Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Yahoo! part à la chasse aux identifiants abandonnés depuis plus d’un an

Sponsorisé par Facebook

Yahoo! part à la chasse aux identifiants abandonnés depuis plus d'un an

Le 16 juillet 2013 à 08h55

Yahoo! a décidé de partir en guerre contre les comptes abandonnés. La firme propose depuis longtemps des services et aimerait désormais récupérer les identifiants qui ont été laissés en chemin. Plusieurs solutions ont été trouvées dont certaines vont demander une participation active de nombreux acteurs.

yahoo mail

Faire du neuf avec du vieux 

Yahoo! propose de nombreux services depuis bien longtemps, à commencer par son webmail. Ce dernier a toujours été populaire, notamment aux États-Unis, entrainant la création de millions de comptes. Mais comme ce peut être le cas pour Microsoft ou Google, une partie des utilisateurs finit par ne plus les utiliser, notamment en cas de « passage à l’ennemi ». Yahoo! cherchait donc des moyens de faire un peu le ménage, pour remettre les identifiants abandonnés dans la réserve de ceux disponibles.

 

L’éditeur réfléchissait depuis un moment à des solutions pour que cette opération ne fasse pas de victimes. Quand il a abordé le sujet le mois dernier, de nombreuses inquiétudes se sont fait jour, notamment autour de la sécurité et de la vie privée. L’une des interrogations majeures était liée à la récupération d’autres comptes : que faire par exemple si un utilisateur de Gmail se servait de son adresse Yahoo!! comme solution de secours pour récupérer son mot de passe ? Mais pour Yahoo!!, le jeu en valait la chandelle car il s’agissait de remettre en piste des adresses du type [email protected] pour permettre à un nouvel arrivant de ne pas se retrouver avec [email protected].

Un système d'en-têtes

Dans un nouveau communiqué, la firme annonce qu’elle lance donc sa grande opération. Mais Yahoo! se tourne d’abord vers ses utilisateurs actuels, qui vont pouvoir se rendre sur une page dédiée pour établir une liste de cinq identifiants souhaités. Par exemple, « albert93099 » peut vérifier la disponibilité de « albert ». Yahoo!! procèdera alors comme dans n’importe quelle liste de souhaits : si le premier n’est pas disponible, le service passera au deuxième, et ainsi de suite.

 

Mais comment la firme compte-t-elle répondre aux problématiques de sécurité ? Elle va principalement mettre en place un système d’en-tête à destination des autres fournisseurs de webmails. Ces derniers, avant de lancer des réinitialisations de mots de passe, pourront via une requête interroger l’âge du compte. Yahoo! pourra alors répondre par une indication du type « Inactif depuis 14 mois ». Si la durée dépasse 12 mois, Yahoo! considèrera le compte comme non utilisé et signalera dans la foulée qu’il ne faut pas envoyer la réinitialisation du mot de passe. Globalement, l’âge du compte Yahoo! sera déterminant, y compris pour les sites de commerce en ligne.

 

Le problème pour Yahoo! est que ce système, même s’il semble efficace, ne dépend pas que de l’éditeur. Le principe de base fonctionne comme le signe Do Not Track émis par les navigateurs : il faut que l’autre site reconnaisse l’en-tête et agisse en conséquence. Yahoo! explique donc que le prochain mois sera consacré à des pourparlers avec de nombreux acteurs pour que ces en-têtes soient prise en compte.

Le risque zéro n'existe pas 

Pour s’assurer que le système sera précis, Yahoo! a bénéficié de l’aide de Facebook. Après avoir annoncé son intention de faire le ménage, Facebook s’est en effet manifesté pour offrir la solution des en-têtes. En outre, Yahoo! a présenté son idée à l’IETF (Internet Engineer Task Force) pour lui apporter plus de crédibilité. Un certain nombre de facteurs sont également à prendre en compte. Par exemple, moins de 7 % des comptes abandonnés disposent réellement d’une boîte email selon Yahoo!. Lors de la désactivation d’un compte, une période de 30 jours permettra à l’éditeur de désinscrire automatiquement tous les courriers reçus depuis des mailing lists.

