Sécurité

Le recyclage des noms d’utilisateur Yahoo pose des problèmes de sécurité

Il y a environ trois mois, Yahoo a mis à disposition une liste de souhaits de noms d’utilisateurs inactifs dans son service de courrier électronique. Vous pouvez créer une liste de cinq noms au maximum que vous aimeriez avoir, s’ils sont disponibles, et si, après une période de vérification, ils sont effectivement inutilisés, vous pourriez être l’heureux nouveau propriétaire de ce compte.

Mais malgré les efforts de Yahoo pour contourner tous les problèmes de sécurité que cela pourrait entraîner, il y a encore quelques failles car les utilisateurs qui ont adopté le courrier électronique « recyclé » ont commencé à recevoir des messages destinés à leurs anciens propriétaires.

InformationWeekly.com a rassemblé quelques histoires de personnes qui ont dit avoir reçu des e-mails contenant des informations personnelles de la part des anciens propriétaires de noms d’utilisateur ; l’un d’entre eux, l’expert en sécurité (ironie de la vie) Tom Jenkins, a dit qu’il avait des messages qui lui permettraient d’accéder aux comptes Facebook et Pandora de la personne – ce qui serait assez ennuyeux mais, avouons-le, moins inquiétant que de connaître l’adresse, le numéro de téléphone, l’endroit où ses enfants étudient et les derniers chiffres de la sécurité sociale (comme le CPF américain). Seul Jenkins a également reçu des courriels contenant ces données.

La défaillance du HTTPS permet d'intercepter des données protégées par SSL

La personne a eu la chance de tomber entre les mains d’une personne bien intentionnée, qui a préféré contacter Yahoo pour signaler ce qui s’était passé au lieu d’utiliser l’information pour faire quoi que ce soit. Mais comme tout le monde n’est pas comme ça, la situation est très préoccupante.

Ce n’est pas comme si Yahoo ne s’attendait pas à ce que cela arrive. Dans cette optique, il a même pris une mesure de précaution très intéressante. La société a créé RRVS, un acronyme pour Require-Recipient-Valid-Since, un élément de l’en-tête qui empêche le vol des mots de passe de service. Il fait correspondre la date de la dernière utilisation du courriel pour confirmer quelque chose avec la date de réception d’un nouveau propriétaire ; s’ils sont en conflit, le message n’est pas délivré.

L’idée est bonne et semble efficace dans la plupart des cas, mais il y a une faille ; le problème est peut-être que l’adoption du RRVS n’a pas été faite par toutes les entreprises. En tout état de cause, Yahoo a déclaré à InformationWeekly.com que les plaintes ont été déposées par très peu d’utilisateurs et continue à s’efforcer de faire de la RRVS une norme, ainsi qu’à réaffirmer son engagement en faveur de la sécurité et de la confidentialité de ses utilisateurs.

Google annonce le mode anonyme pour Maps et d'autres fonctions de confidentialité

Il est recommandé de toujours garder le courriel d’enregistrement de tout ce qui est site mis à jour, au cas où d’autres services de messagerie électronique auraient la même idée de Yahoo (ce qui n’est pas une idée si absurde, puisque donner un propre dans les noms d’utilisateurs inutiles libérerait assez d’espace sur les serveurs). Après tout, on ne sait jamais entre les mains de qui vos données pourraient se retrouver…

A propos de l'auteur

Ronan

Ronan

Le Breton de l'équipe ! Développeur back-end dans une startup française. Internet des objets, domotiques, mes sujets de prédilection sont vastes. #teamLinux sur PerlmOl

Laisser un commentaire