Recyclage des adresses email et sécurité : Facebook et Yahoo trouvent une solution

Recyclage des adresses email et sécurité : Facebook et Yahoo trouvent une solution

Communiquer, c'est sécuriser

Avatar de l'auteur
David Legrand

Publié dans

Internet

24/10/2014 2 minutes
42

Recyclage des adresses email et sécurité : Facebook et Yahoo trouvent une solution

L'année dernière, Yahoo annonçait qu'il serait possible de recycler des adresses email qui n'avaient pas été utilisées depuis plus de 12 mois, afin de créer un nouveau compte. Facebook indique aujourd'hui s'être rapproché de la société afin de s'assurer que cela ne pourrait pas poser de problème de sécurité à ses utilisateurs.

Le plus souvent, un compte en ligne est rattaché à une adresse email. Celle-ci est par exemple utilisée pour vous informer d'une nouveauté, vous faire part d'une notification, mais aussi pour des procédures de sécurité. Ainsi, il est souvent possible de réinitialiser un mot de passe via un lien envoyé de la sorte par exemple. Problème, quand un service comme Yahoo annonce que des adresses emails inutilisées depuis un an pourront être recyclées pour créer un nouveau compte, cela peut poser souci.

 

Imaginez en effet que vous associez votre compte Facebook à une telle adresse. Après quelques années sans activité, celle-ci est réutilisée par un tiers qui peut donc recevoir et envoyer des emails avec votre ancienne adresse. Il suffit qu'il lance une procédure auprès de Facebook pour réinitialiser le mot de passe afin de pouvoir avoir accès à votre compte. 

 

Bien qu'un tel cas soit tout de même assez peu probable, Facebook a décidé d'agir et de se rapprocher de Yahoo afin de s'assurer d'avoir une solution. Celle-ci prend la forme d'un indicateur temporel placé dans les emails envoyés par Facebook, qui correspond à la dernière fois que la propriété du compte a été vérifiée. Si le compte Yahoo a changé de propriétaire depuis, le message ne sera pas transmis.

 

Afin de permettre à d'autres de profiter de cette solution, nommée Require-Recipient-Valid-Since (RRVS), et sans doute aussi afin de l'améliorer et d'en faire un standard, Facebook et Yahoo l'ont documenté au sein de la RFC 7293 (Request for Comments) proposée à l'IETF. Reste maintenant à voir ce qu'il en adviendra et si une telle procédure se répand dans d'autres services.

42

Écrit par David Legrand

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Commentaires (42)


C’est pas mal, mais cela toucherait également les utilisateurs voulant reprendre une ancienne adresse mail, qui du coup perdraient leur compte. (j’en parle par expérience, j’ai récemment racheté un domaine pour recréer une @ afin de reprendre un compte…)



Pour ne pas appliquer ce contrôle quand on a la main (or mutualisés en général) suffirait d’activer ou non le RRVS (faut lire la RFC dans l’article).



L’idée est bonne, mais la mise en pratique posera de nombreux problèmes.


Si je recupere mon compte yahoo inutilisé depuis plus d’1 an pour mon compte facebook duquel je dois reinit le mdp ?



Ben, je suis comme un con <img data-src=" />


Je trouve l’idée mauvaise. La récupération des informations de connexion au compte, ou la réinitialisation du mot de passe via e-mail est une possibilité assez répandue sur les sites communautaires et même des sites commerciaux. Là ils sont donc en train d’imposer implicitement leur solution à tout site de ce genre.



Leynas.








Leynas a écrit :



Je trouve l’idée mauvaise. La récupération des informations de connexion au compte, ou la réinitialisation du mot de passe via e-mail est une possibilité assez répandue sur les sites communautaires et même des sites commerciaux. Là ils sont donc en train d’imposer implicitement leur solution à tout site de ce genre.





Des adresses mails inutilisées, il doit y en avoir des milliards depuis la création d’internet. Il faudra forcément un jour ou l’autre s’attaquer à ce problème, sinon il ne restera en 2100 pour nos arrières-petits enfants que des adresses mails du genre [email protected]

&nbsp;

Le recyclage en informatique cause toujours des problèmes. Cette solution est sans doute la plus clean qui puisse exister.



En 2100 chaque humain sera “pucé” avec un ID fourni par le gouvernement mondial, pas de souci à se faire


Tout à fait. <img data-src=" /> Ça semble plutôt destiné à des services mail grand public (GMail, Outlook.com, Yahoo!). Sans connexion en x mois, ces services ont pour coutume de suspendre définitivement et automatiquement les comptes, donc recycler ces adresses au bout de quelques années ne semble pas illogique. Ceux qui souhaitent garder une adresse mail sans l’utiliser peuvent : payer le service, louer un nom de domaine ou encore se connecter fréquemment malgré tout. <img data-src=" />


je trouve le délai de 12 mois très faible!

autant reset les emails non utilisées depuis 3 et + ok.








Faith a écrit :



Des adresses mails inutilisées, il doit y en avoir des milliards depuis la création d’internet. Il faudra forcément un jour ou l’autre s’attaquer à ce problème, sinon il ne restera en 2100 pour nos arrières-petits enfants que des adresses mails du genre [email protected]

 

Le recyclage en informatique cause toujours des problèmes. Cette solution est sans doute la plus clean qui puisse exister.









