est fait passer pour un logiciel de rançon mais n’avait pas pour objectif final d’extorquer de l’argent. Les analyses des entreprises de sécurité informatique Kaspersky et Comae Technologies ont montré que le logiciel de rançon ne chiffre pas les données des systèmes affectés mais les efface. Il semble que Petya écrase les données de manière irréversible, rendant ainsi leur restauration impossible.
Depuis le début, le paiement d’une rançon ou la prise de contact avec les agresseurs par les personnes concernées par l’attaque auraient été inutiles.(Vous pouvez également vous référer aux recommandations des autorités.)

Nous avions immédiatement fermé l’adresse Posteo en rapport avec cette attaque avant que la vague ne se propage. Les agresseurs n’ont pas remplaçé l’adresse bloquée par une autre adresse.

27 juin 2017 à 18:30 :

Informations sur le logiciel de rançon (ransomware) PetrWrap/Petya: la boîte mail concernée était déjà bloquée depuis ce midi

Ce midi, nous avons appris que des arnaqueurs utilisant un logiciel de rançon (ransomware) indiquent actuellement une adresse Posteo comme contact.
Notre équipe anti-abus a tout de suite effectué une vérification puis immédiatement bloqué cette boîte mail. Nous ne tolérons aucun usage frauduleux de notre plateforme : le blocage immédiat des boîtes mail utilisées à des fins malveillantes est un procédé couramment utilisé par les fournisseurs d’accès dans ce genre de cas.

Au cours de l’après-midi, il s’est avéré que le logiciel de rançon “PetrWrap/Petya” se propageait rapidement, notamment en Ukraine.

Voici ce que nous pouvons d’ores et déjà dire sur “PetrWrap/Petya” :
- Dès midi, les arnaqueurs ne pouvaient plus accéder à la boîte mail ou envoyer des e-mails.
- Il n’est plus possible d’envoyer d’e-mails à la boîte mail concernée

Nous sommes en contact avec le bureau fédéral de la sécurité informatique (Bundesamt für Sicherheit in der Informationstechnik).

Qu’est-ce qu’un logiciel de rançon (ransomware) ?
L’expression “logiciel de rançon” (ransomware) désigne des logiciels malveillants qui s’installent sur un appareil via un clic sur des liens ou des pièces jointes contaminés. Cela survient surtout quand l’appareil est mal protégé, par exemple quand des logiciels qui y sont installés n’ont pas été actualisés depuis longtemps. Le logiciel malveillant empêche l’accès aux données et systèmes et l’utilisateur concerné est incité à payer une rançon pour retrouver l’accès à ses données. Cependant, le paiement permet rarement de retrouver l’accès aux données.

Bien cordialement,
l’équipe Posteo

Nouveau : service de migration Posteo également pour les calendriers

Créé le 13. June 2017, 17:40 | Catégorie: Info

Chères clientes, chers clients Posteo,

nous avons élargi notre service de migration Posteo : dès maintenant, vous pouvez non seulement transférer confortablement vos boîtes mail et vos carnets d’adresse vers Posteo, mais aussi vos calendriers.

Le service de migration élargi vous permet d’importer vos calendriers depuis des fournisseurs comme gmx, web.de, Gmail, Aol ou iCloud vers Posteo.

Voilà comment cela fonctionne : vous trouverez le service de migration dans les paramètres de votre boîte mail, dans « Mon compte ». Lorsque vous y démarrez un nouveau service de migration, non seulement les dossiers de messages et le carnet d’adresse de votre boîte mail précédente sont affichés, mais aussi les calendriers. Un simple clic suffit pour sélectionner confortablement les données que vous souhaitez transférer vers Posteo. Vous décidez vous-même si vous effacez vos données chez votre fournisseur précédent après la migration.

