Laposte.net : le calendrier de réouverture d’IMAP et POP est connu

[Mise à jour le 5 mai 2022 @ 19h15] La direction de la communication de La Poste nous a adressé un calendrier prévisionnel pour la réouverture des accès IMAP et POP à la messagerie laposte.net. Celui-ci donne la priorité aux professionnels de santé. Toutes nos informations après le clic.

[Mise à jour le 4 mai 2022 @ 16h30] Répondant à une sollicitation supplémentaire de la rédaction, la direction de la communication de La Poste dit comprendre que l’absence de calendrier précis de réouverture des services IMAP et POP puisse ne pas satisfaire les utilisateurs de laposte.net. Et d’ajouter que ses équipes étudient « les différentes possibilités nous permettant le rétablissement du service pour tout ou partie des utilisateurs dans les meilleurs délais ».

[Mise à jour le 4 mai 2022 @ 14h55] Des utilisateurs de Laposte.net indiquent être invités à modifier le mot de passe de leur compte lors de la connexion à l’interface Web. Mais cela fait, ils ne semblent toujours pas pouvoir accéder aux services IMAP et POP.

Sollicitée par la rédaction, la direction de la communication du groupe La Poste n’a pas fourni de réponse précise à nos questions sur une éventuelle campagne de changement de mots de passe en masse et sur le calendrier envisagé pour la rouvrir les services IMAP et POP : « les équipes de laposte.net sont mobilisées pour rétablir le bon fonctionnement du service le plus rapidement possible. Néanmoins, cette mesure préventive [le blocage de l’accès à la plateforme laposte.net par ailleurs que son interface Web ou son application mobile, N.D.L.R.] restera en place jusqu’au rétablissement d’un accès via le protocole POP/IMAP sécurisé pour les utilisateurs ».

[Article original] Mi-avril, surprise pour certains utilisateurs des services de laposte.net : l’accès POP et IMAP à la messagerie est coupé aux adresses IP hors France métropolitaine. Une mesure de sécurité, s’évertuent à répéter les community managers de La Poste, sur les réseaux sociaux. En privé, des « attaques graves sur nos services » sont évoquées pour justifier une fermeture « pour une durée indéterminée ». Quant aux utilisateurs concernés, deux options : l’interface Web de laposte.net et l’application mobile. Les demandes d’explications de la part d’internautes se multiplient sans surprise, mais aussi sans succès.

Temporairement, le 26 avril, l’accès aux services IMAP/POP semble temporairement rétabli, au moins pour Google. Certains utilisateurs en profitent pour transférer leur historique de messages. De quoi migrer vers des offres concurrentes. Mais il fallait faire vite, car le répit n’aura été que de courte durée.

Le lendemain, dans l’après-midi, l’accès aux services IMAP et POP de laposte.net apparaît totalement fermé, sans distinction géographique. Les messages exprimant frustration et mécontentement se multiplient rapidement à partir de ce lundi 2 mai. Ils émanent notamment de professionnels de santé utilisant leur adresse de messagerie laposte.net pour des télétransmissions, qui s’inquiètent sur certains forums dédiés : « combien de temps peut-on conserver les feuilles en attente de télétransmission ainsi ? »

Les community managers de La Poste continuent d’essuyer les réclamations, sans jamais fournir publiquement d’explications sur la situation. Une opacité qui ajoute à l’absence de perspective pour les utilisateurs concernés et n’aide guère à les apaiser. Accessoirement, l’interface Web semble loin de faire l’unanimité.

Car la nature de l’incident ayant motivé les mesures prises pour sécuriser laposte.net et les données de ses utilisateurs n’est toujours pas précisée. Il peut s’agir d’attaques en déni de service distribué (DDoS) ou de tentatives de compromission de comptes à plus ou moins grande échelle. Cette seconde option apparaît plus probable : selon les Echos du Net, « le service de courriel a constaté des comportements anormaux dans les accès POP et IMAP, alertant les équipes de surveillance des serveurs ».

Le 9 avril, Intelx a archivé les fichiers d’une fuite de données semblant porter sur plus de dix millions de Français. Sans surprise, ceux-ci contiennent des adresses e-mail laposte.net. Selon nos sources, et toujours sans trop de surprise, de telles adresses sont également collectées, assorties d’un mot de passe, par des maliciels spécialisés dans le vol de données d’authentification, notamment, des stealers.

Enfin, courant mars, quelqu’un a affirmé proposer une base de données liée au domaine laposte.fr, dans le canal Telegram du groupe Lapsus$. Le compte correspondant a été supprimé et il n’a pas été possible d’évaluer le sérieux de l’allégation.

Dans un courriel adressé à la rédaction, le responsable relations médias de la direction de la communication du groupe La Poste explique que les « comportements anormaux » évoqués renvoient en fait à des « tentatives d’accès [qui] utilisent une liste de mots de passe et de mails associés via un jeu de données trouvé sur internet ». Dès lors, « afin de bloquer ces tentatives, la consultation des comptes de messagerie Laposte.net, par le biais de toute autre plateforme [que le site Web ou l’application mobile, N.D.L.R.], a été temporairement désactivée auprès de plus d’un million d’utilisateurs ». 

Plus loin, le groupe « recommande à ses utilisateurs de disposer d’un mot de passe spécifique à chaque service, robuste et modifié régulièrement et de se doter d’un antivirus à jour sur chacun de leurs équipements ». Et de travailler parallèlement « à l’ajout de mesures supplémentaires, telles que la double authentification, pour renforcer davantage la sécurité des connexions à la messagerie laposte.net ».

Aucune date n’est avancée pour le rétablissement plein et entier des services de laposte.net, mais le groupe assure que ses équipes « mettent tout en œuvre pour rétablir le bon fonctionnement du service le plus rapidement possible et tiennent à présenter toutes leurs excuses pour la gêne occasionnée ».