Yahoo! et Facebook proposent un nouveau standard
Pour le recyclage sécurisé des adresses email

Le , par Cedric Chevalier, Expert éminent sénior
La nouvelle vision stratégique de Yahoo!, en ce qui concerne les identifiants mails des comptes utilisateurs stockés dans ses serveurs, implique le recyclage. Il s’agit là d’une pratique qui vise à désactiver les comptes d’utilisateurs qui sont restés inactifs pendant une très longue durée, et de rendre ensuite à nouveau disponible les noms d’utilisateurs des comptes supprimés, afin qu’ils soient réutilisés.

Autrement dit, Yahoo! permet à un utilisateur d’entrer à nouveau en possession de son adresse mail, même si son compte venait à être supprimé.

Cela s’avère pratique pour ceux qui après une longue période d’inactivité, voudraient réutiliser la même adresse mail.

Cependant, selon les experts, le recyclage des comptes est une pratique qui expose à de nombreux abus. En effet, un hacker peut réutiliser une adresse mail d’un compte supprimé, et se faire passer pour la personne à qui appartenait initialement l’adresse.

De plus, il peut récupérer le mot de passe de ses victimes, dans des sites qui proposent comme procédure de récupération des mots de passe, de fournir une adresse mail valide.

Un gros problème, mais une solution toute simple. Facebook a travaillé de concert avec Yahoo! à la redéfinition du protocole SMTP. Les ingénieurs des deux firmes ont travaillé à l’insertion d’un champ supplémentaire le RRVS (Require Recipient Valid Since) dans l’en-tête d’un segment SMTP.

En pratique, l’émetteur du mail remplit le champ RRVS avec le temps depuis lequel il connaît l’adresse mail du destinataire.

Cette information sera utilisée par Yahoo! pour voir si entre-temps l’adresse mail n’a pas été affectée à quelqu’un d’autre et dans ce cas interrompre l’envoi du mail au nouveau destinataire.

Par ailleurs, cette solution est en cours de validation par l’IETF dans la RFC 7293.

Source : Facebook

Et vous ?

Qu'en pensez-vous ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de 10_GOTO_10 10_GOTO_10 - Membre éprouvé https://www.developpez.com
le 28/10/2014 à 8:34
Citation Envoyé par Cedric Chevalier  Voir le message
En pratique, l’émetteur du mail rempli le champ RRVS avec le temps depuis lequel il connaît l’adresse mail du destinataire.

Ils sont bien gentils, mais ils nous demandent une information qu'on ne possède pas forcément. Si la date d'inscription n'est pas mémorisée dans la base, on fait quoi ?

Autre cas de figure, un utilisateur toto@yahoo.fr a une adresse recyclée. Sans avoir la volonté de frauder, il s'inscrit sur un site où était déjà inscrit le premier toto. Dans la majorité des cas, on va lui répondre "adresse mail déjà utilisée". Et on a aucun moyen de savoir si le premier toto utilise son mail tous les jours et le second est un fraudeur, ou si le second a effectivement une adresse recyclée.
Avatar de abriotde abriotde - Membre éclairé https://www.developpez.com
le 28/10/2014 à 13:48
Cela ne présente pour moi aucun risque dans la mesure ou c'est une adresse mail non utilisé depuis plus de 3 ans.
1) Les site utilisant l'email comme identifiant peuvent voir que l'adresse n'est plus utilisé. Un mail au service client permet de récupérer un mot de passe.
2) Une adresse mail non utilisé depuis longtemps ne permet l'accès qu'a des données périmé sans valeurs. (du SPAM sans réel signification par exemple).
Avatar de pik_0fr pik_0fr - Nouveau membre du Club https://www.developpez.com
le 28/10/2014 à 16:40
Je suis plutôt d'accord avec 10_GOTO_10, nombre de site ou forum ne faisant pas de ménage dans leur base (petite communauté, gros serveur etc...) on une vérification sur l'email unique. Or si l'adresse est recyclé le nouveau possesseur ne pourra pas s'enregistrer (Là je parle uniquement d'un monde de bisounours sans intention malveillante). Et Yahoo ou Facebook n'ont pas pensé a ses cas de figure.
Avatar de ibrakola ibrakola - Membre actif https://www.developpez.com
le 29/10/2014 à 19:40
un utilisateur toto@yahoo.fr a une adresse recyclée. Sans avoir la volonté de frauder,
il s'inscrit sur un site où était déjà inscrit le premier toto. Dans la majorité des cas, on va lui
répondre "adresse mail déjà utilisée"

J'y pensais pendant ma lecture avant de lire les autres postes mais je me dis que surement, ils se sont deja preparés à cela lors de 'elaboration de leur idée; mais bon jattend voir.
Avatar de Saverok Saverok - Expert éminent https://www.developpez.com
le 30/10/2014 à 10:28
Citation Envoyé par ibrakola  Voir le message
J'y pensais pendant ma lecture avant de lire les autres postes mais je me dis que surement, ils se sont deja preparés à cela lors de 'elaboration de leur idée; mais bon jattend voir.

La seule chose auquel l'évolution du protoole répond est que le le nouveau toto ne pourra pas récupérer le mdp de l'ancien toto sur le site grace à la nouvelle balise :
Un gros problème, mais une solution toute simple. Facebook a travaillé de concert avec Yahoo! à la redéfinition du protocole SMTP. Les ingénieurs des deux firmes ont travaillé à l’insertion d’un champ supplémentaire le RRVS (Require Recipient Valid Since) dans l’en-tête d’un segment SMTP.

En pratique, l’émetteur du mail remplit le champ RRVS avec le temps depuis lequel il connaît l’adresse mail du destinataire.

Cette information sera utilisée par Yahoo! pour voir si entre-temps l’adresse mail n’a pas été affectée à quelqu’un d’autre et dans ce cas interrompre l’envoi du mail au nouveau destinataire.

Quand le nouveau toto va voir afficher le message "compte déjà existant" et qu'il va faire mdp oublié, en théorie, yahoo devra refuser l'email car le champ RRVS sera renseigné avec une date plus ancienne que le nouveau compte toto
Par contre, cela suppose que le site renseigne le champ RRVS et cela est nettement peu probable

Donc le nouveau toto ne pourra pas créer son compte sur le site
Mais en plus, il y a quand même de forte chance qu'il puisse récupérer le compte de l'ancien toto sur le site en question
Offres d'emploi IT
Développeur Front-End F/H
Zenika - Bretagne - Rennes (35000)
DEVELOPPEUR JUNIOR FULL STACK
ADLOOX - Ile de France - Paris (75002)
DEVELOPPEUR OPEN-SOURCE BACK-END
confidentiel - Ile de France - 75011

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil