Le webmail est dangereux, est-il utile ?

commencé par #TopMembre ‎27-04-2017 11h52 - modifié ‎03-08-2017 12h38

 

Le Webmail est dangereux - Est-il seulement utile ?

 

 

Pourquoi ce papier

Dans de nombreux posts d'utilisateurs  expérimentés, il  est régulièrement conseillé de ne pas utiliser le webmail et d'utiliser un courrielleur.

Ce papier tente de présenter la différence entre les deux méthodes d'accès et les conséquences.

 

La Messagerie comment ça marche ?

 

La messagerie est un service.

Les offreurs de services fournissent : un stockage, des logiciels d'accès (les serveurs) et un système d'adressage supporté par internet.

 

Adressage :

Tout le monde connaît la structure d'une adresse de messagerie. Il ne me semble pas inutile de la rappeler ici.

En partie gauche le compte ce nom est unique pour un service.

En partie droite le nom de domaine ce nom est unique dans Internet, il appartient au service et est utilisé par internet pour router les messages vers le service. Chez Orange le nom de domaine est orange.fr - le domaine wanadoo.fr n'est plus accessible pour les créations de boites mail, il est en voie d'extinction.

Le caractère "@" arobase sépare et réunit les deux parties.

Une adresse courante aur la forme nom@domaine et se lit "nom chez domaine".

 

Le stockage :

Chez Orange il est de base limité à 10Go. C'est plus que suffisant pour les utilisateurs résidentiels.

 

Les serveurs :

Ce sont les seuls moyens d'accès à la messagerie.

 

Pour envoyer :

Le serveur SMTP (Simple Mail Transport Protocol) est le serveur à qui sont remis les messages, ils gère les envois vers tous les destinataires.

 

 

Pour recevoir :

Les serveurs IMAP  ( Interactive Message Access Protocol) et POP (Post Office Protocol). Il faut se connecter aux serveurs IMAP ou POP pour pouvoir lire les messages contenus dans la boite mail.

 

Le Courrielleur

ou Client de Messagerie.

La terminologie "Courrielleur" est un néologisme d'origine québécoise.

C'est l'application capable de communiquer d'un côté (écran, clavier, souris) avec un utilisateur et  de l'autre (accès réseau) avec les serveurs SMTP et POP et/ou IMAP.

Tous les accès , même le webmail utilisent un courrielleur.

 

Tous les appareils communiquants récents contiennent d'origine un courielleur.

Les machines Apple utilisent Mail.

Les machines Android utilisent Email.

Les machines Windows utilisent Courrier.

Les machines Linux utilisent Thunderbird.

 

Le marché fournit des produits standards et universels. Principalement Microsoft avec Office qui inclus Outlook et la Fondation Mozilla qui fournit Thunderbird.

 

Thunderbird est gratuit et édité sous Licence Publique Mozilla, il contient des produits libres et des produits "open source". Il est utilisable sur tous les ordinateurs actuels.

 

Thunderbird est une bonne recommandation.

 

Le Webmail

C'est un accès à distance à un courielleur. En général un webmail est composé de deux outils, un courielleur et un serveur web. Le courielleur s'exécute dans un portail et ses résultats sont affichés dans des pages web dynamiques fabriquées par le serveur web en partant du contenu de la boite mail à laquelle il accède.

 

Le webmail est un site informatique intermédiaire entre l'utilisateur et la boite mail.

Le webmail est généralement accompagné d'un stockage de contacts.

 

Il permet d'accéder à une boite mail depuis n'importe quel ordinateur.

 

 

 

 

Un courrielleur protège des dysfonctionnements d'Orange

 

La plupart des dysfonctionnements rapportés ici sont liés à l'utilisation du webmail.

Ils sont souvent aggravés par un manque d'information (et de formation ?) des utilisateurs, c'est vrai qu'Orange pourrait faire mieux dans le domaine des rubriques : "Comment faire pour ..." encore que récemment le site de l'Assistance soit en amélioration sensible sur ce sujet.

 

La plupart des pannes relatées ici sont liées à l'interface entre navigateur et webmail (ça ne concerne pas les courrielleur), typiquement on a de manière récurrente : la perte des cases à cocher, la perte d'accès aux pièces jointes, la perte de connexion au serveur IMAP, l'affichage de messages publicitaires intrusifs.

 

Les utilisateurs des courrielleur n'ont eu que ce problème d'utilisateur dont le contrôle a été modifié pendant 3 jours. Tous les autres problèmes ayant touché les courrielleur n'en étaient pas, il suffisait de ne toucher à rien et le courrier passait quand même.

 

Il y a ensuite les faux problèmes : tous des problèmes de configuration. Depuis plusieurs années ce site relaie l'utilisation de la configuration Kota (aussi appelée configuration universelle ou configuration Gecko), elle correspond à la prise en compte de la sécurité par les opérateurs et est maintenant appliquée de la même manière par tous les autres opérateurs.

Cette configuration est basée sur l'utilisation de SSL pour sécuriser la connexion au travers d'Internet et les ports correspondants des serveurs  SMTP, POP et IMAP

 

Un courrielleur protège les données des utilisateurs

Un courrielleur va bien plus loin, il protège des conséquences des pannes et surtout des conséquences de la piraterie.