  1. Il n’y a pas que la partie qui précède le @ qui peut changer ;



  2. Ce n’est pas à Yahoo, ni à Facebook de venir me forcer la main. Yahoo propose de recycler les adresses de plus d’un an (c’est quand même assez court), tous les sites qui pratiquent la récupération/réinitialisation du mot de passe par e-mail doivent se mettre à jour via leur solution ou bloquer la récupération/réinitialisation des adresses @yahoo.*, en tout cas s’ils ne veulent pas avoir ce problème de sécurité ;



  3. Que l’on propose une évolution de SMTP c’est bien, mais dans ce cas si on est raisonnable on attend que ce doit devenu standard avant de proposer un recyclage au lieu d’imposer à tout le monde de se mettre rapidement à jour ;



  4. Il n’y a pas de solution “clean” au problème des adresses abandonnées ;



    Leynas.



En espérant qu’une adresse e-mail redirigée n’est pas considérée comme inutilisée…


Il me semble que c’est la connexion à un compte mail qui fait foi. Donc une adresse mail @yahoo.com que tu rediriges vers une @gmail.com est inutilisée, à moins de te connecter sur Yahoo.com de temps à autre.








Faith a écrit :



Des adresses mails inutilisées, il doit y en avoir des milliards depuis la création d’internet. Il faudra forcément un jour ou l’autre s’attaquer à ce problème, sinon il ne restera en 2100 pour nos arrières-petits enfants que des adresses mails du genre [email protected]

&nbsp;

Le recyclage en informatique cause toujours des problèmes. Cette solution est sans doute la plus clean qui puisse exister.





D’autant que le probléme va s’accelerer fortement d’ici quelques années, pas besoin d’attendre 2100. Actuellement la majorité des utilisateurs d’internet est dans la force de l’age, mais lorsque cette meme population se retrouvera en fin de vie ou trop âgée pour utiliser un ordinateur, le nombre de compte inutilisé va exploser.



Le souci etant qu’actuellement, il n’existe pas beaucoup de moyens d’identifier avec certitude une personne&nbsp; sur le trés long terme. Dans la vraie vie, il y a les papiers d’identité ou le n° de sécurité sociale, mais tout ces moyens demandent un controle “humain” impossible à transposer en ligne



De plus, combien d’internautes sont disposés à donner une info permettant de les identifier (genre N° de passeport ou de CI) à leur fournisseur de mail?

&nbsp;









Leynas a écrit :





  1. Ce n’est pas à Yahoo, ni à Facebook de venir me forcer la main.



    &nbsp;

    Yahoo et Facebook proposent un service gratuit et optionnel dont ils sont seuls en droit de choisir le fonctionnement. &nbsp;En l’occurrence, Yahoo perd de l’argent avec les adresses mail inutilisées, il est normal qu’ils cherchent à s’en débarrasser. &nbsp;



    Si tu n’es pas satisfait de leurs choix, il y a d’autres solutions, notamment celle de te payer un domaine perso. Et si tu es un site web, de gérer autrement la récupération de mot de passe. L’identification par email a toujours été un pis aller, qui commence à montrer sa faillibilité.









lionnel a écrit :



Dans la vraie vie, il y a les papiers d’identité ou le n° de sécurité sociale, mais tout ces moyens demandent un controle “humain” impossible à transposer en ligne &nbsp;&nbsp;





Il y a des sociétés spécialisées dans la vérification de validité/cohérence des documents de ce genre.&nbsp;

On y viendra bientôt: c’est un des rares moyens stables au travers du temps.









Faith a écrit :



Yahoo et Facebook proposent un service gratuit et optionnel dont ils sont seuls en droit de choisir le fonctionnement.  En l’occurrence, Yahoo perd de l’argent avec les adresses mail inutilisées, il est normal qu’ils cherchent à s’en débarrasser.



Si tu n’es pas satisfait de leurs choix, il y a d’autres solutions, notamment celle de te payer un domaine perso. Et si tu es un site web, de gérer autrement la récupération de mot de passe. L’identification par email a toujours été un pis aller, qui commence à montrer sa faillibilité.







On s’en fout. Peu importe que tu aies le droit de faire quelque chose ou pas, à partir du moment où tes choix ont des conséquences sur le monde extérieur, tu as une certaine responsabilité.

Là, ça pose des problèmes pour d’autres sites, et potentiellement pour des utilisateurs. Et on peut difficilement croire qu’ils ne sont pas au courant donc ils créent des problèmes sciemment même si leur intention initiale semble celle de régler un problème existant.



Quant à leur perte d’argent sur les comptes inutilisés, j’ai hâte d’avoir un calcul.



Leynas.









Leynas a écrit :



On s’en fout.



&nbsp;

Et eux s’en foutent de tes petits problèmes.

Marre des gens qui codent des trucs pourris et exigent ensuite que ce soient les autres qui s’adaptent à leurs erreurs.&nbsp;

&nbsp;

L’adresse mail n’a jamais été un système fiable pour identifier une personne. Ca a toujours été connu, et ignoré, par les développeurs. Un peu comme les années sur 2 chiffres… et un jour l’année 2000 finit par arriver =&gt; ceux qui ont codé comme des porcs corrigent, point.&nbsp;



Qui croit encore à ces espions de l’internet collaborant sans se cacher avec des dangereuses mafias du genre FBI, NSA etc … faisant croire qu’ils œuvrent pour notre propre sécurité ?








