Prologue
Depuis quelques mois, je fais un peu de recherche et développement dans le domaine des avatars, ou identités virtuelles, que certains qualifient même de cyborgs. L’idée est de créer des personnages virtuels aux caractéristiques indissociables de « vrais » Internautes humains, répondant à la définition correspondant à celle de Level 3 Character du désormais célèbre rapport d’analyse de HBGary, Persona Development and Management for the Purpose of Real World Social Media Training.
La création d’un compte mail Hotmail est simple et rapide.
À défaut d’en être arrivé à ce niveau aujourd’hui, j’ai pu identifier un point de départ nécessaire à tout personnage virtuel : l’email. En effet, la quasi-totalité des services web, qu’ils soient gratuits ou payants, réclame une adresse email pour être utilisés. Or, cette adresse email est parfois très négligée, au point d’être abandonnée, alors qu’il s’agit d’un point essentiel à la sécurité sur le web. En effet, c’est à cette adresse qu’arrivent les demandes de renouvellement de mots de passes.
Mais trève de bavardages. Exposons le problème simplement.
Acte I : Laure crée une adresse email
Commençons par le commencement :
- Laure Morin, née en 1980 (personnage fictif, merci de ne pas harceler ses homonymes), décide de se créer un compte mail pour recevoir des emails de ses amis. Pour cela, elle crée l’adresse [email protected].
- Laure crée un compte Facebook (ou tout autre service en ligne). Pour cela, elle indique son adresse email Hotmail fraîchement créée. Un email de validation arrive sur son compte, afin de s’assurer que celle-ci lui appartient. Elle s’empresse de valider l’email en cliquant sur un lien.
Jusque-là, rien d’anormal. Du classique au point que l’on est en droit de se demander pourquoi j’en fais tout un foin. Et pourtant, j’insiste : associer un email à un individu est une ineptie.
Acte II : Laure abandonne son adresse email
Et voici comment les ennuis arrivent :
- Laure cesse de se connecter à son compte mail Hotmail.
- 90 jours suivant sa dernière connexion, Hotmail résilie automatiquement son service vis-à-vis de Laure, rendant l’adresse email [email protected] de nouveau disponible.
En effet, Laure a bien évidemment accepté, au moment de l’inscription, l’accord de service Microsoft associé à Hotmail, dont voici un extrait :
11. Modifications apportées au service et résiliation
Nous pouvons à tout moment résilier ou suspendre votre service et votre accès au réseau Windows Live ID, quelle qu’en soit la raison. Différents motifs de résiliation sont envisageables : arrêt du service dans votre région, violation du présent contrat, absence de connexion au réseau Windows Live pendant plus de 90 jours ou encore non-paiement des frais dus à nous-mêmes ou à nos agents.
En réalité, Microsoft ne recycle pas forcément les adresses ainsi abandonnées tout de suite. Il fut un temps où Hotmail rendait inaccessibles ces adresses aux nouvelles inscriptions durant trois mois supplémentaires. J’avoue ignorer la politique actuelle en matière de durée. Mais trois ou six mois, est-ce bien important, finalement ?
Acte III : Martin crée une adresse email
Entrée en scène d’un nouveau personnage :
- Cette fois-ci, c’est Martin Korolczuk (un personnage fictif, lui aussi, bien que mon homonyme), qui fait de la recherche et développement sur l’identité virtuelle (décidément, qu’il me ressemble, ce personnage de fiction !), crée à son tour l’adresse email [email protected].
- Deux mois plus tard, Martin se connecte à son compte Hotmail. Surprise : Facebook lui a écrit au sujet de son compte Facebook. Mais non, voyons, jamais Martin n’a créé de compte Facebook !
- Martin veut se connecter à son prétendu compte Facebook. Pour cela, il a besoin du mot de passe ou… de demander son renouvellement pour cause d’oubli.
- Martin, sur son compte Hotmail, reçoit la confirmation de renouvellement du mot de passe Facebook, lui permettant de redéfinir le mot de passe, ce qu’il fait.
- Tada ! Martin peut désormais accéder au compte Facebook de Laure. (Elle, en revanche, c’est moins sûr, à défaut de mot de passe et à défaut de contrôler sa feu boîte de réception d’emails, à moins qu’elle ait mis en place d’autres adresses, ou encore d’autres moyens de redéfinition du mot de passe, ce que Facebook propose, il est vrai.)