 

Le courrielleur donne à l'utilisateur le controle de ses données.

Il ne peut pas lui en faire des sauvegardes, c'est vrai.

 

Mais un courrielleur n'a jamais de pannes d'ergonomie, il y a belle lurette que l'ergonomie des Outlook et autre Thunderbird est maitrisée par les éditeurs.

Les données sont dans la machine et leur accès est protégé.

 

Toute machine connectée à Internet par l'utilisation d'une "box" est protégée de tout accès externe. La box ne communique pas sur internet l'adresse des machines du réseau local ; c'est la première protection contre les accès externes.

 

 

Le webmail est l'ami des pirates

Il ne faut pas oublier que le webmail sans les contacts c'est un peu comme un réfrigérateur dont la porte ne serait pas montée sur charnière mais sur de crochets, c'est d'une utilisation très délicate.

Or la présence des contacts, sur un site web est la source d'une grande part des attaques subies par les internautes. Les pirates utilisent des ordinateurs zombis en réseau pour trouver les mots de passe (on parle de "botnet" - essaye ce mot clé sur google et tu verras) des comptes. Ensuite les comptes sont utilisés pour attaqués les contacts trouvés dans le compte.

 

Les attaques classiques sont

  • le spam (c'est pas trop grave, sauf que 90% de la messagerie mondiale est du spam)
  • le phishing, et là on tombe dans la criminalité organisée
  • les faux appels au secours

A chaque fois que tu remplis une fiche contact dans un webmail, tu dénonces un de tes amis à la cybercriminalité.

 

Le webmail surconsomme

 

Le webmail va lire les messages dans la boite mail de l'utilisateur et fabrique dynamiquement une page web.

La liste des messages, les messages , les fiches contacts, et tous les écrans de configurations, tous les mouvements de souris, ... tout est échangé "en ligne" et traverse la terre entière. Ce n'est pas un facteur d'efficacité.

Mais encore, toutes ces pages sont formattées dans des cadres, avec des colonnes , des logos, et tout un tas de fioritures et des bandeaux publicitaires... au bilan ce sont des données inutiles qui sont transmises.

 

Les pièces jointes doivent être transmises 2 fois :

En émission : il faut d'abord charger la pièce jointe dans le webmail avant que le webmail n'émette le message et sa pièce jointe sur le web.

En réception : il faut que le webmail télécharge le message de la boite mail. Ensuite que l'utilisateur regarde le message il ne voit pas la pièce jointe (elle n'est pas dans son ordi, elle est dans le serveur webmail) mais un lien et il devra attendre que son navigateur l'ait téléchargée avant de pouvoir y accéder.

 

Voilà pourquoi le webmail est à déconseiller dès que la ligne est lente.

 

 

 

On peut utiliser le webmail

 

Mais pour le faire, il faut prendre quelques précautions :

 

Utiliser un compte secondaire

Il faudrait ne l'utiliser que depuis un compte secondaire Orange et en même temps il faudrait que l'adresse mail du compte principal  n'ait strictement jamais été utilisée pour envoyer ou recevoir des mails. Cette précaution protège du vol de compte.

 

Ne pas inscrire de contacts

Evidemment ça ne permet plus que de lire son courrier et éventuellement d'y répondre.

Mais attention en cas de piratage, toutes les adresses contenues dans les messages seront exploitées par les pirates. Il importe donc de ne laisser que les XX derniers jours sur le serveur.

C'est souvent très suffisant pour un accès en consultation depuis un tel mobile.

 

Utiliser un courrielleur

Même si le courrielleur n'est pas l'accès principal il est nécessaire pour :

  • Contenir les contacts chez soi et pas sur le Net
  • Prélever les messages reçus (tout en laissant une copie temporaire sur le serveur) afin d'en conserver une trace pour "survivre" à une attaque des pirates.

Dans la vie de tous les jours

J'utilise la messagerie depuis les années 70 (bien avant l'arrivée du net) et je peux assurer que je n'ai subi que deux attaques, il y a fort longtemps et les deux sont passées par le webmail :

La première chez Centerpoints Hotmail  (bien avant que Microsoft ne les rachete) où j'avais un mot de passe trop faible

La seconde après que ma fille, de passage à la maison, eut accédé à sa boite mail en webmail, elle a infecté mon ordi avec bugbear qui était contenu dans une pièce jointe qu'elle a ouverte. Et ... ça provenait d'une de ses copines, .... qui s'était fait hacker  (pirater) son compte hotmail. 

 

Regardez autour de vous, quand on vous parle de mail piraté, la plupart du temps, il s'agit d'un compte utilisé en webmail.

 

Je n'ai encore jamais vu de gros titre à propos de problèmes de sécurité avec les courrielleurs sérieux.

Par contre les attaques sur g-mal, Yahouille et  fakebook (qui expose aussi des contacts en ligne) sont légions.

 

Sans le Webmail la messagerie serait incomparablement plus sure.

 

Contributeurs