Faith a écrit :



Et eux s’en foutent de tes petits problèmes.

Marre des gens qui codent des trucs pourris et exigent ensuite que ce soient les autres qui s’adaptent à leurs erreurs. 

 

L’adresse mail n’a jamais été un système fiable pour identifier une personne. Ca a toujours été connu, et ignoré, par les développeurs. Un peu comme les années sur 2 chiffres… et un jour l’année 2000 finit par arriver =&gt; ceux qui ont codé comme des porcs corrigent, point.









  1. Ce ne sont pas mes petits problèmes, mais des problèmes pour des entreprises, des gestionnaires de sites, et surtout des problèmes potentiels pour des utilisateurs de Yahoo ;

  2. Ce ne sont pas des “trucs pourris”, c’est une pratique courante depuis plusieurs années et même parfois requises par des clients. Ta tentative de retourner la responsabilité d’adaptation est tellement grotesque que tu ne sembles même pas te rendre compte que ce sont les développeurs qui se sont adaptés aux protocoles, aux technologies et aux usages dès le départ ;

  3. C’est vrai que pour proposer aux utilisateurs de récupérer leur mot de passe ou de le réinitialiser, il y a beaucoup d’autres moyens très simples et plus fiables (genre il y a la question perso mais on s’est vite rendu compte que c’était en réalité encore plus ridicule) que tout le monde peut se permettre ;

  4. Tu sauras qu’en matière de date, ce n’est pas l’an 2000 qui a posé le plus de problèmes, mais les années antérieures à 1970 (mais bon ça c’est autre chose) ;



    Leynas.









Leynas a écrit :





  1. Ce ne sont pas des “trucs pourris”, c’est une pratique courante depuis plusieurs années et même parfois requises par des clients.



    &nbsp;

    Peu importe, ça fait des années que ce problème est connu.&nbsp;

    Il est classique que les clients demandent des choses absurdes, c’est aux informaticiens de les empêcher de faire des âneries.&nbsp;

    &nbsp;



    C’est vrai que pour proposer aux utilisateurs de récupérer leur mot de

    passe ou de le réinitialiser, il y a beaucoup d’autres moyens très

    simples et plus fiables (genre il y a la question perso mais on s’est

    vite rendu compte que c’était en réalité encore plus ridicule) que tout

    le monde peut se permettre ;

    &nbsp;

    Ca fait des années qu’un système centralisé (optionnel) d’identification des individus, et permettant l’anonymat vis à vis des sites, aurait dû être mis en place.

    N’importe quel informaticien à peu près raisonnable l’a toujours su.









Faith a écrit :



Peu importe, ça fait des années que ce problème est connu. 

Il est classique que les clients demandent des choses absurdes, c’est aux informaticiens de les empêcher de faire des âneries.







Oui et non concernant la connaissance du problème. Il y a des défenseurs du fait de ne pas recycler les adresses e-mail, et pas seulement à cause de la récupération/réinitialisation des mots de passe.

Ensuite, ton “c’est aux développeurs” d’empêcher les clients de faire des âneries, c’est du grand n’importe quoi.

  



Ca fait des années qu’un système centralisé (optionnel) d’identification des individus, et permettant l’anonymat vis à vis des sites, aurait dû être mis en place.

N’importe quel informaticien à peu près raisonnable l’a toujours su.





J’en déduis que les informaticiens qui sont contre les systèmes centralisés ne sont pas raisonnables ?



Leynas.



EDIT : Et sinon concernant la connaissance du problème. Celui-ci était latent, tu sais qu’il faudra une solution mais elle n’est pas encore là d’autant plus que le problème ne se pose pas encore clairement. Si tu imaginais ça comme une bombe à retardement, je ne vois pas comment on peut ne pas reprocher à Yahoo d’accélérer largement le compte à rebours.









Leynas a écrit :



Oui et non concernant la connaissance du problème. Il y a des défenseurs du fait de ne pas recycler les adresses e-mail, et pas seulement à cause de la récupération/réinitialisation des mots de passe.



&nbsp;

C’est pas une question de recyclage, c’est bien plus large !&nbsp;

Le problème des adresses mail, c’est la pérennité de ces adresses:




  • mot de passe perdu =&gt; fini&nbsp;

  • boite recyclée =&gt; fini&nbsp;

  • faillite du fournisseur de mail =&gt; fini&nbsp;

    &nbsp; &nbsp;

    Le centre de toute identification sur internet ne peut pas être aussi fragile qu’une adresse mail. &nbsp;

    C’est un non-sens absolu.&nbsp;

    &nbsp;



    J’en déduis que les informaticiens qui sont contre les systèmes centralisés ne sont pas raisonnables ?

    &nbsp;&nbsp;

    Une personne raisonnable ne s’oppose pas sur le principe, elle réfléchit à ce qui est faisable et accepte des entorses occasionnelles à ses principes initiaux quand il n’existe pas de meilleure solution.&nbsp;

    &nbsp;

    A noter que cette solution centralisée pourrait néanmoins être décentralisée grâce à des protocoles genre BitCoin.&nbsp;









Leynas a écrit :



EDIT : Et sinon concernant la connaissance du problème. Celui-ci était latent, tu sais qu’il faudra une solution mais elle n’est pas encore là d’autant plus que le problème ne se pose pas encore clairement. Si tu imaginais ça comme une bombe à retardement, je ne vois pas comment on peut ne pas reprocher à Yahoo d’accélérer largement le compte à rebours.





