Les responsables d’une liste de blocage de « service de messagerie jetable » ont décidé d’ajouter Firefox Relay à la liste, ce qui a bouleversé de nombreux utilisateurs du service.
Firefox Relay est un service de messagerie centré sur la confidentialité qui permet aux utilisateurs de protéger leurs véritables adresses e-mail et donc de limiter les spams.
Firefox Relay va entrer dans la liste de blocage des e-mails jetables
Lancé en novembre 2021, Firefox Relay a été créé dans le but d’aider les utilisateurs à protéger leur vie privée et à limiter la quantité de spams qui leur sont adressés.
Disponible en tant qu’offre gratuite et premium, le service masque la véritable adresse e-mail de l’utilisateur pour aider à protéger son identité en lui donnant un alias à utiliser.
Les services d’adresse e-mail jetable fonctionnent en fournissant aux utilisateurs une adresse e-mail intermédiaire temporaire qui « relaie » le courrier vers leur véritable boîte de réception.
Les utilisateurs qui s’inscrivent à Firefox Relay sont attribué une @*.mozmail.com alias de messagerie qui transfère leur courrier à leur adresse e-mail réelle.
Bien que les services de messagerie jetables puissent offrir aux utilisateurs la tranquillité d’esprit lorsqu’ils se connectent à des portails Wi-Fi gratuits qui nécessitent une adresse e-mail et des services avec une forte probabilité d’envoyer des e-mails marketing aux utilisateurs, ils peuvent également devenir une nuisance pour les fournisseurs de services.
Par exemple, les sites critiques fournissant des services de commerce électronique et de banque en ligne peuvent devenir vulnérables aux abus de la part d’acteurs malveillants s’ils autorisent l’utilisation d’e-mails jetables.
Par conséquent, les listes de blocage des domaines utilisés par les services de messagerie du graveur sont compilées et maintenues par des tiers.
Ceux-ci peuvent être consultés par les fournisseurs de services en ligne de temps à autre pour refuser l’ouverture d’un compte aux utilisateurs présentant une adresse e-mail jetable.
Comme le voit EZpublish-france.fr aujourd’hui, le liste, « disposable-email-domains » présent sur un référentiel GitHub du même nom contient des services de messagerie connus comme 10minutemail, GuerrillaMail, et Expéditeur.
A côté de ces domaines, relais.firefox.com a également été proposé pour ajout il y a quelques jours :
Il n’est pas clair qui tous ou combien de fournisseurs de services font référence à la liste des « domaines de messagerie jetables » lors de la vérification si une adresse e-mail fournie est un graveur.
Mais attention, nous n’avons pas vu *.mozmail.com domaines sur la liste pour l’instant : « mozmail.com » est le domaine fonctionnel utilisé par les alias de messagerie générés par Firefox Relay.
En novembre 2021, le chef d’équipe de Firefox Relay avait demandé le mainteneur d’une liste de diffusion distincte, « burner-email-providers » pour exempter le domaine particulier de la liste de blocage :
« Nous exploitons Relay avec un certain nombre de fonctionnalités qui, je pense, atténuent les risques que posent ces alias », a expliqué Luke Crouch, ingénieur en confidentialité et sécurité de Mozilla, en novembre.
Premièrement, si un @mozmail.com alias est désactivé par l’utilisateur, tous les e-mails envoyés à l’alias ne sont pas renvoyés mais rejetés avec un message d’erreur 404 renvoyé par le livre Web HTTP du service, a déclaré Crouch.
Deuxièmement, a-t-il expliqué, les protections anti-abus intégrées à Relay limitent les utilisateurs gratuits à un total de cinq alias, et limitent davantage les clients premium afin qu’ils ne puissent pas abuser du service en créant des alias jetables à grande échelle pour, par exemple, automatisé inscriptions aux services Web.
Avec ce raisonnement, mozmail.com a été rapidement supprimé de cette liste de blocage. Et il semble que les créateurs de « domaines de messagerie jetables » aient également honoré la clause, pour l’instant.
