IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Expert éminent sénior

    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    mars 2013
    Messages
    426
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : Enseignement

    Informations forums :
    Inscription : mars 2013
    Messages : 426
    Points : 32 558
    Points
    32 558
    Par défaut Yahoo! et Facebook résolvent les problèmes de sécurité dus à l'utilisation des adresses mail recyclées
    Yahoo! et Facebook proposent un nouveau standard
    pour le recyclage sécurisé des adresses email

    La nouvelle vision stratégique de Yahoo!, en ce qui concerne les identifiants mails des comptes utilisateurs stockés dans ses serveurs, implique le recyclage. Il s’agit là d’une pratique qui vise à désactiver les comptes d’utilisateurs qui sont restés inactifs pendant une très longue durée, et de rendre ensuite à nouveau disponible les noms d’utilisateurs des comptes supprimés, afin qu’ils soient réutilisés.

    Autrement dit, Yahoo! permet à un utilisateur d’entrer à nouveau en possession de son adresse mail, même si son compte venait à être supprimé.

    Cela s’avère pratique pour ceux qui après une longue période d’inactivité, voudraient réutiliser la même adresse mail.

    Cependant, selon les experts, le recyclage des comptes est une pratique qui expose à de nombreux abus. En effet, un hacker peut réutiliser une adresse mail d’un compte supprimé, et se faire passer pour la personne à qui appartenait initialement l’adresse.

    De plus, il peut récupérer le mot de passe de ses victimes, dans des sites qui proposent comme procédure de récupération des mots de passe, de fournir une adresse mail valide.

    Un gros problème, mais une solution toute simple. Facebook a travaillé de concert avec Yahoo! à la redéfinition du protocole SMTP. Les ingénieurs des deux firmes ont travaillé à l’insertion d’un champ supplémentaire le RRVS (Require Recipient Valid Since) dans l’en-tête d’un segment SMTP.

    En pratique, l’émetteur du mail remplit le champ RRVS avec le temps depuis lequel il connaît l’adresse mail du destinataire.

    Cette information sera utilisée par Yahoo! pour voir si entre-temps l’adresse mail n’a pas été affectée à quelqu’un d’autre et dans ce cas interrompre l’envoi du mail au nouveau destinataire.

    Par ailleurs, cette solution est en cours de validation par l’IETF dans la RFC 7293.

    Source : Facebook

    Et vous ?

    Qu'en pensez-vous ?

  2. #2
    Membre expérimenté Avatar de 10_GOTO_10
    Profil pro
    Inscrit en
    juillet 2004
    Messages
    875
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : juillet 2004
    Messages : 875
    Points : 1 424
    Points
    1 424
    Par défaut
    Citation Envoyé par Cedric Chevalier Voir le message
    En pratique, l’émetteur du mail rempli le champ RRVS avec le temps depuis lequel il connaît l’adresse mail du destinataire.
    Ils sont bien gentils, mais ils nous demandent une information qu'on ne possède pas forcément. Si la date d'inscription n'est pas mémorisée dans la base, on fait quoi ?

    Autre cas de figure, un utilisateur toto@yahoo.fr a une adresse recyclée. Sans avoir la volonté de frauder, il s'inscrit sur un site où était déjà inscrit le premier toto. Dans la majorité des cas, on va lui répondre "adresse mail déjà utilisée". Et on a aucun moyen de savoir si le premier toto utilise son mail tous les jours et le second est un fraudeur, ou si le second a effectivement une adresse recyclée.

  3. #3
    Membre chevronné
    Homme Profil pro
    Développeur informatique
    Inscrit en
    juillet 2007
    Messages
    847
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : juillet 2007
    Messages : 847
    Points : 1 845
    Points
    1 845
    Par défaut
    Cela ne présente pour moi aucun risque dans la mesure ou c'est une adresse mail non utilisé depuis plus de 3 ans.
    1) Les site utilisant l'email comme identifiant peuvent voir que l'adresse n'est plus utilisé. Un mail au service client permet de récupérer un mot de passe.
    2) Une adresse mail non utilisé depuis longtemps ne permet l'accès qu'a des données périmé sans valeurs. (du SPAM sans réel signification par exemple).
    Tout ce que j'écris est libre de droits (Licence CC0) et je vous incite à faire de même.

