#badoo

Martin PUBLIC DOMAIN 5/07/2011

Oh purée, j’ai vu un de ces trucs à l’instant. N’abandonnez jamais un compte mail Hotmail. Conservez-le à vie. Sinon, un petit malin pourra usurper votre identité.

Hotmail efface les compte qui ne sont pas utilisés plus de 3 mois, il me semble (à vérifier). Ensuite, ces comptes sont de nouveau libres aux enregistrements de nouveaux utilisateurs au bout de 6 mois (à vérifier).

Or, si ce compte a été utilisé par ailleurs pour gérer des comptes (réseaux sociaux et autres services web, genre mail secondaire), on a de fait accès à l’ensemble des autres comptes, puisqu’il suffit alors de demander le renouvellement d’un « mot de passe oublié » sur ces autres services.

Ce n’est pas de la science fiction. J’ai créé un compte Hotmail récemment qui, un jour, a commencé à recevoir des emails de Badoo. (Comme quoi, Badoo se moque de savoir que le compte mail est inactif, il continue. Et Hotmail le laisse faire.) Hasard complet, on a choisi le même nom de compte, et il avait été libéré par son ancien propriétaire. Et évidemment, j’ai pu accéder au compte Badoo de cet ancien propriétaire, soit par liens directs des emails, soit par renouvellement de mot de passe. J’ai évidemment immédiatement vidé, et effacé le compte, manifestement abandonné, lui aussi.

En fait, je soupçonne un individu mal intentionné d’avoir créé ces deux comptes dans le but de nuire à la réputation de sa victime dont il a usurpé l’identité. En effet, on utilise rarement sa véritable identité, quand on est une jeune femme de 21 ans bien élevée et que l’on s’annonce à tous comme en « recherche d’un mec pour baiser ce soir ». (Quoi que, je suis peut-être vieux jeu ?)

#avatar #usurpation_identité #diffamation #hotmail #badoo #sécurité #abandon #eréputation #douteux

Martin PUBLIC DOMAIN

Monolecte 😷🤬 @monolecte CC BY-NC-SA 5/07/2011

Tu vis à l’étranger ou t’es insomniaque?

Monolecte 😷🤬 @monolecte CC BY-NC-SA
L’atelier - médias libres @ateliermediaslibres 5/07/2011

J’ai pas tout compris mais il serait intéressant de confirmer ce que tu dis sur l’usage des comptes chez hotmail, en terme de destruction / réattribution. D’autant plus qu’on a pas mal de soucis de sécu ces derniers temps avec hotmail et qu’on incite les gens à ne plus l’utiliser. Si c’est pour que tous leurs comptes de réseaux sociaux soient accessibles, ça craint.

L’atelier - médias libres @ateliermediaslibres
wklinger @wklinger 5/07/2011

Et la même chose est vraie lorsqu’un nom de domaine est abandonné : j’ai repris un domaine en 2003, et configuré l’email à l’époque en catchall : je recevais des mails perso/pro de tous les salariés de cette boite, y compris la possibilité de récupérer des mots de passe !

wklinger @wklinger
Martin @martin PUBLIC DOMAIN 5/07/2011

@monolecte Je suis insomniaque (à moins que la Bretagne ne soit considérée comme un pays étranger, ça se discute, hi hi).
@ateliermediaslibres En poursuivant mes investigations sur près de 100 comptes Hotmail créés de la même manière, j’ai constaté environ 9 comptes qui présentaient le même souci : ils avaient été créés par des gens qui les ont abandonnés, suite à quoi Hotmail les a effacés, puis réattribués. Pour les délais exacts avant réattribution, il faudrait lire les CGU du service. À noter que l’un de ces comptes a reçu plusieurs mails de PayPal (mails a priori originaux), puis d’une banque (pas sûr qu’il soit original, peut-être un message de hameçonnage), l’alertant du piratage de ses moyens de paiement.
@wklinger Tu as parfaitement raison. J’ai un domaine comme cela d’un plugin WordPress qui, par défaut, crée des comptes WordPress sur un blog WordPress utilisant ce domaine-là précisément. J’avais d’ailleurs acheté ce domaine — libre — pour sécurisé mes sites WordPress. Un essai — sur l’un de mes propres sites — m’a permis de constater que je pouvais bel et bien renouveler — recevoir — le mot de passe de quelque 100.000 comptes WordPress tiers.

Martin @martin PUBLIC DOMAIN
Monolecte 😷🤬 @monolecte CC BY-NC-SA 5/07/2011

@martin : ça craint du boudin ton histoire. Va falloir faire circuler.
Complément d’information : ça marche avec d’autres services mail, comme google, par exemple ? Parce que quand tu vois le niveau d’interconnexion des outils google, ça peut être très dangereux.

Monolecte 😷🤬 @monolecte CC BY-NC-SA
Martin @martin PUBLIC DOMAIN 6/07/2011

@monolecte J’ignore la politique de Google, et en particulier de Gmail (dont découle l’URL de Google Profile et a priori aussi de Google Plus) en matière de recyclage des comptes mail. Hotmail permet le recyclage. Pour les autres services, c’est au cas par cas.
Globalement, cela signifie qu’il est prudent de ne pas effacer un compte, et de ne pas le laisser s’effacer tout seul pour cause d’abandon. Cela concerne notamment les plateformes de blogs. La plupart bloquent la création de comptes homonymes (en termes d’URL) de ceux préalablement fermés, mais ce n’est pas le cas de tous les sites et réseaux sociaux.
Pour ce qui est des noms de domaines, comme le fait remarquer @wklinker, il faut savoir que ceux-ci sont rachetés automatiquement par des « domainers », et qu’une fois aux mains des tiers, tous les emails à leur destination nouvellement reçus peuvent être interceptés, ce qui donne de fait accès à tous les emails de renouvellement de mot de passe des comptes tiers associés à ces adresses.
L’adresse email s’avère donc être un maillon faible de la sécurité sur Internet...

Martin @martin PUBLIC DOMAIN

Écrire un commentaire