internet & fixe mon mail Orange

Voir tous les sujets internet & fixe

Pardon je suis navré de ne pas vous avoir tous salué alors je le fais officiellement: Bonjour à tous !

Pour répondre à ta question @papou22, voici un récapitulatif des tests effectués:

Que se passe-t-il sur le compte A, ou plutôt, que se passe-t-il sur le serveur où est hébergé le compte A ?

@KaLisBlack

Pour le compte A, assure toi que le nom d'utilisateur est bien l'adresse mail complète.

Mouais...

OK  Ok Ok Ok   :robotsurprised:

Dis moi lequel de ces sites est, d'après toi mal configuré :

Serveur :   livebox.home
Address:  192.168.1.1

Réponse ne faisant pas autorité :
Nom :    pop.orange.fr
Addresses:  80.12.24.13
          80.12.24.15
          80.12.24.16
          80.12.24.208
          80.12.24.209
          80.12.24.14
          80.12.24.205
          80.12.24.206
          80.12.24.207
          80.12.24.17

N'indique que le ou les sites dont tu es sur et certain qu'il est/sont avec un certificat inutilisable.

Merci d'avance

PhilDur

Refaites vos tests en utilisant non pas les noms de domaine (comme pop.orange.fr) mais leurs adresses IP !

Sachez que ces noms de domaine sont associés à des adresses IP différentes et que vous n'utilisez pas tous la même IP de serveur, donc pas les mêmes serveurs (cette attribution est aléatoire pour chaque utilisateur).

Deux des dix adresses IP de serveurs POP d'Orange sont actuellement en échec.

Pour pop.orange.fr (ou pop3.orange.fr, ou pop.wanadoo.fr, peu importe), les adresses IP sont:

   80.12.24.(13 à 17 ou 205 à 209)

Les serveurs aux adresses 17 et 209 sont défaillants (erreur SSL, leurs certificats sont faux, identité des serveurs Orange invérifiable, donc pas sécurisé du tout).

Bref réessayez avec 80.12.24.(13 à 16 ou 205 à 208) (à la place de pop.orange.fr) mais n'utilisez pas 80.12.24.17 ni 80.12.24.209.

Et vous verrez que ça règle le problème immédiatement.

Les deux serveur POP3 qui sont en échec posent un grace soucis de sécurité lors de la connexion (risque de vous faire voler vos identifiants même si la connexion échoue, parce qu'en plus de l'échec SSL, Orange ne ferme pas la session et votre client mail envoie alors le login et le mot de passe en clair, faute de sécurisation et d'algo de chiffrement activé!) mais malheureusement c'est encore ce qu'Orange indique toujours dans ses DNS (qui sont aussi corrompus et pas sécurisés).

J'ai eu le support Orange qui persiste à dire que "tout va bien" et veux nous persuader d'utiliser leur webmail uniquement  et refuse totalement toute assistance sur le service POP3/SMTP ("hors périmètre" du support selon eux, donc aucune remontée d'incident.

En insistant j'était tombé sur des personnes qui savait ce que veut dire "certificat" ou "PKI" mais bien qu'ils s'étaient engagés à me rappeler avec un retour d'incident, ils n'ont strictement rien enregistré sur mon compte client, donc rien fait remonter du tout.

Et les serveurs POP3 d'Orange ne sont pas les seuls serveurs avec ce defaut de configuration SSL. J'en ai donné une liste à CERT France (autorité du gouvernement) et à Bouygues et Free qui eux aussi constatent le même problème, mais n'avaient pas trouvé autant de serveurs (et routeurs) défaillants, ni autant d'enregistrements DNSSEC avec de faux certificats. Au moins au CERT, j'ai un numéro de ticket.

Mais il faut bien voir qu'aucun FAI en France ne veut communiquer sur le sujet, il y a visiblement des consignes de "blackout" total pour noyer le poisson et juste demander aux clients de patienter sans même les alerter des risques de sécurité sur les données stockées chez ou transitant via Orange (ça touche donc toute la France et pas que les abonnés d'Orange). L'anomalie a commencé au moins dès le 16 avril en commençant sur les routeurs internes d'Orange. Elle est devenue visible quand ça a touché les réseaux mobiles (la presse en a parlé) mais elle est toujours là et on le voit facilement sur les serveurs POP3.

Au delà d'une erreur humaine possible, cela n'a pas été isolé du tout et le fait que ça dure depuis plusieurs semaines est plutôt très inquiétant sur la façon dont Orange surveille la sécurité de ses réseaux.

Effectivement, on a bien ce que tu annonce si on utilise une adresse en dur :

J'ai essayé de forcer la résolution de nom par forçage dans le fichier hote.

