Actualisé le 3 juillet 2017 à 17:00 :

Des entreprises leader dans le secteur de la sécurité considèrent maintenant que Petya (aussi connu sous le nom “Petrwrap” ou “NotPetya”) visait une destruction des données. Apparemment, Petya s’est fait passer pour un logiciel de rançon mais n’avait pas pour objectif final d’extorquer de l’argent. Les analyses des entreprises de sécurité informatique Kaspersky et Comae Technologies ont montré que le logiciel de rançon ne chiffre pas les données des systèmes affectés mais les efface. Il semble que Petya écrase les données de manière irréversible, rendant ainsi leur restauration impossible.
Depuis le début, le paiement d’une rançon ou la prise de contact avec les agresseurs par les personnes concernées par l’attaque auraient été inutiles.(Vous pouvez également vous référer aux recommandations des autorités.)

Nous avions immédiatement fermé l’adresse Posteo en rapport avec cette attaque avant que la vague ne se propage. Les agresseurs n’ont pas remplaçé l’adresse bloquée par une autre adresse.

27 juin 2017 à 18:30 :

Informations sur le logiciel de rançon (ransomware) PetrWrap/Petya: la boîte mail concernée était déjà bloquée depuis ce midi

Ce midi, nous avons appris que des arnaqueurs utilisant un logiciel de rançon (ransomware) indiquent actuellement une adresse Posteo comme contact.
Notre équipe anti-abus a tout de suite effectué une vérification puis immédiatement bloqué cette boîte mail. Nous ne tolérons aucun usage frauduleux de notre plateforme : le blocage immédiat des boîtes mail utilisées à des fins malveillantes est un procédé couramment utilisé par les fournisseurs d’accès dans ce genre de cas.

Au cours de l’après-midi, il s’est avéré que le logiciel de rançon “PetrWrap/Petya” se propageait rapidement, notamment en Ukraine.

Voici ce que nous pouvons d’ores et déjà dire sur “PetrWrap/Petya” :
- Dès midi, les arnaqueurs ne pouvaient plus accéder à la boîte mail ou envoyer des e-mails.
- Il n’est plus possible d’envoyer d’e-mails à la boîte mail concernée

Nous sommes en contact avec le bureau fédéral de la sécurité informatique (Bundesamt für Sicherheit in der Informationstechnik).

Qu’est-ce qu’un logiciel de rançon (ransomware) ?
L’expression “logiciel de rançon” (ransomware) désigne des logiciels malveillants qui s’installent sur un appareil via un clic sur des liens ou des pièces jointes contaminés. Cela survient surtout quand l’appareil est mal protégé, par exemple quand des logiciels qui y sont installés n’ont pas été actualisés depuis longtemps. Le logiciel malveillant empêche l’accès aux données et systèmes et l’utilisateur concerné est incité à payer une rançon pour retrouver l’accès à ses données. Cependant, le paiement permet rarement de retrouver l’accès aux données.

Bien cordialement,
l’équipe Posteo

Chères utilisatrices, chers utilisateurs de Mailvelope,

nous adressons cet avertissement de sécurité à tous ceux qui utilisent l’extension de chiffrement Mailvelope dans Firefox.

Nous avons fait effectuer un audit de sécurité actuel de Mailvelope. Ce dernier a permis de détecter une faille critique dans l’interaction entre le navigateur Firefox et Mailvelope. Dans certaines circonstances, l’architecture de sécurité de Firefox permet aux agresseurs d’accéder à la clé privée de l’utilisateur par le biais d’extensions compromises. Pour cette raison, nous demandons à tous les utilisateurs de Mailvelope dans Firefox de lire attentivement les recommandations de sécurité ci-dessous.

Les utilisateurs de Mailvelope chez tous les autres fournisseurs de messagerie (comme Gmail, Yahoo etc.) sont également concernés.