Épilogue
Il est intéressant de noter que Facebook continue d’envoyer des emails sur des comptes en erreur, puisque résiliés, et que Microsoft ne l’en empêche pas. On aurait pu compter sur l’un tout comme sur l’autre pour signifier ou remarquer que le compte mail était hors service, et en déduire alors qu’il fallait alors envisager de supprimer le compte Facebook associé. Mais non.
Si dans mon exemple ci-dessus, je n’ai traité que de Hotmail et de Facebook, en réalité, le problème est général, et concerne d’autres services liés directement, ou indirectement, à l’email.
En effet, comme me l’a fait remarquer un spécialiste de l’anti-spam, le même problème se rencontre aussi avec les noms de domaines abandonnés. En rachetant un nom de domaine jadis utilisé, qui est le quotidien des domainers (et ce marché est en plein essor), comme le nom d’une entreprise radiée (la radiation concerne la majorité des entreprises créées), la mise en place d’un compte catch all permet de récupérer tous les emails reçus, dont les emails de confirmation de demandes de renouvellement de mots de passes de tous les anciens usagers du domaine.
Dans le même genre, qu’advient-il des emails spécifiques à votre fournisseur d’accès à Internet (FAI) actuel ? Recycle-t-il ces adresses une fois que vous le quittez ? Dans ce cas, est-il prudent de créer de tels comptes, liés à un abonnement dont la durée est limitée ?
Si vous croyez le phénomène rare, détrompez vous. Pour l’un de mes tests de personnages virtuels, j’ai créé près de 100 comptes Hotmail, avec des noms et des comptes pris au hasard (pondérés suivant des statistiques d’usage, certes). Deux mois plus tard, 9 d’entre eux — soit près de 10 % ! — ont reçu, spontanément, sans aucune interaction de ma part, des messages automatiques de la part, en majorité, des réseaux sociaux Facebook et Badoo. Badoo est d’autant plus intéressant que, par défaut, il inclus un lien direct permettant d’y accéder à « son » compte sans identification préalable (et d’autres réseaux sociaux en font de même).
Il en résulte qu’il est prudent de ne jamais abandonner son adresse email, et au contraire la conserver à vie, côté utilisateur, et de compter sur d’autres moyens d’identification que l’email, côté fournisseur.
Ceci dit, la même problématique existe hors Internet. Ainsi, très peu d’abonnés téléphoniques demandent le portage de numéro lors du changement d’opérateur. Certes, en matière de numéros de téléphones, on en dispose sans doute moins chacun que d’adresses email, et on a tendance à les conserver plus longtemps. De même, il est utile de rappeler qu’en cas de déménagement, le suivi de courrier n’est pas automatique, pas plus qu’il n’est fait à vie. Aussi, si le nouvel occupant à l’ancienne adresse a conservé le nom de l’ancien occupant sur sa boîte aux lettres, il y recevra les nouveaux courriers à destination du précédent occupant. Ceci pour rappeler que la problématique ne se limite pas à Internet, et qu’elle n’est nullement apparue avec celui-ci. En revanche, elle y est peut-être moins connue et rencontrée plus fréquemment.
Qu’est-ce que tout ceci vous inspire ?
Crédit image : pxhere
Tout à fait d’accord, l’adresse mail devient centrale dans la sécurité de tous nos comptes…
On peut aussi citer l’exemple de la banque, car nous sommes de plus en plus nombreux à gérer nos comptes en ligne, et à titre perso, tous les sites que j’ai créé peuvent être pris en main par quelqu’un d’un peu malin qui parvient à s’introduire dans ma boîte mail… flippant !
Et surtout, surtout, ne JAMAIS utiliser le mail que vous refile votre FAI, dès que vous passerez chez quelqu’un d’autre (ou qu’il sera racheté, comme Club internet avec Neuf et tant d’autres…), vous perdrez messages, carnets d’adresses et tutti quanti.
Conclusion : choisissez une adresse que vous conservez à vie sur un site qui n’a pas de conditions aussi stupides qu’Hotmail et ses 90 jours d’inactivité et blindez la sécurité de votre mot de passe !
Oui, tout à fait d’accord, et de plus parfois certains identifiants sont l’adresse mail elle même ! Difficile à gérer tout cela en sécurité.
MA SOLUTION pour les adresses en tout cas : j’ai acheté le nom de domaine à mon nom, j’ai créé mon adresse mail personnalisée ( didier@mon_nom.fr), en plus c’est la frime, et je fais arriver sur mon compte gmail. Normalement je garderais à vie mon adresse personnalisée même si je change d’adresse associée au compte !
