Journal gmail is evil

Posté par  .
Étiquettes : aucune
-8
25
nov.
2011

Aujourd'hui en me connectant à mon compte gmail, j'ai eu la surprise d'avoir un compte bloqué dû à des activités suspectes [1].

Et pour le débloquer il faut donner un numéro de téléphone :
https://mail.google.com/support/bin/answer.py?answer=114129

Super, déjà aucun détail sur les activités suspectes (compte cracké ?).

Ensuite c'est super intrusif, on est obligé de donner son numéro de tel pour recevoir un sms ou un message vocal.

J'ai voulu donné le fixe du bureau, mais le numéro est refusé (pourtant dans le formulaire on peut choisir mobile ou fixe ...). Bref il faut forcément donner un numéro de mobile.

Une fois le compte débloqué, il faut mettre un nouveau mot de passe différent de l'ancien. Encore un moyen pour google d'enrichir sa base de donnée

Voilà, je sens que je vais regarder de plus près ce qu'offre gmx et voir si je peux migrer dessus.

PS : la page de recherche de google est de plus en plus bloated. Il faut de plus en plus activer le javascript pour que tout fonctionne (recherche image par exemple).

[1]
je n'ai pas l'air d'être le seul, sur le dernier mois google retourne
https://encrypted.google.com/search?q=gmail++suspicious+activities&btnG=Rechercher&hl=fr&tbo=1&gbv=1&prmdo=1&prmd=ivnsfd&source=lnt&tbs=qdr%3Am&sa=X&ei=IPXPTr_EGoe_8gONlqH6Dw&ved=0CBAQpwUoBA

  • # Aujourd'hui...

    Posté par  (site web personnel) . Évalué à 10.

    J'ai fermé mon compte google.

    Et depuis une semaine j'utilise seeks.

  • # C'est pas parce que c'est https://google que ça protège contre google.

    Posté par  . Évalué à 4. Dernière modification le 25 novembre 2011 à 22:37.

  • # regulierement...

    Posté par  . Évalué à 10.

    il me demande mon numero de telephone (pour des raisons de securité)

    en dessous, il y a un petit lien qui dit "pas maintenant" ou "passer"
    j'ai toujours fait ca
    et j'ai jamais eu de soucis.

    • [^] # Re: regulierement...

      Posté par  . Évalué à 3.

      Oui, mais pour avoir été confronté à la même situation dans ce cas c'est différent. Il n'y a pas de recours (ou alors je suis passé à côté).

      Pas de lien en bas de page, pas de case à cocher, pas de possibilité de se faire envoyer un code sur l'adresse secondaire donnée à l'inscription, et après test (parce que l'espoir, c'est cool) aucune réponse de l'assistance Google quand on utilise le formulaire de contact prévu pour : )

      • [^] # Re: regulierement...

        Posté par  (site web personnel) . Évalué à 2.

        Eh beh, ça doit pas être pratique, car la liste des pays dont ils acceptent le numéro de téléphone ne contient même pas tous les pays industrialisés : la dernière fois que j'ai vérifié (il y a moins d'une semaine), il n'était pas possible de mettre un numéro japonais.

        • [^] # Re: regulierement...

          Posté par  . Évalué à 10.

          Le japon n'est plus industrialisé, il est maintenant à l'âge de pierre, au moyen-âge ou dans la préhistoire (au choix), car il a arrêté du jour au lendemain plus de 10% de ses réacteurs nucléaires, et c'est ce que promettent tous les partis qui critiquent EELV sur le plan du nucléaire.

          Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.

      • [^] # Re: regulierement...

        Posté par  (site web personnel) . Évalué à -1.

        Pour mémoire, il y'a un moyen de bypasser de donner le numéro de téléphone, vu que ça m'ait déjà arrivé. Mais l'utilité de mon commentaire va s'arrêter là, vu que je serai bien incapable de te donner la procédure que j'ai suivi (mais ce n'était pas direct depuis gmail).

  • # IPs ayant consulté ton compte

    Posté par  . Évalué à 10. Dernière modification le 25 novembre 2011 à 22:58.

    (compte cracké ?).

    En bas de la page de gmail, il y a un lien « dernière activité sur le compte » qui te donnera la liste des 10 dernières IP qui y ont accédé. Si ça peut t'aider...

  • # Et ?

    Posté par  (site web personnel) . Évalué à 10.

    J'ai l'impression que ce que tu n'apprécies pas, c'est que Google soient aux commandes. Mais pourtant, c'est normal et inévitable : lorsque tu sous-traites un service, c'est ton fournisseur qui a tout pouvoir sur ce service.

