menace sécurité sur K9-mail

fouzy1 · Le 30/04/2024, à 13:31

Bonjour,

J'utilise K9-mail comme appli sur mon téléphone Androïd (en IMAP), les amails se synchronisent avec ceux du Thunderbird (POP) installé sur mon ordinateur. Mon client de messagerie est riseup mail.

Aujourd'hui je reçois de K9-mail l'information suivante :

Avertissement, erreur certificat, l'appli a détecté une menace potentielle et a cessé de se connecter à mail.riseup.net. Si vous poursuivez, des assaillants pourraient tenter de voler des données telles que mots de passe ou vos courriels

lorsque je clique sur "avancé", le titre "certificat du serveur" apparaît suivi des informations suivantes :

Autres noms du sujet: imap.riseup.net / mail.riseup.net / pop.riseup.net / smpt.riseup.net

Non valide avant le 29 avril 2024 21:33
Non valide après le 28 juillet 2024 21:32
Sujet : CN=mail.riseup.net
Emetteur : CN=R3, O=Let's Encrypt, C=US
Empreintes : SHA-1 / SHA-256 / SHA-512 (avec pour chacun une liste de chiffres et de lettres)

Puis tout en bas "revenir en arrière" ou "accepter le risque et poursuivre".

Ce message n'apparaît pas sur Tunderbird. Que me conseillez-vous ?

Vobul · Le 30/04/2024, à 13:42

> Que me conseillez-vous ?

Rien. Ils n'ont pas déjà réglé le problème ? Si ils laissent expirer leurs certificats, perso je ne ferai pas trop confiance à leur service... Ça sent l'amateurisme !

L'autre piste c'est plutôt que K9-mail a gardé l'ancien certificat "en mémoire", un peu étonnant mais bon, je ne sais pas trop, t'as quelle version de K9 ? T'as essayé de redémarrer ton téléphone ?

D'autre part, je t'invite à te renseigner sur ce qu'est un certificat, afin de mieux comprendre ce message, car j'ai l'impression que tu ne vois pas du tout ce qu'il se passe.

Une version ELI5:

Imaginons que le certificat TLS est comme une carte d'identité spéciale que les sites web et les services, comme les e-mails, utilisent pour montrer qu'ils sont sûrs et dignes de confiance. Quand tu envoies un e-mail, il passe par internet pour arriver à son destinataire. Le certificat TLS aide à s'assurer que personne d'autre ne peut lire ton e-mail pendant qu'il voyage.

Si le certificat TLS d'un service d'e-mail est expiré, c'est comme si la carte d'identité était périmée. Cela signifie que ton ordinateur ou ton téléphone pourrait ne pas faire confiance à ce service d'e-mail parce qu'il ne peut pas prouver qu'il est toujours sûr. Ton appareil pourrait te dire que ce n'est pas sécurisé d'envoyer des e-mails avec ce service jusqu'à ce que le certificat soit mis à jour, un peu comme renouveler une carte d'identité périmée pour qu'elle soit à nouveau valide.

Dernière modification par Vobul (Le 30/04/2024, à 13:44)

jplemoine · Le 30/04/2024, à 14:58

En fait, le certificat est un certificat "Let's Encrypt" valable 3 mois pour les sites : imap.riseup.net, mail.riseup.net, pop.riseup.net et smtp.riseup.net.
Comme l'a dit Vobul, il est possible qu'il y ait un cache avec l'ancien certificat.

krodelabestiole · Le 30/04/2024, à 15:01

modération : déplacement de Bureautique et logiciels pour l'internet et le réseau vers Café Ubuntu (rien à voir avec Ubuntu ni GNU/Linux)

fouzy1 · Le 30/04/2024, à 20:23

Merci a tous,

Pour le déplacement sur Café Ubuntu, plus approprié effectivement pour ce sujet.

Pour vos deux réponses sur le certificat TLS, c'est clair pour moi qui ne connais pas bien ce principe, et de même le "Let's Encrypt"

En réponse :

Oui, j'ai redémarré mon téléphone, installé la dernière version 6.802 de K9-mail, vidé le cache. J'ai eu le même message.

Donc si je comprends bien j'attends voir si K9-mail renouvelle ce certificat ? Sinon je passe outre en supposant que le problème vient de leur mémoire cache de l'ancien certificat ?

Vobul · Le 30/04/2024, à 21:07

En gros, d'après le certificat que tu nous montres, et qu'on peut également vérifier par nous-même avec :

 openssl s_client -connect mail.riseup.net:443

On peut voir que le certificate est valide, donc normalement k9 s'y connecte et tout se passe bien. Je ne comprends pas pourquoi tu aurais une erreur, alors que le cert est valide, on est bien après le 29 avril, date de début de validité (ton téléphone est à la bonne date ?).

La possibilité d'une attaque est quand même assez peu probable, et le fait que le certificat a été renouvellé hier est une bonne piste que c'est à ce moment-là que ça commence à coincer, pour une raison obscure...

Oui tu peux passer outre, le certificat est valide. Pour le moment ma seule piste c'est ton téléphone qui n'est pas à la bonne heure/date (pas sûr que ce soit possible de nos jors) OU qui ne fait plus confiance aux certificats Let's Encrypt, ce qui m'étonnerai, mais ça pourrait peut-être être ça : https://github.com/thunderbird/thunderb … ssues/7646

T'as quelle version d'android ?

fouzy1 · Le 07/05/2024, à 12:40

Bonjour,

Mon téléphone est bien à la bonne date, il s'y met automatiquement. Lorsque je passe outre la mention de sécurité, rien ne se produit et l'écran revient sur le message d'erreur.

Ton lien sur le non fonctionnement de Let's Encrypt sur Android 7.0 (et antérieur) pourrait être la réponse ? En effet mon tél fonctionne sur Android 7.0. Une mise à jour considère cette version comme étant à jour.

Dans ton lien le post indique "We need to change to a trust store that trusts ISRG Root X1". Je pourrais essayer ça ? As-tu une idée de la procédure ?

Vobul · Le 07/05/2024, à 12:56

Bon ben voilà il est là le problème. Android 7.0 n'est plus supporté depuis Octobre 2019.

Donc soit tu changes de tél pour un truc de cette décennie, soit tu explores d'installer un OS genre Ubuntu Touch ou autre, soit tu tentes de changer le cert du root store, mais pas sûr que ce soit possible sans avoir un tél rooté.

Mon conseil c'est quand même de changer de tél (oui je sais, c'est pas top niveau consommation de resources mais bon, foutu pour foutu*....et puis tu l'as bien rentabilisé le téléphone là), car là tu as un téléphone vulnérable et non patchable, car non maintenu depuis pas mal d'années déjà.

* we are dooooomed

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 30/04/2024, à 13:31

menace sécurité sur K9-mail

#2 Le 30/04/2024, à 13:42

Re : menace sécurité sur K9-mail

#3 Le 30/04/2024, à 14:58

Re : menace sécurité sur K9-mail

#4 Le 30/04/2024, à 15:01

Re : menace sécurité sur K9-mail

#5 Le 30/04/2024, à 20:23

Re : menace sécurité sur K9-mail

#6 Le 30/04/2024, à 21:07

Re : menace sécurité sur K9-mail

#7 Le 07/05/2024, à 12:40

Re : menace sécurité sur K9-mail

#8 Le 07/05/2024, à 12:56

Re : menace sécurité sur K9-mail

Pied de page des forums