En effet, c’est assez inquiétant de savoir ce qui se passserait si nos courriels tombaient dans de mauvaises mains.
Les gens qui utilisent des comptes de fournisseurs Internet devraient faire très attention!
Haha en effet.
Je me souviens, quand j’étais en 6eme, au début d’MSN, j’avais créé avec ma soeur une adresse hotmail bidon. Et à notre grande surprise, en nous connectant à MSN Messenger, on avait déjà des contactes d’enregistrés, ceux de la personne qui avait l’adresse avant. Un de ses contacte, Zed (si tu me lis.. pardon :)), nous parle, se réjouissant de voir que, tabarnak, notre « machine » n’était plus « cassé ».
Depuis je me reconnecte régulièrement à mon compte hotmail..
ça marche aussi avec les nom de domaines expirés : il suffit juste de configurer le serveur imap du domaine en catch all (j’utilise postfixadmin), on reçoit quelques infos intéressantes ;) ……..et surtout une tonne de spam :o)
Effectivement, il est bon de rappeler les risques liés à tous ces alias que nous créons ! J’ai tendance à penser qu’un nom de domaine, à partir de l’instant où il est amené à recevoir des infos confidentielles, est pour la vie.
« On aurait pu compter sur l’un tout comme sur l’autre pour signifier ou remarquer que le compte mail était hors service »<< Facebook te signifie que ton compte mail est inactif quand c'est le cas, donc il y en a bien un des deux qui s'en soucie ;)
Bon article, en effet ce genre ce probleme peut nous arriver… le plus sur est de ne pas utiliser hotmail ou facebook :D
Sinon, ne serait-ce pas Badoo au lieu de Beboo ?
D’accord avec gjolly, il faut éviter de trop donner sa boite mail ou alors en utiliser certaines exprès pour les services qui poseraient problèmes.
Et surtout changer régulièrement les mots de passes !
Je tombe là dessus après une recherche en vain sur le Net pour récupérer… une adresse Hotmail supprimée après une inactivité trop longue…
Et bien, j’ai peut-être bien coché la case qui disait que j’avais lu alors que ce n’était pas le cas… Cela dit, vu la citation de la partie des CGU de Windows Live, j’en conclus que c’est dissimulé au fin fond d’autres choses et que Microsoft se garde bien de prévenir que le compte va être suspendu sous peu, puis supprimé… Je l’ai appris aujourd’hui… 90 jours, c’est une bonne blague. Les serveurs doivent être trop chers pour Microsoft alors il faut purger ^^
La solution de Didier est pas mal, je trouve, pour garantir une adresse unique, à condition de renouveler le nom de domaine à vie ^^
Cela dit, sur des services comme Windows Live (il y en a sans doute d’autres), l’utilisation d’une adresse spécifique (@hotmail.fr ou @live.fr) est obligatoire… Je ne me ferai plus avoir, promis :)
PS : je soumets ma réaction, mais je n’ai pas lu les CGU en vrai… il est 1h24 du matin… c’est grave ? ^^
@Ilena : Si ton adresse email est supprimée, tu peux toujours la re-créer à partir de zéro, et tant pis pour les archives perdues. Pour éviter de l’abandonner, note que tu peux utiliser ton logiciel de messagerie pour récupérer tes emails en POP ou IMAP (à vérifier lequel des deux protocoles est supporté par Hotmail). Tu peux même utiliser un webmail concurrent (au hasard : Gmail) pour aller y récupérer ton courrier Hotmail. Comme quoi, ce ne sont pas les solutions qui manquent. Certes, elles ne paraissent pas à la portée de tous.
Quant aux services Windows Live, sache que non, tu n’es pas obligée d’utiliser une adresse hotmail.fr ou live.fr pour les utiliser. Certes, c’est le choix le plus évident, mais non, ce n’est pas le seul. Tu dois en effet créer un compte Windows Live, identifié par une adresse email associée à un mot de passe, mais cette adresse email peut être n’importe quelle adresse, au hasard, une adresse Orange, Free, LaPoste.net, Gmail, Yahoo! ou AOL, avec un mot de passe spécifique à Windows Live. De même, tu peux t’inscrire à l’essentiel de services Google sans disposer d’adresse Gmail.