Il y a déjà des solutions qui existent, ça fait des années qu’elles se trainent sans avoir d’audience.&nbsp;

Traiter ça comme une bombe est une erreur: il ne s’agit pas d’une bombe mais d’une évolution majeure. Ralentir les évolutions, c’est le meilleur moyen de ne jamais les voir arriver.&nbsp;

Un jour il faut donner un coup de pied dans la fourmillière pour que les innovations intéressantes arrivent à s’installer, plutôt que de laisser la situation se gangréner toujours plus.&nbsp;



&nbsp; Et c’est quoi qu’ils entendent par inactivité ? 0 login depuis X temps ? 0 mail reçu depuis X temps ? Des précisions ? J’ai lu l’autre news mais pas de détail dessus


Pour Yahoo! :



Supprimé en raison de l’inactivité

Si vous n’utilisez pas souvent votre compte, il devient inactif et est ensuite supprimé. Connectez-vous à votre compte au moins une fois par an pour éviter cela.








Faith a écrit :



C’est pas une question de recyclage, c’est bien plus large ! 

Le problème des adresses mail, c’est la pérennité de ces adresses:




  • mot de passe perdu =&gt; fini 

  • boite recyclée =&gt; fini 

  • faillite du fournisseur de mail =&gt; fini 

       

    Le centre de toute identification sur internet ne peut pas être aussi fragile qu’une adresse mail.  

    C’est un non-sens absolu.







    Ça tombe bien, ça ne l’est pas et ça ne l’a jamais été. En fait le problème c’est qu’en plus de dire n’importe quoi tu grandis l’importance donnée à l’adresse e-mail pour te donner raison. Ce n’est pas le centre de toute identification, c’est une méthode d’identification de secours, sauf sur des sites qui utilisent effectivement celle-ci comme login (et qui n’empêchent généralement pas d’en associer une autre au compte). Que même sur ces sites une adresse qui a été supprimée n’empêche pas de l’utiliser comme login.



    En plus tu noteras que perdre le mot de passe d’identification à son compte e-mail n’empêche pas nécessairement de le récupérer par d’autres moyens qui ne sont pas forcément faciles à mettre en place partout (par téléphone par exemple). Et que dans tous les cas, ça ne crée pas la faiblesse d’attribuer cette adresse à quelqu’un d’autre comme seul un recyclage peut le faire.

      



    Une personne raisonnable ne s’oppose pas sur le principe, elle réfléchit à ce qui est faisable et accepte des entorses occasionnelles à ses principes initiaux quand il n’existe pas de meilleure solution.





    Il y a des informaticiens tout à fait raisonnables qui pensent que les systèmes centralisés sont mauvais par principe. Ils sont d’ailleurs assez nombreux et sont notamment réputés pour adhérer à la mentalité libriste.

     



    A noter que cette solution centralisée pourrait néanmoins être décentralisée grâce à des protocoles genre BitCoin.





    Alternative fantastique… ou pas.





    Il y a déjà des solutions qui existent, ça fait des années qu’elles se trainent sans avoir d’audience.

    Traiter ça comme une bombe est une erreur: il ne s’agit pas d’une bombe mais d’une évolution majeure. Ralentir les évolutions, c’est le meilleur moyen de ne jamais les voir arriver.

    Un jour il faut donner un coup de pied dans la fourmillière pour que les innovations intéressantes arrivent à s’installer, plutôt que de laisser la situation se gangréner toujours plus.





    D’ailleurs la solution la plus simple c’est que les gens arrêtent d’oublier leurs mots de passe. Je dis ça puisque vu que tu déportes la responsabilité de Yahoo vers les développeurs n’importe comment, tu sembles bien parti pour finir par reprocher le tout aux utilisateurs.

    Au demeurant, c’est le problème que je qualifie de bombe, pas ta “solution” qui n’a rien d’une innovation majeure (faut vraiment pas avoir la moindre idée de ce qu’est une innovation pour sortir ça quand même).



    Et puis il y a une différence entre ralentir les évolutions et éviter les dangers de la précipitation. Donner un coup de pied dans la fourmilière, c’est bien quand ça ne pose pas trop de problèmes de le faire.



    Leynas.



Bon j’ai arrêté de lire mais je suis curieux … on en est où ? Qui a raison entre Faith et Leynas ?&nbsp;<img data-src=" />








Leynas a écrit :



Ensuite, ton “c’est aux développeurs” d’empêcher les clients de faire des âneries, c’est du grand n’importe quoi.





Tu dois être adepte de ce genre de choses:

http://www.commitstrip.com/wp-content/uploads/2014/10/Strip-Suivre-les-recommand…

&nbsp;









Faith a écrit :



Tu dois être adepte de ce genre de choses:

http://www.commitstrip.com/wp-content/uploads/2014/10/Strip-Suivre-les-recommand…







Plutôt de ceci



Faut bien comprendre que déjà contredire une demande du client c’est potentiellement prendre un risque suivant la demande. Mais surtout sur ce point là en particulier, y a toujours des questions plus importantes et plus urgentes que le système de récupération du mot de passe par adresse e-mail, surtout dans la mesure où cela ne pose de problème réel pour l’utilisateur qu’à partir du moment ou des gens comme Yahoo décident de rouler à contresens.



