Discussion :

[Cedric Chevalier]

Yahoo! et Facebook proposent un nouveau standard
pour le recyclage sécurisé des adresses email

La nouvelle vision stratégique de Yahoo!, en ce qui concerne les identifiants mails des comptes utilisateurs stockés dans ses serveurs, implique le recyclage. Il s’agit là d’une pratique qui vise à désactiver les comptes d’utilisateurs qui sont restés inactifs pendant une très longue durée, et de rendre ensuite à nouveau disponible les noms d’utilisateurs des comptes supprimés, afin qu’ils soient réutilisés.

Autrement dit, Yahoo! permet à un utilisateur d’entrer à nouveau en possession de son adresse mail, même si son compte venait à être supprimé.

Cela s’avère pratique pour ceux qui après une longue période d’inactivité, voudraient réutiliser la même adresse mail.

Cependant, selon les experts, le recyclage des comptes est une pratique qui expose à de nombreux abus. En effet, un hacker peut réutiliser une adresse mail d’un compte supprimé, et se faire passer pour la personne à qui appartenait initialement l’adresse.

De plus, il peut récupérer le mot de passe de ses victimes, dans des sites qui proposent comme procédure de récupération des mots de passe, de fournir une adresse mail valide.

Un gros problème, mais une solution toute simple. Facebook a travaillé de concert avec Yahoo! à la redéfinition du protocole SMTP. Les ingénieurs des deux firmes ont travaillé à l’insertion d’un champ supplémentaire le RRVS (Require Recipient Valid Since) dans l’en-tête d’un segment SMTP.

En pratique, l’émetteur du mail remplit le champ RRVS avec le temps depuis lequel il connaît l’adresse mail du destinataire.

Cette information sera utilisée par Yahoo! pour voir si entre-temps l’adresse mail n’a pas été affectée à quelqu’un d’autre et dans ce cas interrompre l’envoi du mail au nouveau destinataire.

Par ailleurs, cette solution est en cours de validation par l’IETF dans la RFC 7293.

Source : Facebook

Et vous ?

Qu'en pensez-vous ?

[10_GOTO_10]

En pratique, l’émetteur du mail rempli le champ RRVS avec le temps depuis lequel il connaît l’adresse mail du destinataire.

Ils sont bien gentils, mais ils nous demandent une information qu'on ne possède pas forcément. Si la date d'inscription n'est pas mémorisée dans la base, on fait quoi ?

Autre cas de figure, un utilisateur toto@yahoo.fr a une adresse recyclée. Sans avoir la volonté de frauder, il s'inscrit sur un site où était déjà inscrit le premier toto. Dans la majorité des cas, on va lui répondre "adresse mail déjà utilisée". Et on a aucun moyen de savoir si le premier toto utilise son mail tous les jours et le second est un fraudeur, ou si le second a effectivement une adresse recyclée.

[abriotde]

Cela ne présente pour moi aucun risque dans la mesure ou c'est une adresse mail non utilisé depuis plus de 3 ans.
1) Les site utilisant l'email comme identifiant peuvent voir que l'adresse n'est plus utilisé. Un mail au service client permet de récupérer un mot de passe.
2) Une adresse mail non utilisé depuis longtemps ne permet l'accès qu'a des données périmé sans valeurs. (du SPAM sans réel signification par exemple).

[pik_0fr]

Je suis plutôt d'accord avec 10_GOTO_10, nombre de site ou forum ne faisant pas de ménage dans leur base (petite communauté, gros serveur etc...) on une vérification sur l'email unique. Or si l'adresse est recyclé le nouveau possesseur ne pourra pas s'enregistrer (Là je parle uniquement d'un monde de bisounours sans intention malveillante). Et Yahoo ou Facebook n'ont pas pensé a ses cas de figure.

[ibrakola]

un utilisateur toto@yahoo.fr a une adresse recyclée. Sans avoir la volonté de frauder,
il s'inscrit sur un site où était déjà inscrit le premier toto. Dans la majorité des cas, on va lui
répondre "adresse mail déjà utilisée"

J'y pensais pendant ma lecture avant de lire les autres postes mais je me dis que surement, ils se sont deja preparés à cela lors de 'elaboration de leur idée; mais bon jattend voir.

[Saverok]

J'y pensais pendant ma lecture avant de lire les autres postes mais je me dis que surement, ils se sont deja preparés à cela lors de 'elaboration de leur idée; mais bon jattend voir.

La seule chose auquel l'évolution du protoole répond est que le le nouveau toto ne pourra pas récupérer le mdp de l'ancien toto sur le site grace à la nouvelle balise :

Un gros problème, mais une solution toute simple. Facebook a travaillé de concert avec Yahoo! à la redéfinition du protocole SMTP. Les ingénieurs des deux firmes ont travaillé à l’insertion d’un champ supplémentaire le RRVS (Require Recipient Valid Since) dans l’en-tête d’un segment SMTP.

En pratique, l’émetteur du mail remplit le champ RRVS avec le temps depuis lequel il connaît l’adresse mail du destinataire.

Cette information sera utilisée par Yahoo! pour voir si entre-temps l’adresse mail n’a pas été affectée à quelqu’un d’autre et dans ce cas interrompre l’envoi du mail au nouveau destinataire.

Quand le nouveau toto va voir afficher le message "compte déjà existant" et qu'il va faire mdp oublié, en théorie, yahoo devra refuser l'email car le champ RRVS sera renseigné avec une date plus ancienne que le nouveau compte toto
Par contre, cela suppose que le site renseigne le champ RRVS et cela est nettement peu probable


Donc le nouveau toto ne pourra pas créer son compte sur le site
Mais en plus, il y a quand même de forte chance qu'il puisse récupérer le compte de l'ancien toto sur le site en question