Martin tu souleves ici des pb de securité pertinents !
cela peut se produire involontairement, suite au vol ou la perte d’un ordinateur (casse, foudre etc …) et cela implique la prise de conscience de la perte de données et la logique de sauvegarde induite !
bref, passez au numérique c’est bien, l’assumer c’est encore mieux mais ces détails peu de personnes en ont consience !
C’est retwitter !
Mathieu
je voudrais s.v.p.recuperer mon e mail hotmail
si j’ai bien compris, le fait que je n’arrive plus à accéder à mon adresse hotmail mais que je puisse quand même me connecter à facebook (via cette adresse) c’est normal ?
ce qui est bizarre c’est que pour mon adresse mail c’est que même quand je demande le formulaire pour récupérer le fameux code mon adresse est introuvable!!!
des explications ?
merci
@han : Oui, c’est « normal », tout comme si tu avais déménagé sans en avertir ta banque, qui continuerait à t’envoyer des relevés de compte à ton ancienne adresse, à défaut de connaître la nouvelle.
Si un tiers re-crée ton ancienne adresse Hotmail, abandonnée, il pourra demander à Facebook de renouveler le mot de passe lié à ton compte. Un lien de confirmation de renouvellement arrivera à ton ancienne adresse, devenue la nouvelle adresse d’un inconnu, et il pourra réinitialiser ton mot de passe Facebook lui permettant de prendre la main sur ton compte Facebook.
C’est pareil avec ton adresse postale : si un nouvel individu emménage à ton ancienne adresse postale, et qu’il demande à ta banque de lui renvoyer une nouvelle carte bancaire, elle le fera, et le tiers pourra puiser dans ton compte en banque avec sa nouvelle carte bancaire reçue à ton ancienne adresse, abandonnée.
Je ne peux que te conseiller de : réactiver ton ancienne adresse en la re-créant, ou bien changer l’adresse email liée à ton compte Facebook de toute urgence, si cela est possible, sans avoir accès à ton ancienne adresse email (pas sûr).
à savoir, les fournisseurs de service mail y ont pensé depuis :
pour microsoft par exemple, j’imagine qu’ils ont mis en place une politique d’abandon fixée à plusieurs années :
par exemple, un @hotmail.com est disponible si le compte précédent n’a pas été utilisé depuis plus de cinq ans;
à savoir les @hotmail.fr utilisés ya encore quelques années ne sont plus disponibles à la création de compte.. les fournisseurs ont donc trouvé la parade en diversifiant par les noms de domaine avec un délai de plusieurs années pour éviter les abus
@[anonyme] : Tu te trompes. Comme décrit dans l’article, sur la base des CGU et des faits que j’ai pu vérifier, les adresses abandonnées sont bel et bien libérées au bout de trois à six mois d’inactivité, ce qui ouvre bien la voie aux abus (usurpation d’identité).
Petite remarque concernant l’exemple de l’adresse postale : en réalité, si le facteur ne trouve pas le nom sur les boites à une adresse donnée, il laisse le courrier SUR les boites.
En tout cas chez moi (Agen) et chez mon frère (Toulouse) ils font ça. Ce qui a valu à un ancien occupant de l’immeuble, qui avait oublié de changer son adresse auprès de sa banque, de recevoir sa nouvelle CB et le nouveau code (dans deux courriers séparés) SUR les boites aux lettres. Résultats : un petit malin a récupéré les deux courriers qui était donc en libre accès, et s’est joyeusement défoulé avec la CB dans des boutiques en ville… ><
au bout de combien de temps la boite mel de la poste se supprime si je ne l’utilise plus?
Dans les Conditions Générales d’Utilisation des services laposte.net, il est stipulé que :
Aussi, même lorsque le compte est supprimé, l’adresse email laposte.net reste réservée à vie à l’utilisateur initial du service.
Il est à noter qu’il y a un cas particulier de décès, où la suppression du compte intervient à l’initiative des ayants droits, au bout d’un an, laissant entendre que l’adresse email est de nouveau libérée pour d’autres usages :
Attention, toutefois ! La Poste se réserve le droit de modifier ces conditions à tout moment, à savoir que ce qui est vrai aujourd’hui ne le sera pas nécessairement demain :
Le conseil de l’article reste donc inchangé : il est vivement recommandé de conserver à vie toute adresse email détenue, en s’y connectant régulièrement, au moins une fois tous les trois mois, et ce, même si l’on souhaite l’abandonner définitivement.