Changer de fournisseur de messagerie à l'ère du 2FA

illustrations illustrations illustrations illustrations illustrations illustrations illustrations

Publié le 10 mars 2022 par Andrew Owen (5 minutes)

post-thumb

Changer de fournisseur d’accès à la messagerie électronique, c’est simple, non? C’est faux. Après la semaine que j’ai vécue, je pense qu’il y a un argument en faveur de la possibilité de transférer son adresse électronique vers un autre fournisseur, tout comme on peut le faire avec un numéro de téléphone portable. Bien sûr, il existe des obstacles techniques. Mais j’entrevois un avenir où votre adresse électronique vous est propre et n’est pas du tout liée au domaine du fournisseur de services. Ou peut-être que nous utiliserons tous un lecteur d’ADN pour nous connecter.

Si vous avez déjà dû changer de numéro de téléphone portable, vous savez que cela peut être pénible. Mais comme de nombreux sites web utilisent désormais le courrier électronique pour l’authentification à deux facteurs, si vous deviez perdre l’accès à votre courrier électronique, quelle serait la gravité de la situation?

J’espère que vous ne vous retrouverez jamais dans la situation dans laquelle je me suis retrouvé. J’avais plus de 200 comptes en ligne liés à mon adresse électronique principale, et il y avait un risque crédible que je ne puisse plus accéder à mon courrier électronique à partir de la fin de la semaine. Même si je pouvais toujours accéder à mes comptes, si je devais réinitialiser mon mot de passe pour l’un d’entre eux, je n’aurais pas eu de chance.

Avec l’augmentation de la cybercriminalité (j’ai reçu un courriel d’extorsion que j’ai retracé jusqu’à un cluster Azure aux États-Unis pendant que je faisais la mise à jour), l’authentification à deux facteurs est devenue la norme. Pour les comptes plus anciens pour lesquels ils n’ont pas votre numéro de téléphone portable, ils se rabattent sur l’utilisation de votre adresse électronique. Ainsi, en cas de problème avec votre compte, par exemple s’il est désactivé parce qu’il n’a pas été utilisé, vous devrez avoir accès à votre adresse électronique pour le réactiver. Vous devez donc vous assurer que votre fournisseur de messagerie ne va pas disparaître. Ce que j’aurais dû faire, c’est mettre en place une redirection de courrier à partir d’un domaine dont je possède les droits. Mais cela m’aurait pris plus de temps et j’avais une date butoir qui approchait.

Mes amis ont été surpris par le nombre de comptes que j’ai dû modifier, mais je pense qu’il y a deux raisons à cela. Premièrement, j’ai enregistré presque tous les comptes avant que l’authentification unique ne soit disponible pour des services tels que Facebook et Google. Deuxièmement, j’utilise un gestionnaire de mots de passe depuis près de dix ans, et je dispose donc d’une liste complète de tous les sites auxquels je suis inscrit. Je pense qu’il n’est pas rare que les gens aient autant de comptes, c’est simplement qu’ils les ont oubliés et que leurs informations personnelles identifiables attendent d’être récoltées.

Le courrier électronique étant désormais couramment utilisé pour l’authentification à deux facteurs, la plupart des sites rendent difficile, voire impossible, le changement d’adresse électronique. C’est particulièrement vrai pour les institutions financières. J’ai donc passé beaucoup de temps à appeler le service clientèle. Je suis heureux de dire que chaque personne à qui j’ai eu affaire m’a vraiment aidé.

Outre tous les comptes en ligne, j’ai également dû m’occuper d’un grand nombre d’abonnements à des listes de diffusion. Comme j’ai rarement le temps de lire tous les courriels que je reçois, je me suis désabonné, à l’exception d’une ou deux listes importantes pour moi. En tout et pour tout, je pense qu’il m’a fallu environ 32 heures pour tout régler. Mais le bon côté des choses, c’est que tous mes détails sont maintenant à jour sur chaque site, et que j’ai pu me débarrasser d’une vingtaine de sites morts de ma liste.

Ce qui a accéléré les choses, c’est que je n’ai pas eu à télécharger 23 ans d’e-mails, car j’avais déjà installé un serveur de messagerie Roundcube sur mon disque NAS qui met automatiquement mes e-mails hors ligne (et qui est sauvegardé dans un espace de stockage local et distant sécurisé). La morale de l’histoire est la suivante: avant de donner un nom à votre enfant, réfléchissez à l’adresse électronique qu’il devrait avoir, puis enregistrez-la auprès d’un fournisseur dont vous pensez qu’il existera encore dans 100 ans.

Réflexion après coup

Il se trouve que ce n’est pas la Russie qui m’a coupé de mon fournisseur de courrier électronique, mais mon propre fournisseur d’accès. Heureusement, je peux toujours accéder à mon compte en utilisant mon téléphone portable en 4G. C’était important, car je n’avais pas enregistré tous les comptes dans mon gestionnaire de mots de passe. Plus tard dans l’année, le service de gestion de mots de passe que j’utilisais a été victime d’une intrusion et de nombreuses personnes l’ont abandonné. La leçon à en tirer est qu’il ne faut pas utiliser de mots de passe faibles, en particulier ceux qui contiennent des mots du dictionnaire ou des substituts, pour votre mot de passe principal. Et ne pas réutiliser les mots de passe. Personnellement, je préfère utiliser un service de gestion de mots de passe qui est franc lorsqu’il y a une intrusion plutôt qu’un service qui prétend n’avoir jamais eu d’intrusion.