L’architecture de Firefox n’isole pas suffisamment les extensions les unes des autres. Cela est connu depuis des années. Or, le fait que même les clés privées d’un utilisateur de Mailvelope peuvent être compromises lors d’ une attaque ciblée n’avait pas encore été prouvé. Les ingénieurs de sécurité de Cure53 que nous avons mandatés ont pu le démontrer. Auparavant, cure53 a déjà audité Mailvelope dans Chrome : mandatés par nous, les ingénieurs ont maintenant pour la première fois examiné l’extension dans son interaction avec Firefox. Dans leur rapport d’enquête, ils concluent que Firefox ne constitue actuellement pas un environnement approprié pour Mailvelope. Ils déclarent :

« En conclusion, l’équipe de Cure53 ne peut recommander l’utilisation de Mailvelope dans Firefox en bonne conscience. »

Faille présente jusqu’en novembre 2017

Après l’audit de sécurité, nous en avons informé le développeur de Mailvelope, Thomas Oberndörfer. Il ne peut cependant pas réparer la faille puisque elle est causée par l’architecture de Firefox. Depuis quelque temps, une nouvelle architecture de Firefox est développée. Mozilla prévoit d’achever les travaux d’ici novembre 2017 avec la sortie de Firefox 57. Thomas Oberndörfer travaille également sur une version de Mailvelope adaptée à l’architecture améliorée de Firefox. Nous le remercions pour son travail de développement.

Jusqu’à ce que Mozilla ait adapté l’architecture, les recommandations de sécurité suivantes s’appliquent :

1ère option : en attendant, utilisez un autre logiciel : vous pouvez soit utiliser Mailvelope dans un autre navigateur, soit utiliser PGP avec un client de messagerie local. Dans notre rubrique d’aide, vous trouverez plusieurs articles sur ce sujet.

2ème option : sinon, un profil Firefox réservé à Mailvelope minimise le risque de façon transitoire. Dans notre rubrique d’aide, nous avons publié des instructions pas-à-pas pour créer des profils dans Firefox : instructions pour Mac instructions pour Windows. Les utilisateurs de Mailvelope ayant un autre fournisseur de messagerie peuvent également suivre ces instructions. Veillez à respecter absolument les recommandations de sécurité suivantes afin de minimiser le risque d’une attaque efficace :

• n’installez aucune autre extension dans le nouveau profil du navigateur.
• Utilisez le profil de Firefox pour votre communication chiffrée avec Mailvelope uniquement : n’ouvrez que la messagerie en ligne de votre fournisseur de messagerie et n’ouvrez jamais d’autres sites internet dans ce profil.
• Choisissez également le mot de passe le plus sûr possible pour votre clé PGP.
• Veillez à ne pas installer d’autres extensions par inadvertance (notamment par hameçonnage) qui pourraient vous attaquer.

Compte tenu des problèmes dans l’architecture de Firefox, nous vous conseillons ce qui suit :

• réduisez au minimum l’utilisation d’extensions dans votre navigateur Firefox jusqu’à ce que Mozilla ait modifié son architecture.
• En créant un compte d’utilisateur supplémentaire et séparé dans votre système d’exploitation pour votre communication chiffrée de bout en bout, vous vous protégez encore mieux des attaquants potentiels.

Pour des raisons de transparence, voici les recommandations du rapport d’enquête de Cure53 :

« On peut recommander deux méthodes aux utilisateurs qui se fient à Mailvelope pour le cryptage de données très sensibles. Premièrement, ils peuvent utiliser Mailvelope dans un profil de navigateur dans lequel Mailvelope est la seule et unique extension installée sans autres extensions. Deuxièmement, ils devraient recourir à d’autres logiciels, par exemple Thunderbird avec Enigmail. »

