Le mois dernier, Yahoo a expliqué dans son Tumblr officiel qu’il nettoierait les comptes inactifs depuis plus d’un an afin de pallier la pénurie de noms pour les nouveaux identifiants Yahoo et de permettre aux utilisateurs ayant des identifiants “[email protégés]” d’utiliser quelque chose comme “[email protégés]”, par exemple. Le processus s’est déroulé hier et maintenant la question demeure : comment la société va-t-elle distribuer les noms publiés ?
La solution trouvée est assez ingénieuse (ok, pas tant que ça). Yahoo a créé une sorte de liste de souhaits où l’utilisateur doit enregistrer jusqu’à cinq noms souhaités, par ordre de préférence. Si le premier login n’est pas disponible, le système vérifiera la disponibilité du nom suivant, etc.
S’il s’avère qu’une connexion demandée est validée, l’utilisateur en sera informé par courrier électronique. La personne aura alors jusqu’à 48 heures pour cliquer sur le lien contenu dans le message et confirmer son intérêt. Après cela, la connexion sera à elle seule. La liste de souhaits sera disponible jusqu’au 7 août.
Tout cela est très beau, mais vous avez peut-être vu une grave faille de sécurité ici. Supposons que j’ai oublié mon mot de passe Facebook, j’ai donc utilisé l’option “remember by email” du service. Le problème est que j’étais le précédent propriétaire de l’e-mail ? ? et que j’ai utilisé cette adresse lors de mon inscription. Fu… Ferrou : le nouveau propriétaire du compte pourra réinitialiser mon mot de passe et accéder à mon compte Facebook !
C’est un risque lointain, certes, mais pas impossible. Les gens de Yahoo le savent et ont trouvé une solution (cette fois, oui, ingénieuse) : un nouveau champ pour l’en-tête des messages électroniques nommé “Require-Recipient-Valid-Since”.
Le fonctionnement est le suivant : si vous demandez un rappel ou une réinitialisation du mot de passe sur Facebook, par exemple, l’en-tête du message vous indiquera, via le nouveau champ, la date de la dernière utilisation de l’adresse en question pour confirmer une action. Si la date est antérieure à la date de la dernière redirection du courriel, Yahoo ne délivrera pas le message et informera Facebook de tenter de contacter l’utilisateur d’une autre manière.
L’idée est assez intéressante, mais elle nécessite l’adoption du nouvel en-tête par d’autres services pour fonctionner, et pas seulement Yahoo. Comment convaincre autant d’entreprises et d’institutions de mettre en œuvre le changement ? En faisant de ce nouveau domaine une norme, bien sûr.
À cette fin, Yahoo a envoyé une proposition de normalisation à l’IETF (Internet Engineering Task Force) et est en pourparlers avec d’autres entreprises (comme Google, Microsoft et Twitter, probablement) pour obtenir un soutien à l’idée. Facebook, au moins, a déjà donné le feu vert – notamment parce que l’idée est venue de là, en fait.
Nous ne pourrons pas savoir pendant les prochains mois de quoi il s’agit. Mais, si l’en-tête devient vraiment standard, cela motivera le nettoyage des comptes inactifs par d’autres services (avez-vous jamais pensé que vous pourriez obtenir votre prénom comme identifiant Gmail ?), ce qui signifie que l’idée a de grandes chances d’être approuvée ou du moins d’être la voie vers une autre solution.