La particularité du service de migration Posteo :
il est disponilbe sans supplément de prix, vous n’avez pas besoin de connaissances techniques particulières et vous gardez le contrôle sur vos données. Nous ne recourons pas aux prestataires de services de migration pour le transfert des données. Pour cela, vos données sensibles d’e-mail, de carnets d’adresse ou de calendriers ne sont à aucun moment acheminées par le biais de prestataires externes. Nous avons nous-mêmes développés notre service de migration afin qu’il corresponde à nos hautes exigences de sécurité et de minimisation des données : vos données sont consultées par nous directement chez votre fournisseur précédent et importées dans votre boîte mail Posteo via des connexions chiffrées.

C’est également pour protéger vos donnés que nous n’enregistrons pas, entre autre, l’adresse e-mail depuis laquelle vous avez importé des données dans votre boîte mail Posteo.

Si vous avez des questions respectif à la migration de vos données de calendrier ou au service de migration en général, n’hésitez pas à contacter notre service client.

Meilleures salutations
l’équipe Posteo

Alerte de sécurité pour les utilisateurs de Mailvelope dans Firefox

Créé le 04. May 2017, 17:00 | Catégorie: Blog

Chères utilisatrices, chers utilisateurs de Mailvelope,

nous adressons cet avertissement de sécurité à tous ceux qui utilisent l’extension de chiffrement Mailvelope dans Firefox.

Nous avons fait effectuer un audit de sécurité actuel de Mailvelope. Ce dernier a permis de trouver une faille critique concernant l’interaction entre le navigateur Firefox et Mailvelope. Dans certaines circonstances, l’architecture de sécurité de Firefox permet que des attaquants puissent accéder à la clé privée de l’utilisateur à l’aide d’extensions compromises. Pour cette raison, nous demandons à tous les utilisateurs de Mailvelope dans Firefox de lire attentivement nos recommandations de sécurité ci-dessous.

Les utilisateurs de Mailvelope chez tous les autres fournisseurs de messagerie (comme Gmail, Yahoo etc.) sont également concernés.

L’architecture de Firefox n’isole pas suffisamment les extensions les unes contre les autres. Cela est connu depuis des années. Or, le fait que même les clés privées d’un utilisateur de Mailvelope peuvent être compromises lors d’ une attaque ciblée n’a pas été prouvé jusqu’à présent. Les ingénieurs de sécurité de Cure53 mandatés par nous ont pu le démontrer. Auparavant, cure53 a déjà audité Mailvelope dans Chrome : Mandatés par nous, les ingénieurs ont maintenant pour la première fois examiné l’extension dans son interaction avec Firefox. Dans leur rapport d’enquête, ils concluent que Firefox ne représente actuellement pas d’environnement approprié pour Mailvelope. Ils déclarent :

« En fin de compte, l’équipe de Cure53 ne peut pas recommander en toute bonne conscience l’utilisation de Mailvelope dans Firefox. »

Faille présente d’ici novembre 2017

Après l’audit de sécurité, nous en avons informé le développeur de Mailvelope, Thomas Oberndörfer. Il ne peut cependant pas réparer la faille puisque elle est causée par l’architecture de Firefox. Depuis quelque temps, on est en train de développer une nouvelle architecture de Firefox. Mozilla prévoit d’achever les travaux d’ici novembre 2017 avec la sortie de Firefox 57. Thomas Oberndörfer travaille également sur une version de Mailvelope adaptée à la nouvelle architecture de Firefox améliorée. Nous le remercions pour son travail de développement.

Jusqu’à ce que Mozilla ait adapté l’architecture, les recommandations de sécurité suivantes s’appliquent :

1ère option : rabattez-vous temporairement sur un autre logiciel : vous pouvez soit utiliser Mailvelope dans un autre navigateur, soit utiliser PGP avec un client de messagerie local. Dans notre rubrique d’aide, vous trouverez différentes instructions.