« Il est actuellement recommandé à tout utilisateur de Mailvelope sous Firefox d’exporter ses paramètres Mailvelope, de supprimer Mailvelope de Firefox et d’importer les paramètres Mailvelope dans Mailvelope installé au préalable dans Google Chrome. Sinon, Mailvelope peut être utilisé dans un profil de navigateur séparé, à condition qu’aucune autre extension soit installée pour minimiser le risque de vol de clés. »

Les ingénieurs de sécurité mandatés par Posteo ont trouvé la faille

Au quotidien, nos clients utilisent différents appareils, navigateurs et extensions dans leurs environnements locaux. La sécurité de la communication de nos clients est très importante pour nous. C’est pourquoi nous faisons régulièrement examiner des composants standard externes, à la recherche de failles. Nous travaillons, entre autres, avec les experts de sécurité informatique de Cure53 qui ont trouvé la faille dans Mailvelope sous Firefox.

Le docteur Mario Heiderich (Cure53) explique :

« Le problème se trouve actuellement dans l’architecture. Pour cela, il n’y a pas de solution facile. Mozilla le sait, mais doit aussi maîtriser le grand écart difficile entre les changements radicaux et les décisions pondérées qui semblent souvent lentes. Mais on va dans la bonne direction, ce qui est tout à fait positif pour un logiciel complexe.»

Thomas Oberndörfer (Mailvelope) dit :

« Bien entendu, Mailvelope dépend de la sécurité de la plateforme de navigateur sous-jacente. Les failles dans le système d’extensions de Firefox sont connues depuis un moment. Il est d’autant plus appréciable que Mozilla fasse maintenant des ajustements. Les audits de sécurité comme celui qu’a effectué Posteo sont pour nous un indicateur important pour savoir comment améliorer Mailvelope. »

Le rapport d’enquête sera publié après la réparation de la faille

Il est prévu que Mozilla répare seulement la faille décrite ci-dessus en novembre 2017. C’est pour cela que, par mesure de sécurité, nous ne publierons le rapport d’enquête à une date ultérieure. Le rapport décrit précisément une attaque qui pourrait fonctionner. Le rapport est déjà à disposition de Mailvelope ainsi que de l’office fédéral allemand pour la sécurité en matière de technologies de l’information (le « BSI »).

L’audit de sécurité a également démontré des résultats positifs pour Mailvelope que nous voudrions mentionner ici : on a vérifié si les fournisseurs de messagerie avec lesquels Mailvelope est utilisé pourraient accéder à la clé privée des utilisateurs de Mailvelope enregistrée dans le navigateur. Cela n’était pas le cas. Toutes les autres tentatives des ingénieurs de sécurité d’accéder aux clés privées enregistrées dans Mailvelope en tant que fournisseurs de sites internet ou en tant qu’attaquants de type « Homme du milieu » n’ont également pas abouti.

La faille montre que l’open source augmente la sécurité

Pour des raisons de sécurité, nous prenons en charge uniquement des composants open source ayant un code transparent, comme l’extension de chiffrement Mailvelope. Selon nous, un code transparent est essentiel pour la sécurité et le contrôle démocratique sur Internet : des experts indépendants peuvent à tout moment identifier des failles ou des portes dérobées grâce à une analyse du code, comme dans le cas actuel. Ainsi, on n’est plus obligé de se fier aux déclarations de sécurité d’un fournisseur ou d’un développeur. Avec les audits de sécurité que nous mandatons, nous souhaitons contribuer à augmenter la sécurité des composants open source courants et du véritable chiffrement de bout en bout.