Leynas.









Leynas a écrit :



y a toujours des questions plus importantes et plus urgentes que le système de récupération du mot de passe par adresse e-mail



Alors si c’est par choix qu’ils ont construit un truc bancal, il ne leur reste plus qu’à assumer ce choix.









f-heure-7 a écrit :



Pour Yahoo! :





Ah, cool, génial, moi qui utilise plusieurs comptes yahoo, qui fait un transfert d’email vers mon adresse gmail principal et qui n’a plus besoin de se connecter à ces adresses, c’est super









Faith a écrit :



Alors si c’est par choix qu’ils ont construit un truc bancal, il ne leur reste plus qu’à assumer ce choix.







Bon, une bonne fois pour toutes : ce n’est pas un truc bancal. C’est une méthode simple et efficace pour les utilisateurs de récupérer un mot de passe oublié. La fonctionnalité de récupération est courante, bienvenue et réclamée tant par les clients que les utilisateurs de sites.



Note quand même une chose : si pour toi le problème c’est qu’on aurait du anticiper le besoin de recyclage des adresses e-mail, alors pourquoi ce dispositif n’a pas été prévu dès le départ par les services de comptes et adresses e-mail ? Parce que si les développeurs du monde entier auraient du anticiper ça, pourquoi chez Gmail, chez Hotmail et même chez Yahoo avant on ne l’a pas fait, on ne l’a pas indiqué ? Même sur ce truc cool et sympa qui s’appelle mailoo.org on a pas ça. Et évidemment ce serait aux développeurs de tous les autres sites de prévoir quelque chose que les services de mails ne prévoient pas ?



STOP



Sérieusement, faut vraiment arrêter de raconter des conneries là. Chercher à rejeter la responsabilité sur les développeurs là-dessus c’est vraiment aberrant. Ici c’est Yahoo qui fout certains de ses utilisateurs potentiellement dans la merde et vouloir rejeter la responsabilité sur quelqu’un d’autre, c’est du foutage de tronche complet. Parce qu’il y a une différence entre faire évoluer un système et foutre des gens potentiellement dans la mouise parce qu’on refuse de prendre en compte les usages.



Leynas.



Tu as juste à te mettre un rappel tous les 11 mois pour te connecter à chacun de tes comptes. <img data-src=" />








Leynas a écrit :



Note quand même une chose : si pour toi le problème c’est qu’on aurait du anticiper le besoin de recyclage des adresses e-mail,





Tu me fais dire le contraire de ce que j’ai dit.

&nbsp;Tu ne prends pas en compte mes réponses, je m’arrête donc ici.



Amuse-toi bien à soliloquer.



Au contraire je prends pleinement en compte tes réponses, mais je reconnais que c’est plus facile de me reprocher ça que de chercher des arguments pour soutenir ton propos. Sans parler de ton inconséquence manifeste à ne me répondre que là-dessus, tu as bel et bien dit qu’on aurait du anticiper le recyclage puisque c’est une des raisons que tu invoques contre le système des “identifications” par e-mail.



Je réponds en prenant en considération que tu amplifies le principe d’identification par e-mail alors que ce n’est qu’un système de secours.

Je réponds en prenant en considération que tu voudrais que les développeurs refusent de développer des fonctionnalités simples réclamées par les clients et les utilisateurs. Cela même si leur rôle n’est pas de reprocher au client les fonctionnalités demandées, sauf cas extrême ou devant l’impossibilité ou trop grande difficulté à développer la fonctionnalité.



Ce que tu dis depuis le départ est ridicule, et ajouté à ta propension à rejeter la faute sur l’ensemble des développeurs comme à généraliser sur l’ensemble des informaticiens, cela ne laisse que la légère satisfaction de savoir que tu n’en fais toi-même certainement pas partie.



Leynas.








Leynas a écrit :



Note quand même une chose : si pour toi le problème c’est qu’on aurait du anticiper le besoin de recyclage des adresses e-mail, alors pourquoi ce dispositif n’a pas été prévu dès le départ par les services de comptes et adresses e-mail ? Parce que si les développeurs du monde entier auraient du anticiper ça, pourquoi chez Gmail, chez Hotmail et même chez Yahoo avant on ne l’a pas fait, on ne l’a pas indiqué ? Même sur ce truc cool et sympa qui s’appelle mailoo.org on a pas ça. Et évidemment ce serait aux développeurs de tous les autres sites de prévoir quelque chose que les services de mails ne prévoient pas ?





Franchement, j’ai été surpris en apprenant que les adresses mails n’étaient jusque là pas recyclées. Ces services mails indiquent clairement que sans connexion fréquente le compte peut être définitivement suspendu/annulé/clôturé. Et encore “ connexion fréquente”… 1 an sur Yahoo!, 270 jours sur Outlook.



Les adresses mails de FAI, tant appréciées des français, n’avait jusqu’à peu aucune obligation de continuité de service une fois l’abonnement rompu. Je suis sûr qu’Orange recycle les adresses mails, vu que j’ai pu recréer une adresse auparavant supprimée.