2ème option : en alternative, un profil de Firefox exclusif pour Mailvelope minimise le risque de façon transitoire. Dans notre rubrique d’aide, nous avons publié des instructions étape-par-étape pour créer des profils de Firefox : instructions pour Mac instructions pour Windows. Les utilisateurs de Mailvelope ayant un autre fournisseur de messagerie peuvent également suivre ces instructions. Veillez impérativement à respecter les recommandations de sécurité suivantes afin de minimiser le risque d’une attaque fructueuse :

  • N’installez aucune autre extension dans le nouveau profil du navigateur.
  • Utilisez le profil de Firefox uniquement pour votre communication chiffrée avec Mailvelope : n’ouvrez que la messagerie en ligne de votre fournisseur de messagerie et n’ouvrez jamais d’autres sites Web dans ce profil.
  • Choisissez également le mot de passe le plus sûr possible pour votre clé PGP.
  • Veillez à ne pas installer d’autres extensions par inadvertance (à cause d’hameçonnage, par exemple) qui permettent de vous attaquer.

Tenu compte des problèmes dans l’architecture de Firefox, nous vous donnons les conseils suivants :

  • Réduisez au minimum l’utilisation d’extensions dans votre navigateur Firefox, jusqu’à ce que Mozilla ait modifié l’architecture.
  • En créant un compte d’utilisateur supplémentaire et séparé sur votre système d’exploitation pour votre communication chiffrée de bout en bout, vous vous protégez encore plus contre les attaquants potentiels.

Pour des raisons de transparence, voici les recommandations du rapport d’enquête de Cure53 :

« On peut recommander deux chemins aux utilisateurs qui se fient à Mailvelope pour le cryptage de données très sensibles. Premièrement, ils peuvent utiliser Mailvelope dans un profil de navigateur dans lequel Mailvelope est la seule et unique extension installée sans autres extensions. Deuxièmement, ils doivent se fier à d’autres logiciels, par exemple Thunderbird avec Enigmail. »

« Il est actuellement recommandé à tout utilisateur de Mailvelope sous Firefox d’exporter ses paramètres Mailvelope, supprimer Mailvelope de Firefox et importer les paramètres Mailvelope dans une installation de Mailvelope dans Google Chrome. En alternative, Mailvelope peut être utilisé dans un profil de navigateur séparé, à condition qu’aucune autre extension soit installée pour minimiser le risque de vol de matériel clé. »

Les ingénieurs de sécurité mandatés par Posteo on trouvé la faille

Dans leur vie quotidienne, nos clients utilisent différents appareils, navigateurs et extensions dans leurs environnements locaux. La sécurité de la communication de nos clients est très important pour nous. Pour cette raison, nous faisons régulièrement examiner des composants standard externes à la recherche de failles. Nous travaillons, entre autres, avec les experts de sécurité informatique de Cure53 qui ont trouvé la faille dans Mailvelope sous Firefox.

Le docteur Mario Heiderich (Cure53) explique :

« Le problème se trouve actuellement dans l’architecture. Pour cela, il n’y a pas de solution facile. Mozilla le sait, mais doit aussi maîtriser le grand écart difficile entre les changements radicaux et les décisions pondérées qui semblent souvent lentes. Mais on va dans la bonne direction, ce qui est tout à fait quelque chose de positif pour un logiciel complexe.»

Thomas Oberndörfer (Mailvelope) dit :

« Bien entendu, Mailvelope dépend de la sécurité de la plateforme de navigateur sous-jacente. Les failles dans le système d’extensions de Firefox sont connues depuis un moment. Il est d’autant plus appréciable que Mozilla fasse maintenant des ajustements. Les audits de sécurité comme celui qu’a effectué Posteo sont pour nous un indicateur important pour savoir comment améliorer Mailvelope. »

Le rapport d’enquête sera publié après la réparation de la faille

Il est prévu que Mozilla réparera la faille décrite ci-dessus seulement en novembre 2017. Pour cela, par mesure de sécurité, nous ne publierons le rapport d’enquête qu’ à une date ultérieure. Le rapport décrit précisément l’attaque qui peut mener au succès. Le rapport est déjà à disposition de Mailvelope ainsi que de l’office fédéral allemand pour la sécurité en matière de technologies de l’information (le « BSI »).