 

Seulement voilà : malgré les protections mises en place par Yahoo! pour éviter les difficultés, il sera difficile d’empêcher certains drames. D’abord parce les utilisateurs ne seront pas tous mis au courant et qu’ils risquent donc d’avoir de désagréables surprises. Ensuite parce que le délai de 12 mois peut être jugé un peu court. Si le compte Yahoo! est en effet utilisé comme solution de « backup » en cas de réinitialisation d’un mot de passe, il n’est pas certain que l’utilisateur ait besoin de se connecter au moins une fois par an.

 

Notez cependant que Yahoo! ne mènera pas une chasse proactive aux comptes abandonnés. Ces derniers ne seront réclamés que dans le cas où ils sont demandés par d’autres utilisateurs. Autrement dit, si votre identifiant est « H4ck3r_RoXx0r725 », vous n’avez guère d’inquiétude à vous faire.

Commentaires (21)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Ils ont fait la meme microsoft, remettre des vieux comptes disponible. Et c’est sale.

votre avatar

Comme quand tu chope un numéro de portable qui a déjà été utilisé dans le passé.

votre avatar

Ils devraient faire comme msn, en demandant aux utilisateurs de faire suivre un e-mail à au moins 10 de leurs contacts <img data-src=" />

votre avatar

j’adhere! Quoi de plus <img data-src=" /> que de s’inscrire sur un webmail, et de constater que ton nom est “deja utilisé” par quelqu’un qui ne s’en sert jamais.

Une cotisation minimale serait d’ailleurs le meilleur moyen, comme pour les noms de domaine.

votre avatar







Manu114 a écrit :



Ils ont fait la meme microsoft, remettre des vieux comptes disponible. Et c’est sale.





Bof… Le web est censé être dynamique, tu déménages tu ne gardes pas ton ancienne adresse… Au mieux tu rediriges pendant 6 mois. Et si tu veux plus et bien tu vas sur place de temps en temps!


votre avatar







jay-rome a écrit :



j’adhere! Quoi de plus <img data-src=" /> que de s’inscrire sur un webmail, et de constater que ton nom est “deja utilisé” par quelqu’un qui ne s’en sert jamais.

Une cotisation minimale serait d’ailleurs le meilleur moyen, comme pour les noms de domaine.





1€ par an <img data-src=" />


votre avatar







jinge a écrit :



Bof… Le web est censé être dynamique, tu déménages tu ne gardes pas ton ancienne adresse… Au mieux tu rediriges pendant 6 mois. Et si tu veux plus et bien tu vas sur place de temps en temps!







Sauf que sur ton courrier ton nom est indiquer sur l’enveloppe (qui permet justement les redirections). Ici pour un mail c’est une lettre ouverte.


votre avatar







knos a écrit :



Comme quand tu chope un numéro de portable qui a déjà été utilisé dans le passé.





Mouais … Bonjour le spam … Surtout si le compte a été créé pour ça puis abandonné une fois le spam trop énorme …

Il faut au moins un bon gros délais pour que l’adresse sorte des listings.


votre avatar

Donc quand on prend une boîte qui a appartenu à quelqu’un qui s’en servait il y a un an, on peut accéder partout où il s’est inscrit, par exemple si c’est un abonné PCI, on se fait renvoyer le mot de passe, et on lui pique son compte ! Pareil pour les accès aux banques, on a l’email, on se fait renvoyer le mot de passe, et hop on a accès aux comptes de la personne précédente. Génial. Il va y avoir des demandes par milliers.

votre avatar

Yahoo déactive déjà les boîtes mail si elles ne sont pas utilisées pendant 3 mois <img data-src=" />

votre avatar







jay-rome a écrit :



j’adhere! Quoi de plus <img data-src=" /> que de s’inscrire sur un webmail, et de constater que ton nom est “deja utilisé” par quelqu’un qui ne s’en sert jamais.