Ca donne exactement le même résultat.

Ca fonctionne !!!

Autant pour moi.

Quand j'ai fait le test après avoir modifié le fichier hotes, j'ai juste oublié de remettre la configuration du serveur pop à son état d'origine à savoir  : pop.orange.fr.

Utiliser une adresse numérique qui n'est pas spécifiée dans le certificat est peut-être la cause ????

Le certificat ne spécifie que des noms.

@Modérateur et @Ancien Membre je ne suis pas convaincu, mais là il semble nécessaire de vérifier le certificat des différents serveurs de la messagerie.

Excusez le dérangement, je ne suis  toujours pas certain qu'il y ait un problème.

Actuellement l'adresse pop.orange.fr est résolue dans ma machine sur l'un des serveurs annoncés "en panne" [80.12.24.17] et tous mes comptes orange entrants qui sont configurés sur pop.orange.fr continuent de fonctionner.

J'ai fait un flushdns au niveau Windows.

J'ai arrêté et relancé TB

@verdy_pdésolé, j'ai l'impression qu'il pourrait y avoir un problème ....    .... chez toi, dans ta machine.

Je ne comprends toujours pas ce qui se passe.

Cordialement

PhilDur

---

En insistant j'était tombé sur des personnes qui savait ce que veut dire "certificat" ou "PKI" mais bien qu'ils s'étaient engagés à me rappeler avec un retour d'incident, ils n'ont strictement rien enregistré sur mon compte client, donc rien fait remonter du tout.

---

Figure toi que j'ai déjà installé la PKI d'une grande banque.

Je n'ai pas la connaissance de tout ce qu'il y a dedans, mais ça me suffit pour savoir de quoi je parle.

Je viens de refaire le test sur une seconde machine.

Modification du fichier hote, le nom pop.orange.fr est bridé dans cette machine et il vaut toujours 80.12.24.17

J'ai ainsi neutralisé le round robin du DNS.

Je n'ai pas touché à la configuration de TB

J'ai lancé TB et tout fonctionne.

Je t'assure que je ne comprends pas du tout ce que tu cherches.

L'abscence de réponse n'est pas la preuve de conspiration.

L'insistance dans le dénigrement sans preuves est un début de conspiration.

PhilDur

Pour qu'il y ait "conspiration" il faudrait que tu m'accuse de connivence ou d'un quelconque intérêt.

Pourtant le CERT France m'a bien confirmé le problème. Que le support technique d'Orange France (celui qu'il veut bien mettre à notre disposition) et des autres opérateurs (qui refuse toute communication même à la presse qui s'interroge) est plutpot le signe d'une volonté de dissimuler ce qui se passe pour ne fait prendre conscience aux utilsiateur des risques qu'il prennent et éteindre à l'avance toiute action ou commencement d'action (d'où leur insistance à nous demander de "patienter" ou "faire appel à un professionel" (à nos frais) et surtout toujours affirmer que tout va bien sur leur réseau et ne jamais enregistrer la moindre remontée d'incident.

Plusieurs semaines que ça dure et toujours aucune communication. La chappe de plomb est bien là et ne peut s'expliquer que par la volonté de se couvrir pour dissimuler ou faire disparaitre des faits. Rien n'est fait pour faciliter les diagnostics.

Le CERT France en revanche m'a pris au sérieux, je n'aurai certainement pas connaissance des actions qu'il vont mener chez Orange, mais si cela coute cher à Orange qui devra indemniser déjà les autres opérateurs, peut-être qu'il se décidera à mettrre en place une réelle veille de sécurité de ses réseaux (et aussi les autres opérateurs) et qu'on en bénéficiera tous.

Vu le nombre croissant de pannes sérieuses et la portée croissante des attaques sur les réseaux dans le monde et maintenant les chiffres alarmants avec des centaines millions de comptes personnels détournés dans le monde (le record mondial étant encore chez Yahoo avec 3 milliards de comptes, suivi d'une seconde attaque encore cherz Yahoo, suivi de Sony) et ceci de pluis en plus fréquemment, la sécurité n'est plus un luxe et ces attaques ont un cout qui ne peut plsu être négligé et qui forcément s'impacte sur les couts de nos services ou sur les retards de déploiement ou la réduction des services et contenus réellement proposés, mais aussi sur le financement de toutes les filières de production de contenus.