Meilleures salutations,
l’équipe Posteo

Chers clients,
chers visiteurs,

la nouvelle commissaire chargée de la protection des données de Berlin, Maja Smoltczyk, a présenté Posteo dans son rapport annuel de 2015 et l’a évoqué comme exemple positif de protection des données.
Cette référence très positive à notre service nous réjouit. Pour cette raison, nous vous la copions ci-dessous pour que vous en profitiez aussi :

« Posteo (posteo.de) est un fournisseur de messagerie en ligne possédant les fontions habituelles de ces services. Contrairement à d’autres boîtes mail, son utilisation est payante, ce qui permet de renoncer à toutes les données d’identification et à l’analyse du comportement de l’utilisateur ainsi que du contenu des e-mails. Cela commence par le fait que les utilisateurs utilisent un pseudonyme lors de la création de leur boîte mail : mis à part l’adresse e-mail souhaité et un mot de passe, aucune donnée obligatoire n’est exigée du client. Même le versement du crédit prépayé peut se dérouler de façon entièrement anonyme, en espèces. Si l’on opte pour une procédure de paiement impliquant de divulguer des données, le lien avec la boîte mail du client établi via un code de paiement est effacé directement après l’arrivée du paiement. En plus de la mise en place réussie de tous les moyens de chiffrement à l’acheminement lors de l’envoi et la réception des e-mails, ainsi que lors de l’accès à l’interface en ligne, un chiffrement de bout en bout avec PGP ou S/MIME est pris en charge. Une des particularités de Posteo est la fonction de chiffrement du contenu de la boîte mail et du carnet d’adresses : même les e-mails entrants parvenant non chiffrés peuvent être chiffrés en toute simplicité. Le déchiffrement se déroule seulement au moment même où chaque e-mail est consulté. L’utilisation de cette fonction nécessite un mot de passe sûr et assez long. » (p.51)

« Posteo démontre que la protection des données est un argument de vente efficace. » (S.53)

Vous trouverez le rapport complet (en allemand) de la commissaire chargée de la protection des données de Berlin sur le site datenschutz-berlin.de.

Bien cordialement
L’équipe Posteo

Chers clients,
chers visiteurs,

nous souhaiteons vous faire part d’une nouveauté relative à la transparence de notre entreprise : dès maintenant, nous présentons sur une page prévue à cet effet à quelles organisations nous avons donné, ceci chaque année (2015).
Vous nous avez demandé de créer cette page car votre crédit restant peut, si vous le souhaitez, être donné à Posteo. Vous trouverez cette nouvelle page “Qui soutenons-nous ?” sur notre site internet dans la rubrique « Qui sommes-nous ?».

Il est important pour nous de soutenir l’engagement social et d’être une entreprise responsable.
C’est pour cela que nous soutenons particulièrement certaines organisations dans le domaine de la protection de l’environnement, de la politique internet et de la liberté d’expression, ou encore de l’aide aux réfugiés. #more#

L’année dernière, Posteo a donné au total 24.350,00 €, dont 22.957,30 € de dons volontaires par l’entreprise Posteo.
Les 1.392,70 € restants proviennent de dons de crédit restant.

Les récipiendaires des dons Posteo étaient en 2015, entre autres, le Bund für Umwelt und Naturschutz Deutschland (fédération pour l’environnement et la protection de la nature Allemagne), Reporters sans frontières, l’aide aux réfugiés de l’ONU ou encore Netzpolitik.org.

Bien cordialement
L’équipe Posteo

Chers clients Posteo,

il y a du nouveau : depuis aujourd’hui, le nouvel habillage « Gentle Grey » de notre messagerie en ligne est disponible.
Cet habillage est une nouvelle variante en noir et blanc de notre nouvel habillage standard, intéressante pour tous ceux qui souhaitent un environnement plus discret pour la messagerie en ligne.

Dès maintenant, vous avez la possibilité d’activer le nouvel habillage « Gentle Grey » dans les paramètres de votre boîte mail, dans « Paramètres » → « Paramètres »→ « Interface utilisateur »→ « Habillage de l’interface ». Si vous souhaitez utiliser ce design, choisissez « Gentle Grey » et confirmez la modification du design en cliquant sur « Enregistrer ».

Nous mettrons bientôt d’autres versions du design de la messagerie en ligne à votre disposition.

Bien à vous
l’équipe Posteo