Bref, il n’y a jamais eu de garantie de continuité de propriété des adresses mails. On peut se plaindre du délai avant recyclage, mais certainement pas du recyclage ! Si un compte est tellement important qu’il ne doit pas tomber entre de mauvaises mains, alors se fier à une bête adresse mail n’est certainement pas une bonne idée, sachant qu’elle peut disparaître/être réutilisée/être corrompue/etc.









f-heure-7 a écrit :



Franchement, j’ai été surpris en apprenant que les adresses mails n’étaient jusque là pas recyclées. Ces services mails indiquent clairement que sans connexion fréquente le compte peut être définitivement suspendu/annulé/clôturé. Et encore “ connexion fréquente”… 1 an sur Yahoo!, 270 jours sur Outlook.







Une clôture de compte n’est pas un recyclage et la mise à disposition du compte potentiellement à quelqu’un d’autre.





Les adresses mails de FAI, tant appréciées des français, n’avait jusqu’à peu aucune obligation de continuité de service une fois l’abonnement rompu. Je suis sûr qu’Orange recycle les adresses mails, vu que j’ai pu recréer une adresse auparavant supprimée.



Bref, il n’y a jamais eu de garantie de continuité de propriété des adresses mails. On peut se plaindre du délai avant recyclage, mais certainement pas du recyclage ! Si un compte est tellement important qu’il ne doit pas tomber entre de mauvaises mains, alors se fier à une bête adresse mail n’est certainement pas une bonne idée, sachant qu’elle peut disparaître/être réutilisée/être corrompue/etc.





Bien sûr qu’on peut se plaindre du recyclage, et bien sûr qu’il y a une garantie de continuité à la base même s’ils y mettent en principe une condition d’utilisation courante. Ton exemple chez Orange me semble par ailleurs assez étrange étant donné le nombre de personnes qui ont encore une adresse wanadoo valable sans être abonné chez Orange et sans l’avoir utilisée depuis quelques années (genre je peux encore aller sur l’adresse que ma famille avait à l’époque du forfait wanadoo à 30 heures par mois donc bon…).



Sinon, au risque de me répéter, puisque tu fais la même erreur que Faith. On ne se fie PAS à une bête adresse e-mail. L’identification aux sites en est indépendante, c’est la récupération qui peut passer par l’adresse e-mail, ou plus rarement le téléphone (sachant qu’un numéro de téléphone n’est clairement pas fiable dans la durée non plus). D’ailleurs l’adresse e-mail est généralement vue comme plus stable que le téléphone dans le temps donc bon… Il n’y a pas de fonctionnalité de récupération miracle, fiable dans la durée et sans risques, mais ce n’est pas une raison pour enfoncer le clou.



Tu noteras aussi que le recyclage façon Yahoo indique clairement aux nouveaux propriétaires que l’adresse appartenait à quelqu’un d’autre (notamment quand ils avertissent [email protected] que [email protected] est disponible par exemple). Ce qui renforce les risques puisqu’un mec qui sait que sa nouvelle adresse appartenait déjà à quelqu’un pourrait plus facilement être tenté par l’idée de récupérer des informations sur le propriétaire précédent.



Leynas.



J’avais explicitement supprimé l’adresse email concernée chez Orange. Ce n’est donc pas clôturé automatiquement, mais il n’empêche que les adresses email supprimées sont recyclées.



Les sites se fient à une bête adresse email à partir du moment où il suffit d’y avoir accès pour pouvoir se connecter à leur site (via la fonction “Mot de passe oublié”). L’identification principale a beau être indépendante, l’adresse email fait foi, vu qu’elle permet de contourner l’identification principale. Il serait par exemple possible de coupler email et question secrète ou année de naissance ou papier d’identité (en fonction de l’importance du compte). Ou tout simplement de réinitialiser des informations les plus sensibles lors de l’utilisation de la fonction de réinitialisation du mot de passe (adresse, carte bancaire, numéro de sécu aux US, etc).



“Il n’y a pas de fonctionnalité de récupération miracle, fiable dans la durée et sans risques”… tout à fait, donc une piqûre de rappel n’est pas superflue. Par exemple, certains sites rendent difficile voire impossible la suppression d’un compte et/ou la modification de l’adresse email de contact, alors que ces limitations ne devraient pas exister.








f-heure-7 a écrit :



J’avais explicitement supprimé l’adresse email concernée chez Orange. Ce n’est donc pas clôturé automatiquement, mais il n’empêche que les adresses email supprimées sont recyclées.







Sauf qu’à partir du moment où la démarche est volontaire, c’est de la responsabilité de l’utilisateur de s’assurer qu’elle n’est pas associée à un autre site important.





Les sites se fient à une bête adresse email à partir du moment où il suffit d’y avoir accès pour pouvoir se connecter à leur site (via la fonction “Mot de passe oublié”). L’identification principale a beau être indépendante, l’adresse email fait foi, vu qu’elle permet de contourner l’identification principale. Il serait par exemple possible de coupler email et question secrète ou année de naissance ou papier d’identité (en fonction de l’importance du compte). Ou tout simplement de réinitialiser des informations les plus sensibles lors de l’utilisation de la fonction de réinitialisation du mot de passe (adresse, carte bancaire, numéro de sécu aux US, etc).