L’audit de sécurité a également démontré des résultats positifs pour Mailvelope que nous voudrions mentionner ici : On a vérifié si les fournisseurs de messagerie pour lesquels Mailvelope est utilisé ne puissent accéder à la clé privée des utilisateurs de Mailvelope qui est enregistrée dans le navigateur. Cela n’était pas possible. Toutes les autres tentatives des ingénieurs de sécurité d’accéder aux clés privées enregistrées dans Mailvelope en tant qu’exploitants de sites Web ou en tant qu’attaquants de type « Homme du milieu » n’ont également pas abouti.

La faille montre que l’open source augmente la sécurité

Pour des raisons de sécurité, nous prenons en charge uniquement des composants open source ayant un code transparent, comme l’extension de chiffrement Mailvelope. Selon nous, un code transparent est essentiel pour la sécurité et le contrôle démocratique sur internet : des experts indépendants peuvent à tout moment identifier des failles ou des portes dérobées grâce à une analyse du code, comme dans le cas actuel. Ainsi, on n’est plus obligé de se fier aux déclarations de sécurité d’un fournisseur ou d’un développeur. Avec les audits de sécurité mandatés par nous, nous souhaitons contribuer à augmenter la sécurité des composants courants open source et du véritable chiffrement de bout en bout.

Meilleures salutations
L’équipe Posteo

Nouveaux certificats de sécurité

Créé le 17. January 2017, 10:46 | Catégorie: Info

Chères clientes et clients Posteo,

dans les prochains jours, nous allons actualiser nos certificats de sécurité. Les certificats de sécurité ont une durée de validité limitée et doivent être renouvelés régulièrement.
Pour cela, nous les échangerons jusqu’au 22 janvier 2017. Nous continuerons d’utiliser les certificats de Geotrust et de la Bundesdruckerei (D-Trust).

Dans la majorité des cas, vous ne remarquerez pas l’échange de certificats.
Tous les programmes comme Thunderbird ou Outlook trouveront automatiquement le nouveau certificat. Vous n’avez rien besoin de faire. Au cas où votre programme vous signale une erreur de certificat durant le
processus de transition, le redémarrage de votre programme devrait corriger l’erreur.

Si vous réglez la confiance aux certificats manuellement, vous trouverez ci-dessous les empreintes digitales des nouveaux certificats que nous utiliserons bientôt. Les empreintes digitales se trouvent également
dans nos mentions légales.

Nouvelles empreintes digitales des certificats de sécurité TLS

Geotrust:
SHA256: 30:2A:06:B8:CF:A8:5B:93:66:5A:44:66:E2:BB:84:05:FE:80:95:3F:5A:FE:D1:08:DB:3B:B0:0D:7C:42:B4:39
SHA1: BD:16:71:84:B0:B1:40:D9:0A:65:99:8C:E6:7B:01:D6:AA:5B:8B:67
MD5: 55:F5:81:51:91:CD:88:64:14:D5:AA:E2:D5:2E:2C:AB

D-Trust:
SHA256: 06:48:D6:E4:D3:79:42:79:81:77:0F:49:88:43:D7:65:EE:A8:6F:1F:12:6F:72:11:8F:A9:4C:A9:66:34:FE:B5
SHA1: 79:DB:A0:A9:57:D9:30:FA:EF:5F:72:69:FB:1B:EA:06:90:27:9F:4D
MD5: DA:59:74:62:7C:D1:12:4E:15:41:25:37:9B:56:D0:58

Bien cordialement
l’équipe Posteo

NOUVEAU : la messagerie en ligne affiche quels serveurs sont dotés de la meilleure sécurité d'envoi

Créé le 18. August 2016, 17:30 | Catégorie: Info

Chers clients Posteo,

nous venons d’activer une nouvelle fonction pour vous : désormais, notre messagerie en ligne vous montre à quels contacts vous envoyez vos e-mails de la façon la plus sûre qui soit, ceci grâce à la technologie DANE. Vous pouvez le voir au petit symbole vert DANE au-dessus d’une adresse e-mail.



