L'année dernière, Yahoo annonçait qu'il serait possible de recycler des adresses email qui n'avaient pas été utilisées depuis plus de 12 mois, afin de créer un nouveau compte. Facebook indique aujourd'hui s'être rapproché de la société afin de s'assurer que cela ne pourrait pas poser de problème de sécurité à ses utilisateurs.
Le plus souvent, un compte en ligne est rattaché à une adresse email. Celle-ci est par exemple utilisée pour vous informer d'une nouveauté, vous faire part d'une notification, mais aussi pour des procédures de sécurité. Ainsi, il est souvent possible de réinitialiser un mot de passe via un lien envoyé de la sorte par exemple. Problème, quand un service comme Yahoo annonce que des adresses emails inutilisées depuis un an pourront être recyclées pour créer un nouveau compte, cela peut poser souci.
Imaginez en effet que vous associez votre compte Facebook à une telle adresse. Après quelques années sans activité, celle-ci est réutilisée par un tiers qui peut donc recevoir et envoyer des emails avec votre ancienne adresse. Il suffit qu'il lance une procédure auprès de Facebook pour réinitialiser le mot de passe afin de pouvoir avoir accès à votre compte.
Bien qu'un tel cas soit tout de même assez peu probable, Facebook a décidé d'agir et de se rapprocher de Yahoo afin de s'assurer d'avoir une solution. Celle-ci prend la forme d'un indicateur temporel placé dans les emails envoyés par Facebook, qui correspond à la dernière fois que la propriété du compte a été vérifiée. Si le compte Yahoo a changé de propriétaire depuis, le message ne sera pas transmis.
Afin de permettre à d'autres de profiter de cette solution, nommée Require-Recipient-Valid-Since (RRVS), et sans doute aussi afin de l'améliorer et d'en faire un standard, Facebook et Yahoo l'ont documenté au sein de la RFC 7293 (Request for Comments) proposée à l'IETF. Reste maintenant à voir ce qu'il en adviendra et si une telle procédure se répand dans d'autres services.
