Yahoo! part à la chasse aux identifiants abandonnés depuis plus d’un an

Yahoo! a décidé de partir en guerre contre les comptes abandonnés. La firme propose depuis longtemps des services et aimerait désormais récupérer les identifiants qui ont été laissés en chemin. Plusieurs solutions ont été trouvées dont certaines vont demander une participation active de nombreux acteurs.

Faire du neuf avec du vieux 

Yahoo! propose de nombreux services depuis bien longtemps, à commencer par son webmail. Ce dernier a toujours été populaire, notamment aux États-Unis, entrainant la création de millions de comptes. Mais comme ce peut être le cas pour Microsoft ou Google, une partie des utilisateurs finit par ne plus les utiliser, notamment en cas de « passage à l’ennemi ». Yahoo! cherchait donc des moyens de faire un peu le ménage, pour remettre les identifiants abandonnés dans la réserve de ceux disponibles.

L’éditeur réfléchissait depuis un moment à des solutions pour que cette opération ne fasse pas de victimes. Quand il a abordé le sujet le mois dernier, de nombreuses inquiétudes se sont fait jour, notamment autour de la sécurité et de la vie privée. L’une des interrogations majeures était liée à la récupération d’autres comptes : que faire par exemple si un utilisateur de Gmail se servait de son adresse Yahoo!! comme solution de secours pour récupérer son mot de passe ? Mais pour Yahoo!!, le jeu en valait la chandelle car il s’agissait de remettre en piste des adresses du type [email protected] pour permettre à un nouvel arrivant de ne pas se retrouver avec [email protected].

Un système d'en-têtes

Dans un nouveau communiqué, la firme annonce qu’elle lance donc sa grande opération. Mais Yahoo! se tourne d’abord vers ses utilisateurs actuels, qui vont pouvoir se rendre sur une page dédiée pour établir une liste de cinq identifiants souhaités. Par exemple, « albert93099 » peut vérifier la disponibilité de « albert ». Yahoo!! procèdera alors comme dans n’importe quelle liste de souhaits : si le premier n’est pas disponible, le service passera au deuxième, et ainsi de suite.

Mais comment la firme compte-t-elle répondre aux problématiques de sécurité ? Elle va principalement mettre en place un système d’en-tête à destination des autres fournisseurs de webmails. Ces derniers, avant de lancer des réinitialisations de mots de passe, pourront via une requête interroger l’âge du compte. Yahoo! pourra alors répondre par une indication du type « Inactif depuis 14 mois ». Si la durée dépasse 12 mois, Yahoo! considèrera le compte comme non utilisé et signalera dans la foulée qu’il ne faut pas envoyer la réinitialisation du mot de passe. Globalement, l’âge du compte Yahoo! sera déterminant, y compris pour les sites de commerce en ligne.

Le problème pour Yahoo! est que ce système, même s’il semble efficace, ne dépend pas que de l’éditeur. Le principe de base fonctionne comme le signe Do Not Track émis par les navigateurs : il faut que l’autre site reconnaisse l’en-tête et agisse en conséquence. Yahoo! explique donc que le prochain mois sera consacré à des pourparlers avec de nombreux acteurs pour que ces en-têtes soient prise en compte.

Le risque zéro n'existe pas 

Pour s’assurer que le système sera précis, Yahoo! a bénéficié de l’aide de Facebook. Après avoir annoncé son intention de faire le ménage, Facebook s’est en effet manifesté pour offrir la solution des en-têtes. En outre, Yahoo! a présenté son idée à l’IETF (Internet Engineer Task Force) pour lui apporter plus de crédibilité. Un certain nombre de facteurs sont également à prendre en compte. Par exemple, moins de 7 % des comptes abandonnés disposent réellement d’une boîte email selon Yahoo!. Lors de la désactivation d’un compte, une période de 30 jours permettra à l’éditeur de désinscrire automatiquement tous les courriers reçus depuis des mailing lists.

Seulement voilà : malgré les protections mises en place par Yahoo! pour éviter les difficultés, il sera difficile d’empêcher certains drames. D’abord parce les utilisateurs ne seront pas tous mis au courant et qu’ils risquent donc d’avoir de désagréables surprises. Ensuite parce que le délai de 12 mois peut être jugé un peu court. Si le compte Yahoo! est en effet utilisé comme solution de « backup » en cas de réinitialisation d’un mot de passe, il n’est pas certain que l’utilisateur ait besoin de se connecter au moins une fois par an.

Notez cependant que Yahoo! ne mènera pas une chasse proactive aux comptes abandonnés. Ces derniers ne seront réclamés que dans le cas où ils sont demandés par d’autres utilisateurs. Autrement dit, si votre identifiant est « H4ck3r_RoXx0r725 », vous n’avez guère d’inquiétude à vous faire.