Pour nous, cette nouvelle fonction d’affichage DANE est très spéciale. En effet, quand nous avons introduit cette technologie de sécurité en mai 2014, Posteo était d’après le site heise.de le seul fournisseur de messagerie dans le monde (site en allemand) à prendre en charge DANE. De nombreux spécialistes en informatique doutaient encore à l’époque du fait que cette nouvelle technologie puisse s’imposer. Entre-temps, tout cela a bien changé et cela vaut déjà le coup d’afficher les serveurs qui prennent en charge DANE : nous envoyons systématiquement des messages avec DANE à de nombreux serveurs de messagerie dans le monde, notamment à de grands fournisseurs allemands comme 1&1 (entre autres GMX et web.de.

Cette technologie s’impose à juste titre : DANE élimine plusieurs failles du chiffrement lors de l’acheminement STARTTLS, utilisé très couramment entre les serveurs de messagerie, et augmente considérablement la sécurité du transport chiffré des e-mails et de la connexion aux sites internet. Sans DANE, le chiffrement d’une connexion n’est par exemple pas « imposé » mais renégocié à chaque fois. Avec DANE, les serveurs de messagerie qui communiquent entre eux sont obligés de chiffrer chaque connexion. Si un dysfonctionnement lors du chiffrement ou une attaque surviennent, l’e-mail n’est pas envoyé. De plus, les serveurs prenant DANE en charge vérifient leurs certificats de sécurité avant la transmission des e-mails, de la même façon qu’un contrôle de carte d’identité. Cela permet de vous assurer que l’autre serveur est la « cible effective » de la communication, et non pas un Homme du Milieu qui s’est inséré dans votre conversation. C’est pourquoi DANE permet de garantir à l’avance un envoi chiffré. Nous affichons donc le statut DANE dans notre messagerie en ligne. En bref : cet affichage garantit que votre e-mail sera acheminé avec DANE à votre destinataire. D’une part, son acheminement sera donc chiffré et d’autre part, cet e-mail sera envoyé au serveur de réception effectif.

Bon à savoir : la garantie de l’envoi par TLS vous protège aussi lors de l’envoi à des serveurs ne prenant pas DANE en charge

Si le symbole DANE ne vous est pas indiqué pour une adresse, cela signifie que le serveur d’entrée ne prend pas encore DANE en charge.
C’est par exemple toujours le cas pour de très grands fournisseurs comme Gmail ou Yahoo.
Certes, ils prennent en charge des connexions chiffrées entre les serveurs de messagerie. Mais sans DANE, en cas de dysfonctionnement lors du chiffrement ou d’une attaque, l’acheminement peut retourner à un stade non chiffré, comme nous l’expliquons plus haut. C’est pourquoi la sécurité d’une connexion entre deux serveurs de messagerie sans DANE ne peut pas être entièrement garantie.

Nous avons une remarque importante à ce sujet : chez Posteo, vous pouvez exclure tous les envois qui ne sont pas chiffrés par TLS.


Activez pour cela dans les paramètres de votre boîte mail Votre garantie d’envoi par TLS personnelle

Elle garantit que l’acheminement de vos e-mails se déroulera de façon chiffrée, par TLS, même quand les serveurs ne prennent pas DANE en charge. Si vous activez la garantie de l’envoi par TLS, nous enverrons vos e-mails uniquement s’ils peuvent être livrés de façon chiffrée. Si un envoi sûr via une connexion chiffrée est impossible, le transfert de l’e-mail sera interrompu et nous vous en informerons. Si des personnes non autorisées attaquent une connexion sûre et tentent de provoquer un retour vers une connexion non chiffrée, l’envoi est interrompu.

Bien cordialement
l’équipe Posteo

Conseil de lecture : Pourquoi Posteo affiche-t-il le statut DANE et non le statut TLS ?