Femme connectée à sa messagerie académique Webmail ac Rennes sur un ordinateur portable depuis un bureau à domicile
Sécurité

Webmail ac Rennes connexion sécurisée : protéger sa messagerie académique au quotidien

Le webmail ac Rennes repose depuis l’année scolaire 2023-2024 sur des connexions exclusivement chiffrées : les anciens ports IMAP 143, POP 110 et SMTP 25 ont été désactivés. Toute connexion à la messagerie académique passe désormais par IMAPS et SMTPS avec SSL/TLS obligatoire, y compris depuis un client lourd comme Outlook ou Thunderbird. Ce durcissement change la donne pour la configuration des postes personnels et la sécurité quotidienne des échanges.

Sommaire
Paramètres SSL/TLS du webmail ac Rennes : configurer un client mail sans erreurCertificat SSL et alertes du navigateurPolitique de mot de passe académique : exigences et rotationRéinitialisation et cas de verrouillageAuthentification à deux facteurs sur le portail académique de RennesApplication TOTP ou SMS : quel second facteur privilégierSécurité au quotidien : réflexes contre le hameçonnage ciblant la messagerie académiqueDéconnexion et sessions ouvertes

Paramètres SSL/TLS du webmail ac Rennes : configurer un client mail sans erreur

Nous observons régulièrement des échecs de synchronisation sur les postes personnels après la bascule vers le chiffrement obligatoire. Le problème vient presque toujours d’un port obsolète encore renseigné dans le client de messagerie.

A découvrir également : Messagerie académique à Nancy-Metz : adoptez des gestes simples pour la sécuriser

La configuration correcte impose d’utiliser le port 993 en IMAPS pour la réception et le port 465 ou 587 en SMTPS pour l’envoi, avec un type de chiffrement SSL/TLS (pas STARTTLS sur le port 143, qui n’existe plus). Sur Thunderbird, la détection automatique échoue parfois : il faut forcer manuellement le serveur entrant et le serveur sortant avec ces paramètres.

Sur un smartphone Android ou iOS, le piège classique consiste à sélectionner « Autre compte mail » puis à laisser l’assistant configurer les ports par défaut. Ces ports par défaut sont souvent non chiffrés. Nous recommandons de passer systématiquement en configuration manuelle et de vérifier que le champ « Sécurité » affiche bien SSL/TLS, pas « Aucune » ni « STARTTLS si disponible ».

A voir aussi : Protéger son iPhone grâce à la géolocalisation mobile

Certificat SSL et alertes du navigateur

Lors d’un accès au webmail via le navigateur, une alerte de certificat peut apparaître si le poste n’a pas les certificats racine à jour. Sous Windows, une mise à jour système résout le problème. Sous Linux, il faut parfois installer manuellement le paquet de certificats de l’autorité utilisée par le rectorat.

Enseignant accédant à sa messagerie sécurisée Webmail académique de Rennes depuis une salle des professeurs

Politique de mot de passe académique : exigences et rotation

La messagerie ac Rennes applique désormais une politique de mot de passe renforcée. Le seuil minimal est fixé à 12 caractères combinant majuscules, minuscules, chiffres et symboles. Un mot de passe de 8 caractères, même complexe, est refusé à la création ou au renouvellement.

La recommandation officielle préconise un changement tous les 3 à 6 mois. En pratique, nous recommandons d’utiliser une phrase de passe plutôt qu’un mot de passe classique. Une phrase comme « MonCahier!Rennes2024 » respecte les critères et se retient sans gestionnaire.

Réinitialisation et cas de verrouillage

Le portail Toutatice permet de réinitialiser un mot de passe oublié via une adresse mail de secours ou un numéro de téléphone enregistré au préalable. L’erreur fréquente est de ne jamais renseigner ces informations de récupération : en cas de perte, la seule issue devient un ticket auprès de la DSI académique, avec un délai de traitement variable.

  • Renseigner une adresse mail personnelle de récupération dès la première connexion, avant tout oubli
  • Enregistrer un numéro de téléphone portable pour recevoir un code de réinitialisation par SMS
  • Conserver le NUMEN dans un endroit sécurisé : il sert d’identifiant de secours auprès du support

Authentification à deux facteurs sur le portail académique de Rennes

L’authentification à deux facteurs (2FA) est désormais proposée en option pour les comptes de la messagerie académique. Elle ajoute une vérification supplémentaire après la saisie du mot de passe, généralement via un code temporaire envoyé par SMS ou généré par une application de type TOTP.

Activer cette option neutralise la majorité des attaques par hameçonnage. Même si un agent clique sur un lien frauduleux et saisit son mot de passe, l’attaquant ne dispose pas du second facteur. Nous recommandons l’activation systématique, en particulier pour les personnels de direction et les gestionnaires qui manipulent des données sensibles d’élèves.

Application TOTP ou SMS : quel second facteur privilégier

Le SMS reste vulnérable au SIM swapping (détournement de carte SIM). Une application TOTP comme FreeOTP ou Google Authenticator génère des codes localement, sans dépendre du réseau mobile. Pour un usage quotidien sur le webmail ac Rennes, l’application TOTP offre un meilleur niveau de sécurité que le SMS.

L’installation prend moins de deux minutes : scanner le QR code affiché lors de l’activation 2FA, puis saisir le code généré pour valider l’association. Penser à sauvegarder les codes de secours fournis lors de l’activation, car la perte du téléphone sans ces codes bloque l’accès au compte.

Étudiant utilisant la double authentification pour sécuriser l'accès au Webmail ac Rennes en bibliothèque universitaire

Sécurité au quotidien : réflexes contre le hameçonnage ciblant la messagerie académique

Les campagnes de phishing visant les adresses en @ac-rennes.fr se multiplient. Les messages imitent souvent une notification de Toutatice ou un courrier du rectorat demandant une « vérification urgente » du compte. Le lien pointe vers une copie du portail de connexion.

Trois vérifications permettent de repérer ces tentatives :

  • Contrôler l’URL dans la barre d’adresse avant toute saisie : le domaine légitime est webmail.ac-rennes.fr, pas une variante avec tirets ou sous-domaines inhabituels
  • Ne jamais saisir son identifiant académique sur une page atteinte via un lien dans un mail, même si l’expéditeur semble officiel. Ouvrir un nouvel onglet et taper l’adresse manuellement
  • Signaler immédiatement le message suspect via la fonction de transfert à l’adresse de signalement de la DSI, sans cliquer sur les pièces jointes

Sur un navigateur, l’utilisation d’un marque-page pour accéder au webmail ac Rennes supprime le risque de faute de frappe dans l’URL, une technique exploitée par le typosquattage.

Déconnexion et sessions ouvertes

Sur un poste partagé en salle des professeurs, fermer l’onglet ne ferme pas la session webmail. Il faut cliquer sur « Déconnexion » explicitement. Sans cela, la session reste active et accessible par le prochain utilisateur du poste. Configurer le navigateur pour qu’il supprime les cookies à la fermeture ajoute une couche de protection supplémentaire sur les postes mutualisés.

La combinaison du chiffrement SSL/TLS obligatoire, d’un mot de passe robuste à 12 caractères minimum et de l’authentification à deux facteurs couvre la grande majorité des vecteurs d’attaque sur la messagerie académique. Le maillon restant, c’est le comportement face à un mail frauduleux : un marque-page, une vérification d’URL et un signalement rapide suffisent à neutraliser le risque.

Choix de la rédaction

Recherche

Les immanquables