Le postulat de base est faux. On ne peut pas dire qu’une adresse e-mail fait foi ou que l’on s’y fie parce qu’on peut “contourner”. D’ailleurs on “identifie” un utilisateur, pas un titulaire de compte ou une personne en particulier. Mais bon encore une fois on tombe sur un débat “faut-il proposer une récupération ?” puisque ce n’est jamais fiable à 100%, même avec une question supplémentaire et surtout pas avec la date de naissance. Et c’est donc un autre débat que celui du choix de recyclage des adresses de la part de Yahoo, qui enfonce le clou et ajoute à la possibilité de corruption du compte e-mail celle d’un accès non frauduleux à celui-ci.





“Il n’y a pas de fonctionnalité de récupération miracle, fiable dans la durée et sans risques”… tout à fait, donc une piqûre de rappel n’est pas superflue. Par exemple, certains sites rendent difficile voire impossible la suppression d’un compte et/ou la modification de l’adresse email de contact, alors que ces limitations ne devraient pas exister.





La suppression de compte impossible, c’est en réalité normal pour certaines raisons, notamment techniques, que je peux comprendre. En revanche interdire de changer l’adresse e-mail de contact, c’est complètement con dans le cas général oui (la seule exception éventuellement valable à mes yeux étant si c’est une adresse pro et que le site est à accès restreint).



Et ce que font Yahoo et Facebook ici ne sont pas des piqûres de rappel. Ils ne disent tellement pas qu’on ne devrait pas utiliser de système de récupération par e-mail que leur solution consiste à donner en apparence une sécurité supplémentaire à ce système. Sauf que c’est l’inverse.



Leynas.









Leynas a écrit :



Sauf qu’à partir du moment où la démarche est volontaire, c’est de la responsabilité de l’utilisateur de s’assurer qu’elle n’est pas associée à un autre site important.





Je n’ai pas dit le contraire. Je dis juste qu’un site ne peut pas compter sur une immortelle association utilisateur/email.







Leynas a écrit :



Le postulat de base est faux. On ne peut pas dire qu’une adresse e-mail fait foi ou que l’on s’y fie parce qu’on peut “contourner”.





Nous ne sommes pas d’accord sur ce point. A partir du moment où le contrôle d’une adresse email est suffisante pour accéder à un compte, c’est que l’adresse email est considérée comme une preuve suffisamment fiable par le site. Ce n’est pas forcément une erreur, mais ça peut l’être. Par exemple, Facebook et Amazon ne devraient pas se contenter du contrôle de l’adresse email par un utilisateur pour lui fournir un nouveau mot de passe. Par contre, que NXi le fasse ne me choque pas.



Pour rappel, les noms de domaine ont une période de rédemption limitée à un mois et sont réutilisable par tous dès la fin de celle-ci. Rien n’empêche une faillite du service email ou un oubli de renouvellement du nom de domaine.



Non, les sites ne considèrent pas que l’adresse e-mail est une preuve. L’intention n’est même pas d’avoir une preuve si tu veux, pas plus qu’une IP ne te donne un coupable, c’est juste un moyen détourné de parvenir à se connecter au site si l’utilisateur n’a plus de mot de passe. Mais ce n’est pas une preuve d’identité, et le site ne conditionne même pas ta connexion au site sur l’e-mail : tu peux utiliser une adresse jetable la plupart du temps, tu peux changer l’adresse e-mail associée ou ne plus y avoir accès et arriver quand même à te connecter au site.



C’est comme une identification login/mot de passe, finalement est-ce qu’on est certain que celui qui se connecte aujourd’hui est le même que celui qui s’est connecté hier ? Non. Pour plusieurs raisons et notamment parce que dans le fond t’as toujours la possibilité que quelqu’un d’autre ait découvert le mot de passe de l’utilisateur.

Autrement dit, à la base c’est la même que pour un compte e-mail qui n’est pas censé être recyclé (dans le sens ne pas être donné à quelqu’un d’autre). Le choix de l’e-mail plutôt que les questions secrètes ou une combinaison des deux, c’est parce que les gens ont tendance en plus à oublier leurs réponses vu qu’ils ne les utilisent pas souvent alors que le mail de contact est censé l’être (d’où l’intérêt de le mettre à jour mais bon…). Si tu veux c’est un login/mot de passe alternatif (vu qu’il y a un mot de passe pour accéder à la boîte mail), mais on ne voit pas ça comme une preuve, ça n’a aucun sens.



Sauf que le recyclage retire évidemment le principe l’identification à la boîte e-mail.





Pour rappel, les noms de domaine ont une période de rédemption limitée à un mois et sont réutilisable par tous dès la fin de celle-ci. Rien n’empêche une faillite du service email ou un oubli de renouvellement du nom de domaine.





On parle de Yahoo à la base quand même donc bon… Et pour des plus petits services, même si t’es un gros nul qui a “oublié” de renouveler ou de prévenir tes utilisateurs que t’allais faire faillite, tu peux encore au pire prévenir a posteriori en te préparant à prendre tes responsabilités au cas où il y aurait un préjudice (ben oui tu pourrais être poursuivi ne serait-ce qu’au civil). Et si t’es de vraiment moindre importance, le risque de corruption des adresses est d’autant moins important.



Leynas.