Un réseau comme celui d'Orange est une resource critique pour tout le pays (et même au delà) et négliger sa sécurité devrait être condamnable (et avec le GDPR européen, cela va même être de plus en plus lourdement sanctionné? Hors il semble bien qu'on voit bien plus de services américains se préoccuper et se préparer au GDPR européen que les services européens eux-mêmes pour s'y conformer, et en Europe les britanniques semblent encore mieux préparés que les français malgré le brexit qui ne les obligera plus à s'y conformer pour tous leurs clients. Même Facebook qui en sont temps luttait véhément contre le GDPR maintenant a changé totalement d'avis, s'y rallie et même le défend fermement (et il commence à le démontrer avec des chiffres de résultats extraordinaires qu'on aurait jamsi cru possible chez lui ni même chez aucun réseau européen, même pourtant défenseur de longue date du GDPR). Il ne suffit pas d'afficher une volonté, il faut aussi s'en donner les moyens et afficher les résulats, et Orange est très loin de tout ça, comme bon nombre d'opérateurs français qui font surtout de la communication et la politique de sécurité par l'obscurité).

On peut critiquer Facebook, Google, Microsoft ou Apple mais ils ont agit en fonction du droit qui est le leur, et ils sont à l'écoute des droits des autres pays parce qu'ils y trouvent un réel intérêt à le faire et s'en donnent les moyens, leur communication c'est pas seulement une volonté affichée, c'est aussi des actes visibles et une meillure écoute de leurs clients et des marchés, à commencer par les groupes autonomes de défenseurs des droits individuels qui ont uyn vrai poids et sont entendus et savent aussi militer pour aller chercher le meilleur de ce qui se fait ailleurs et établir des comparaisons. Si seulement cette transparence et ces moyens pour des aspects techniques ou les libertés publiques étaient aussi mis en oeuvre en matière de transparence financière (mais là on n'a pas encore d'acteurs indépendants de la société civile, car dans cette matière la lutte est inégale car c'est une question de moyens et de pouvoir financiers, ce qu'aucune asso n'a face aux intérêts économiques)!

Espérons que le GDPR sera vraiment appliqué en Europe (mais c'est déjà en France qu'il commence à craquer avant même d'être établi par la loi, avec des parlementaires qui voudraient déjà en restreindre les effets et donc laisser les distortions de concurrence au profit des plus grandes sociétés; ils veulent en particulier désaissir la CNIL de certaines missions mais alors le GDPR ne serait plus contrôlé en France que par des robots, même pas administratifs, aux mains de grands groupes devenant juges et parties et législateurs et capables de réécrire des lois et règles choisies et appliquées à postériori).

On l'a déja vu dans l'instauration des droits dérivés et dans la réappropriation a posteriori du domaine publique mondial pour transformer des actes déjà commis et alors parfaitement légaux en actes soumis à une régulation et des revendications de propriétés, on l'a vu aussi dans le détournement du droit des brevets).  Maintenant on le voit dans le domaine de la sécurité où des groupes peuvent décider de ne pas respecter les règles communes qu'ils prétendaient défendre et protéger, y compris contre l'intérêt public des pays qui leur ont donné le droit d'exister et prospérer en leur accordant une personnalité juridique comme si c'était des "personnes" autonomes, détâchées et independantes de quelques individus qui pourtant décident pour elles.

Thunderbird (et Firefox aussi, ainsi que le navigateur web Tor qui justement utilise cette fonctionnalité pour s'affranchir de l'OS) dispose de son propre client DNS et de son propre cache DNS, si tu ne le sais pas. Modifier un fichier hosts local sir l'OS n'a pas l'effet que tu crois si TB est toujours configuré avec "pop.orange.fr" il peut continuer à utiliser une autre adresse que celle de ton fichiers hosts (qui n'est utilisé qu'en second niveau si le cache local du client DNS Mozilla ne trouve pas de réponse à une recherche DNS).

Refais le test dans Thunderbird en indiquant l'adresse IP et non le nom de domaine (résolu par le cache DNS local Mozilla) tu verras une différence.

Thunderbird et Firefox disposent aussi de fonctions avancées dans leurs paramètres pour vider ce cache local ou pour désactiver ce client DNS local et utiliser le client DNS de l'OS de la même façon que l'OS dispose aussi d'une fonction de vidage de cache et de modification des priorités entre résolveurs DNS internes et externes).

La fonction équivalente dans IE, Edge, Chrome, Safari ou Android est celle de la configuration de connexion Itnernet par proxy (qui peut être un proxy local, mis en oeuvre par exemple un plugin du navigateur et c'est utilisé par exemple dans les logiciels antimalwares... mais aussi par des composants malveillants). Le détournement au niveau de l'OS lui passe par les fameux "rootkits" qui détournent les APIs d'intégration des pilotes de périphériques matériels ou logiciels de l'OS, par le même moyen que les outils de développement et de débogage pour les applications, services ou pilotes.