Une cotisation minimale serait d’ailleurs le meilleur moyen, comme pour les noms de domaine.







y a plus simple… suffit de s’en servir et de virer ceux qui s’en servent pas.. et pas simplement en mettant un lien de reactivation une fois par ci par là, mais de vérifier une vraie activité en envoi régulier…



vous etes tjs pret a payer du minimal.. mais votre minimal par ci et minimal par là, je suis navré a la fin du mois il fait mal ! si vous avez du fric en rab, je peux vous fournir mon adresse paypal ceci dit.


votre avatar







Yzokras a écrit :



Donc quand on prend une boîte qui a appartenu à quelqu’un qui s’en servait il y a un an, on peut accéder partout où il s’est inscrit, par exemple si c’est un abonné PCI, on se fait renvoyer le mot de passe, et on lui pique son compte ! Pareil pour les accès aux banques, on a l’email, on se fait renvoyer le mot de passe, et hop on a accès aux comptes de la personne précédente. Génial. Il va y avoir des demandes par milliers.





+1, c’est d’ailleurs ce qui avait été dénoncé quand microsoft avait fait la même chose

http://www.securityweek.com/yahoo-id-recycling-plan-raises-security-concerns



“If Yahoo reuses inactive ID, the most damage will be done through the password reset feature which is implemented on many sites on the Internet,” said Tommy Chin, technical support engineer at CORE Security. “To steal an account, register a yahoo account that’s inactive which is already being used as a registered e-mail address on a third party site. Then, search for a variety of popular third party website and utilize the password reset feature to send the password to a reused yahoo account.”



“Accounts around the web will get owned in very little time once a script gets developed to automate this attack,” he said.



An example of a similar attack was outlined by a team of researchers from Rutgers University, who argued in a paper that it was possible for an attacker to abuse Microsoft’s Hotmail account expiration policy to access a victim’s Facebook account.



According to the researchers, Microsoft retires Hotmail accounts that haven’t been used in 270 days and allows other users to ask to be assigned to those accounts. In the study, after reactivating the email accounts, the researchers said they were able to use Facebook’s default password recovery mechanism to take over control of the corresponding Facebook accounts.





Yahoo a répondu que la majorité n’ont pas de boite mail associée et qu’ils enverraient des mails pendant 30 jours aux expéditeurs et qu’ils les désinscriraient des newsletter.





“It’s important to note that the vast majority of these inactive Yahoo! IDs don’t have a mailbox associated with them,” the spokesperson said. “Any personal data and private content associated with these accounts will be deleted and will not be accessible to the new account holder.”



“To ensure that these accounts are recycled safely and securely, we’re doing several things,” the spokesperson continued. “We will have a 30-day period between deactivation and before we recycle these IDs for new users. During this time, we’ll send bounce back emails alerting senders that the deactivated account no longer exists. We will also unsubscribe these accounts from commercial emails such as newsletters and email alerts, among others.”





Gmail ne le fait pas d’après ce sitehttp://www.buzzwebtips.com/recycled-email-account/


votre avatar







jay-rome a écrit :



j’adhere! Quoi de plus <img data-src=" /> que de s’inscrire sur un webmail, et de constater que ton nom est “deja utilisé” par quelqu’un qui ne s’en sert jamais.

Une cotisation minimale serait d’ailleurs le meilleur moyen, comme pour les noms de domaine.





Primo: les homonymes existent. Il va donc falloir s’assoir sur cette terrible frustration de ne pas être unique.



Secundo: comment savoir que le compte du “parasite” est actif ou inactif?



Tertio: pourquoi une cotisation? Le système des adresses mails fournies par les FAI (orange, free, etc…) rencontrent le même problème alors qu’il y’a bel et bien une “cotisation”, et pas minimale d’ailleurs…



Quatro: en dehors des prenom.nom, quid des pseudos? A moins de vouloir breveter l’idée du pseudo [email protected] et puis tant qu’à faire autant verrouiller tous les fournisseurs mails, histoire d’éviter le squatting, je ne vois pas trop comment faire..



Après ce qui est simple de faire, c’est d’essayer au près de divers fournisseurs.


votre avatar

Ils veulent peut-être aussi faire de la place sur leurs serveurs… Parce que lorsque je me suis reconnecté à mon adresse Free après 2 ans d’inactivité, le contenu occupait plusieurs Go d’espace disque <img data-src=" />

votre avatar







jinge a écrit :



Bof… Le web est censé être dynamique, tu déménages tu ne gardes pas ton ancienne adresse… Au mieux tu rediriges pendant 6 mois. Et si tu veux plus et bien tu vas sur place de temps en temps!