Leynas a écrit :



Ton exemple chez Orange me semble par ailleurs assez étrange étant donné le nombre de personnes qui ont encore une adresse wanadoo valable sans être abonné chez Orange et sans l’avoir utilisée depuis quelques années (genre je peux encore aller sur l’adresse que ma famille avait à l’époque du forfait wanadoo à 30 heures par mois donc bon…).







Fut un temps où les adresses @wanadoo étaient “immortelles” même après résiliation de l’abonnement. Par contre apparemment ça a changé maintenant.





Vous conservez vos adresses mails Orange (ou Wanadoo) pendant 6 mois. Votre identifiant et mot de passe actuels sont également maintenus pendant cette durée.





http://assistance.orange.fr/offres-internet-resilier-votre-offre-807.php









Leynas a écrit :



Ton exemple chez Orange me semble par ailleurs assez étrange étant donné le nombre de personnes qui ont encore une adresse wanadoo valable sans être abonné chez Orange et sans l’avoir utilisée depuis quelques années (genre je peux encore aller sur l’adresse que ma famille avait à l’époque du forfait wanadoo à 30 heures par mois donc bon…).





C’est pas comme si Wanadoo n’existait plus d’un point de vue commercial depuis des années et qu’il n’y a plus de création d’adresse nouvelles et donc plus besoin de recyclage.

En tirer des conclusions sur la politiques d’Orange sur les adresses en orange.fr me semble assez ridicule.



Sinon, au risque de me répéter, puisque tu fais la même erreur que Faith. On ne se fie PAS à une bête adresse e-mail. L’identification aux sites en est indépendante, c’est la récupération qui peut passer par l’adresse e-mail, ou plus rarement le téléphone (sachant qu’un numéro de téléphone n’est clairement pas fiable dans la durée non plus).

D’ailleurs l’adresse e-mail est généralement vue comme plus stable que le téléphone dans le temps donc bon…



J’ai à la louche 80 % des comptes Web que j’utilise qui sont identifiés par une adresse e-mail et pas par un identifiant différent. Je serais surpris que cela soit très différent pour d’autres personnes.

Donc si, pour beaucoup de sites, une adresse e-mail est un identifiant.

Pour préciser, le champ login (ou autre nom équivalent) est une adresse e-mail.

Je considère que Faith ne fait pas d’erreur dans ce qu’il dit.



Sur la stabilité des numéros de téléphones et des adresse e-mails, j’aimerais bien connaître tes sources.

Il ne faut pas oublier le portage de numéro qui est quand même très utilisé afin de ne pas transmettre le nouveau numéro à tous ses correspondants quand on change d’opérateur.

Par contre, le portage d’adresse e-mail n’existe pas et pleins de Madame Michu changent d’adresse e-mail en même temps que d’opérateur. Oui, elles utilisent l’adresse e-mail de leur opérateur en adresse principale.

Et il est relativement plus facile de prévenir ses correspondants en envoyant un message groupé avec saa nouvelle adresse.



Il n’y a pas de fonctionnalité de récupération miracle, fiable dans la durée et sans risques, mais ce n’est pas une raison pour enfoncer le clou.





De plus en plus de sites renforcent la possibilité de récupération en suggérant de renseigner plusieurs adresses e-mail de secours et un numéro de téléphone. C’est mieux que de ne permettre qu’une adresse e-mail.



La vraie solution est de changer complètement le système d’authentification par login/mot de passe. Mais, c’est un autre débat.









fred42 a écrit :



J’ai à la louche 80 % des comptes Web que j’utilise qui sont identifiés par une adresse e-mail et pas par un identifiant différent. Je serais surpris que cela soit très différent pour d’autres personnes.

Donc si, pour beaucoup de sites, une adresse e-mail est un identifiant.

Pour préciser, le champ login (ou autre nom équivalent) est une adresse e-mail.

Je considère que Faith ne fait pas d’erreur dans ce qu’il dit.







Oui, c’est un login. Pas une adresse e-mail, même si ça en prend la forme. On ne vérifie pas cette adresse à chaque tentative de connexion, d’ailleurs tu peux très bien avoir une adresse qui n’existe plus comme login.





Sur la stabilité des numéros de téléphones et des adresse e-mails, j’aimerais bien connaître tes sources.

Il ne faut pas oublier le portage de numéro qui est quand même très utilisé afin de ne pas transmettre le nouveau numéro à tous ses correspondants quand on change d’opérateur.

Par contre, le portage d’adresse e-mail n’existe pas et pleins de Madame Michu changent d’adresse e-mail en même temps que d’opérateur. Oui, elles utilisent l’adresse e-mail de leur opérateur en adresse principale.

Et il est relativement plus facile de prévenir ses correspondants en envoyant un message groupé avec saa nouvelle adresse.





Je parlais vis à vis du recyclage. Un numéro de téléphone est moins stable s’il n’est pas porté (d’ailleurs le portage du numéro n’a pas toujours été aussi simple, au moins en France), puisque dès le départ on admet l’idée qu’une ligne peut être coupée et attribuée à quelqu’un d’autre. C’est très différent de l’adresse e-mail qui, même si tu ne la consultes plus, n’est en principe pas attribuée à un tiers pour autant.





La vraie solution est de changer complètement le système d’authentification par login/mot de passe. Mais, c’est un autre débat.





Voilà, c’est un autre débat.



Leynas.