Les utilisateurs mécontents de la décision
La décision de proposer l’ajout du domaine principal de Firefox Relay à la liste noire des fournisseurs de messagerie jetables a laissé de nombreux utilisateurs confus et mécontents, incitant les responsables de la liste à verrouiller la discussion GitHub avant qu’il ne devienne « trop chaud ».
« Eh bien, bon cornichon. Pourquoi nous faites-vous cela à Firefox ? Entre autres choses, cela jette une clé dans le raisonnement original (pas vraiment solide) sur les niveaux de domaine de ici — donc cela casse notre CI même s’il est dans le bon ordre », a demandé le développeur de logiciels Martin Cech, qui est l’un des contributeurs au référentiel de la liste de blocage.
« Mon raisonnement sur l’inclusion de ceci est qu’un e-mail avec un domaine mozmail ne sera jamais un e-mail principal et sera toujours transféré vers une autre adresse », a répondu le co-responsable de la liste, Dustin Ingram, qui est également membre de l’équipe de sécurité open source de Google.
Mais, l’un des utilisateurs pseudonymes de GitHub, monde des oies a averti que de telles listes de blocage pourraient priver les utilisateurs de « l’une des rares défenses dont ils disposent » contre la fuite de leur adresse e-mail et des acteurs de la menace attendant d’inonder les boîtes aux lettres des utilisateurs de spam.
« Vous ne pouvez pas faire ça ? Vous ressemblez à des acteurs extrêmement mauvais. S’il vous plaît, ne contribuez pas à un Internet dangereux », a écrit monde des oies.
« J’utilise Private Relay pour protéger mon adresse e-mail personnelle, pas comme un outil pour le spam. Je ne sais même pas comment un utilisateur utiliserait Private Relay pour le spam, car les utilisateurs ne peuvent pas commencer les chaînes d’e-mails avec une adresse relais, ils ne répondent qu’aux e-mails livrés à ces adresses. »
Un autre utilisateur de GitHub exhorté que la décision de bloquer Firefox Relay soit reconsidérée car le service est l’une des garanties qui empêchent les adresses e-mail personnelles d’apparaître dans les violations de données et d’être spammées.
Fait intéressant, les services de messagerie axés sur la confidentialité tels que Fastmail permettent la création d’alias de messagerie réels et générés de manière aléatoire via leur domaine principal (c’est-à-dire @fastmail.com).
« Bonne chance pour bloquer les centaines de milliers d’utilisateurs de Fastmail en essayant de bloquer la minorité en utilisant des adresses masquées », contesté un commentateur de Hacker News.
Vu par EZpublish-france.fr, fastmail.com est présent sur le liste d’autorisation dans le dépôt « disposable-email-domains ».
Certains ont supposé qu’avec un effort supplémentaire, les acteurs malveillants pourraient tout aussi bien choisir d’abuser des fournisseurs de messagerie légitimes comme Gmail, plutôt que de se tourner vers un service comme Firefox Relay, rendant ainsi ces listes de blocage inutiles.
Et le fossé semble être sévère entre ceux qui se portent garant de l’efficacité de Firefox Relay et des services de messagerie jetables, et ceux qui ont la pénible tâche de maintenir des listes de blocage anti-spam.
« La raison pour laquelle les adresses e-mail jetables existent et sont populaires est que les services ont abusé de la confiance des utilisateurs pour ne pas utiliser ces e-mails pour des revenus publicitaires et des programmes de marketing louches », écrit un utilisateur sur Hacker News.
« Cela est encore aggravé par une sécurité de mauvaise qualité qui conduit à des fuites et à l’exposition des adresses e-mail personnelles des personnes à des listes compromises pwned. Les gens ne veulent pas abandonner leurs adresses e-mail personnelles afin qu’elles puissent être spammées ou piratées. ne me vendez pas pour pas cher) Je continuerai à utiliser la dernière adresse e-mail jetable pour m’inscrire à vos sites Web hostiles aux utilisateurs. »
La question de savoir si la confidentialité offerte par les services de relais de messagerie l’emporte sur les risques posés par leur abus reste un débat en cours.