  4. #4
    Nouveau membre du Club Avatar de pik_0fr
    Homme Profil pro
    Locaconcept
    Inscrit en
    octobre 2006
    Messages
    19
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Haute Garonne (Midi Pyrénées)

    Informations professionnelles :
    Activité : Locaconcept
    Secteur : Industrie

    Informations forums :
    Inscription : octobre 2006
    Messages : 19
    Points : 38
    Points
    38
    Par défaut
    Je suis plutôt d'accord avec 10_GOTO_10, nombre de site ou forum ne faisant pas de ménage dans leur base (petite communauté, gros serveur etc...) on une vérification sur l'email unique. Or si l'adresse est recyclé le nouveau possesseur ne pourra pas s'enregistrer (Là je parle uniquement d'un monde de bisounours sans intention malveillante). Et Yahoo ou Facebook n'ont pas pensé a ses cas de figure.
    pik_0fr, skull squadron ace
    ---
    pik : trigram sur arcade
    0 : car je suis un prototype et pas la copie de quelqu'un
    fr : ndd

  5. #5
    Membre averti
    Homme Profil pro
    Inscrit en
    novembre 2010
    Messages
    98
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Haute Vienne (Limousin)

    Informations forums :
    Inscription : novembre 2010
    Messages : 98
    Points : 396
    Points
    396
    Par défaut
    un utilisateur toto@yahoo.fr a une adresse recyclée. Sans avoir la volonté de frauder,
    il s'inscrit sur un site où était déjà inscrit le premier toto. Dans la majorité des cas, on va lui
    répondre "adresse mail déjà utilisée"
    J'y pensais pendant ma lecture avant de lire les autres postes mais je me dis que surement, ils se sont deja preparés à cela lors de 'elaboration de leur idée; mais bon jattend voir.

  6. #6
    Expert éminent
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    août 2007
    Messages
    2 158
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : août 2007
    Messages : 2 158
    Points : 7 829
    Points
    7 829
    Par défaut
    Citation Envoyé par ibrakola Voir le message
    J'y pensais pendant ma lecture avant de lire les autres postes mais je me dis que surement, ils se sont deja preparés à cela lors de 'elaboration de leur idée; mais bon jattend voir.
    La seule chose auquel l'évolution du protoole répond est que le le nouveau toto ne pourra pas récupérer le mdp de l'ancien toto sur le site grace à la nouvelle balise :
    Un gros problème, mais une solution toute simple. Facebook a travaillé de concert avec Yahoo! à la redéfinition du protocole SMTP. Les ingénieurs des deux firmes ont travaillé à l’insertion d’un champ supplémentaire le RRVS (Require Recipient Valid Since) dans l’en-tête d’un segment SMTP.

    En pratique, l’émetteur du mail remplit le champ RRVS avec le temps depuis lequel il connaît l’adresse mail du destinataire.

    Cette information sera utilisée par Yahoo! pour voir si entre-temps l’adresse mail n’a pas été affectée à quelqu’un d’autre et dans ce cas interrompre l’envoi du mail au nouveau destinataire.
    Quand le nouveau toto va voir afficher le message "compte déjà existant" et qu'il va faire mdp oublié, en théorie, yahoo devra refuser l'email car le champ RRVS sera renseigné avec une date plus ancienne que le nouveau compte toto
    Par contre, cela suppose que le site renseigne le champ RRVS et cela est nettement peu probable


    Donc le nouveau toto ne pourra pas créer son compte sur le site
    Mais en plus, il y a quand même de forte chance qu'il puisse récupérer le compte de l'ancien toto sur le site en question

Discussions similaires

  1. Réponses: 4
    Dernier message: 10/03/2014, 00h38
  2. Réponses: 22
    Dernier message: 29/05/2011, 21h56
  3. [Cryptographie] Problème de conception pour crypter des adresses mail
    Par Le Barde dans le forum Général Conception Web
    Réponses: 3
    Dernier message: 10/03/2011, 23h59
  4. Réponses: 0
    Dernier message: 09/12/2010, 14h09
  5. Réponses: 7
    Dernier message: 18/07/2009, 02h28

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo