Plus de 3,3 millions - 3,3 m-i-l-l-i-o-n-s - de services POP3 et un nombre similaire de services IMAP fonctionnent sans chiffrement, laissant les noms d'utilisateur et mots de passe vulnérables à des interceptions.

Cette vulnérabilité a été mise en évidence lors d'audits récents, soulignant l'urgence pour les organisations et les fournisseurs de services de mettre à jour leurs infrastructures email.

POP3 et IMAP sont des protocoles essentiels pour récupérer des emails depuis un serveur.

Cependant, lorsqu'ils fonctionnent sur des ports par défaut comme 110 pour POP3 et 143 pour IMAP sans chiffrement, les informations d'identification sont transmises en clair.

Cela représente une cible idéale pour les cyberattaques.

L'absence de chiffrement permet à tout individu interceptant le trafic réseau d'accéder facilement à des informations sensibles, y compris les identifiants de connexion.

Cette vulnérabilité est préoccupante, car ces protocoles sont largement utilisés dans les environnements personnels et professionnels.

L'utilisation de protocoles comme TLS ou SSL garantit une communication sécurisée entre le client et le serveur email.

Les ports sécurisés pour ces protocoles sont 995 pour POP3S et 993 pour IMAPS.

Le manque de chiffrement compromet non seulement la confidentialité des utilisateurs, mais expose également à des menaces telles que le sniffing de mots de passe et les attaques de type "man-in-the-middle".

Cela permet aussi de prendre le contrôle des comptes pour diffuser des malware et ransomware ou prendre le contrôle de comptes liés grâce à la fonction " j'ai oublié mon mot de passe" et la capture de codes OTP (One Time Password) / MFA par mail.

Les experts en sécurité recommandent de désactiver les ports non chiffrés 110 et 143 et d'adopter des protocoles sécurisés comme POP3S et IMAPS.

Ils suggèrent aussi de mettre en place une authentification forte et de surveiller les activités suspectes.

Ces mesures sont indispensables pour protéger l'intégrité et la confidentialité des communications email dans un paysage numérique en constante évolution.

https://lnkd.in/ekHxYAqn

En 2025, 110 pour POP3 et 143 pour IMAP c'est fini !

Place à 995 pour POP3S et 993 pour IMAPS.

--

Merci pour vos commentaires et j'ajouterai également de penser au smtps et au webmail non exposé (derrière un vpn) merci Vincent G pour le commentaire.

Des solutions antispam (SpamAssassin ou autre) et antivirus (ClamAv ou autre) sont également indispensables !

Enfin, pensez à bien choisir vos MTA (Mail Transport Agent) et MUA (Mail User agent) et les tenir à jour !

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Vulnérabilité de BitLocker sur Microsoft Windows 11.

Une présentation du Chaos Computer Club (38c3) explore une vulnérabilité de BitLocker, l'outil de chiffrement de Microsoft, sur Windows 11.

Malgré un correctif partiel publié en novembre 2022 pour le bug connu sous le nom de "bitpixie" (CVE-2023-21563), il est encore exploitable via une attaque par rétrogradation.

Cette faille permet de contourner le chiffrement BitLocker sur des systèmes à jour utilisant Secure Boot.

Le conférencier détaille le fonctionnement de Secure Boot, l'intégration du TPM (Trusted Platform Module) avec BitLocker, et les principes du bug bitpixie.

Une démonstration en direct montre comment exécuter cette attaque, avec des explications sur les prérequis, le processus et les limites des correctifs de Microsoft.

La conférence aborde aussi les impacts sur Linux Secure Boot et propose des conseils pour se protéger.

BitLocker, souvent activé par défaut sur les systèmes récents, déchiffre automatiquement les données au démarrage de Windows.

La conférence est disponible en plusieurs formats vidéo et audio, avec des traductions dans plusieurs langues.

https://lnkd.in/eTdm2ybD

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Cet article explique comment contourner les politiques d'accès conditionnel (CAP) d'Entra ID qui exigent une authentification depuis un appareil conforme à Intune.

Ces politiques sont utilisées pour renforcer la sécurité des environnements Microsoft 365 et Azure en exigeant des niveaux spécifiques d'authentification.

L'article mentionne qu'un client ID spécifique (9ba1a5c7-f17a-4de9-a1f1-6178c8d51223) peut être utilisé pour contourner ces restrictions.

Un outil appelé TokenSmith a été développé pour intégrer cette méthode de contournement et est disponible sur GitHub.

Le processus de découverte a impliqué l'analyse d'une application appelée Company Portal, utilisée pour l'enrôlement des appareils Intune.

En utilisant des outils comme BurpSuite et en analysant les journaux Windows, les chercheurs ont trouvé l'URI de redirection correct nécessaire pour l'authentification.

Une fois l'URI identifié, il est possible de récupérer des jetons d'accès et d'actualisation pour MS Graph et AD Graph via des requêtes spécifiques.

Ces jetons permettent de contourner les exigences d'appareil conforme tout en accédant à des ressources protégées.

Les défenses possibles incluent l'exigence de MFA pour l'enrôlement des appareils Intune.

Cependant, des techniques comme le phishing AiTM pourraient encore permettre de contourner ces mesures.

L'article conclut en soulignant les limites actuelles de cette méthode et en appelant à des pratiques de défense renforcées pour les environnements Entra ID.

-> Renforcez l'analyse des journaux Entra, en particulier la surveillance des anomalies ou des connexions suspectes liées à l’ID client ci-dessus pour détecter d'éventuelles attaques.

Article de blog https://lnkd.in/exfgsvXP

POC sur github
https://lnkd.in/eivCbviB

Cette vulnérabilité soulève une fois de plus des questions sur la robustesse des processus de sécurité et de test chez cet acteur majeur du secteur.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.