Oui je suis d’accord sur le principe, mais mme Michou qui ne connecte jamais sur son compte qui un jour perd son mot de passe facebook, ce retrouve comme une couille parce qu’elle ne peut pas ce connecter sur son adresse mail. J’ai une copine a qui c arrivé. Son compte facebook bloqué, obligé de ce connecter sur son compte : l’adresse mail n’existe plus (hotmail ou msn). Bah, j’ai recrée l’adresse pour recevoir le mot de passe. Mais si quelqu’un avec de mauvaise intention fait la même chose…


votre avatar







TBirdTheYuri a écrit :



Ils veulent peut-être aussi faire de la place sur leurs serveurs… Parce que lorsque je me suis reconnecté à mon adresse Free après 2 ans d’inactivité, le contenu occupait plusieurs Go d’espace disque <img data-src=" />





Je pense plus à ça comme raison valable qu’autre chose. Les comptes qui sont inactif (au sens aucune connexion) depuis plus de 3-4 ans doivent être pourris par les spams et donc occuper plusieurs centaine de Mo voir de Go chacun. Imaginez un peu les économies d’échelle en en supprimant plusieurs milliers dans le même cas <img data-src=" />


votre avatar







Manu114 a écrit :



Ils ont fait la meme microsoft, remettre des vieux comptes disponible. Et c’est sale.







C’est sale que si tu est sur un forum genre jeuxvideo.com (oui encore eux) qui laisse s’inscrire un mec en laissant son mail afficher en clair alors qu’ils ont développé des tas de chose pour sécurisé cette merde



Du coup hack de compte etc


votre avatar

Bonne initiative de la part de yahoo.

A mon avis, il y a pas mal d’adresses qui ne sont pas/plus utilisés : création adresses poubelles, personnes décédés, etc.

C’est vrai qu’il y en a marre de se voir proposer des [email protected] à la création

votre avatar







Laskov a écrit :



C’est sale que si tu est sur un forum genre jeuxvideo.com (oui encore eux) qui laisse s’inscrire un mec en laissant son mail afficher en clair alors qu’ils ont développé des tas de chose pour sécurisé cette merde



Du coup hack de compte etc







Facebook aussi par defaut ils laissent l’adresse mail :( (du moins y a quelques temps, je ne sais pas si c’est toujours le cas)


votre avatar







le-gros-bug a écrit :



Yahoo déactive déjà les boîtes mail si elles ne sont pas utilisées pendant 3 mois <img data-src=" />



Bein oui, c’est bien ce qu’il me semblait : j’ai perdu tous les mails sur une adresse comme ça, il y a quelques années…



P.-S. : la vache, j’avais jamais vu le nouveau Yahoo! avec de la pub : ça pique les yeux !!! <img data-src=" /> … surtout que j’imagine que ça doit bouger en plus… <img data-src=" />


votre avatar







jay-rome a écrit :



j’adhere! Quoi de plus <img data-src=" /> que de s’inscrire sur un webmail, et de constater que ton nom est “deja utilisé” par quelqu’un qui ne s’en sert jamais.

Une cotisation minimale serait d’ailleurs le meilleur moyen, comme pour les noms de domaine.







Tout à fait, j’ai d’ailleurs retenu dernièrement pour un an un nom de domaine en .fr (et avec 4 lettres devant seulement <img data-src=" />). Le prestataire bookmayname (fililale de Free) me propose si je le souhaite pour le même tarif de domicilier ma messagerie en webmail/pop3/imap pour plusieurs comptes. Je suis devenu indépendant des gmail.com, yahoo.fr, orange.fr, bbox.fr, free.fr, sfr.fr que tout le monde utilise. Ecrire à jm@.fr plutôt que [email protected] c’est plus classe non ?



Yahoo! part à la chasse aux identifiants abandonnés depuis plus d’un an

  • Faire du neuf avec du vieux 

  • Un système d'en-têtes

  • Le risque zéro n'existe pas 

Fermer