    Le seul moyen d'éviter ce genre de truc, ma foi, c'est de ne pas sous-traiter, tout simplement.

    • [^] # Re: Et ?

      Posté par  . Évalué à 0.

      Au niveau du mail ça reste compliqué : les serveurs SMTP nous mettent facilement en spam (tous les FAIs ne fournissent une ip fixe et son reverse DNS ... mauvais FAI → changer de FAI, mais donc, c'est vite compliqué).

      • [^] # Re: Et ?

        Posté par  (site web personnel) . Évalué à 10.

        Dans ce cas, tu peux louer un serveur ( dedibox, lost oasis, gandi, ovh , y a le choix ). Tu as ton ip et le reverse. C'est plus cher que Google, c'est vrai. Ou plutôt, le cout n'est pas aussi caché que celui de Google.

        • [^] # Re: Et ?

          Posté par  . Évalué à 8.

          moi j'autohéberge un postfix + bind9 + amavis + spamassassin sur ma connexion adsl free (en attendant de passer à fdn...) free propose de quoi paramétrer un reverse DNS, une ip statique ipv4 et une floppée d'ipv6.
          L'étape suivante consiste à débloquer son ip de la PBL http://www.spamhaus.org/pbl/ (ip blacklisté par défaut, ip domestique oblige).
          Un soupçon de configuration postfix plus tard, on a un smtp robuste qu'on peut lâcher dans la nature et assurer le transport des mails du wan vers mon disque (et vice versa)

          Je suis en phase préliminaire de fermeture de mon compte gmail, que je vais garder un temps juste pour les correspondances professionnelles que j'ai en cours.

          envoyé depuis mon clavier bépo

          • [^] # Re: Et ?

            Posté par  . Évalué à 6.

            ip domestique oblige

            Je croyais que toutes les adresses ip d'internet étaient « égales ». Qu'il n'y avait donc pas d'ip plus « domestiques » que d'autres.

            • [^] # Re: Et ?

              Posté par  . Évalué à 3.

              Ben, pas pour les serveurs de courriels : il y a tellement de SPAM envoyé depuis des IP d'abonnés qui ne pensent pas avoir de serveur de mail, qu'elles sont visiblement systématiquement bloquées.

              C'est un peu bête pour Free, puisqu'il bloque le port 25 par défaut pour s'assurer que c'est volontaire qu'on envoie des courriels.

              ⚓ À g'Auch TOUTE! http://afdgauch.online.fr

              • [^] # Re: Et ?

                Posté par  . Évalué à 4.

                C'est un peu bête pour Free, puisqu'il bloque le port 25 par défaut pour s'assurer que c'est volontaire qu'on envoie des courriels.

                Ça c'est pas le plus grave: le déblocage est immédiat, gratuit, sans justificatif. Juste une case à décocher. Comme chez Bouygues.

                Ce que fait Orange est bien plus merdique: faut payer pour débloquer.

                Le problème, avec Free, c'est plutôt qu'ils ont déclaré toutes leurs IP résidentielles comme spammeuses sur une RBL.

                THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

                • [^] # Re: Et ?

                  Posté par  (site web personnel, Mastodon) . Évalué à 2. Dernière modification le 28 novembre 2011 à 08:42.

                  Le problème, avec Free, c'est plutôt qu'ils ont déclaré toutes leurs IP résidentielles comme spammeuses sur une RBL.

                  Certes mais il me semble Free accepte que l'on utilise ses serveurs comme relais tout pendant que l'on est connecté chez eux.
                  D'ailleurs, je dis "il me semble" mais si c'était pas le cas, je comprendrais pas bien comme mon Sendmail arrive à envoyer des courriers, qui plus est, sous une identité qui n'est pas en @free.fr.
                  Après, pour ce qui est de l'IP et du nom de domaine, j'utilise Dyn depuis maintenant quelques années avec beaucoup satisfaction.

                  • [^] # Re: Et ?

                    Posté par  . Évalué à 3.

                    Certes mais il me semble Free accepte que l'on utilise ses serveurs comme relais tout pendant que l'on est connecté chez eux.

                    Oui, mais le nombre d'e-mails est limité par jour.

                    J'ai connu quelqu'un qui atteignait parfois la limite (uniquement avec des mails légitimes je précise). Free a une politique pour le moins curieuse de gestion des mails, tant en sortie qu'en entrée de chez eux.

                    THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

                • [^] # Re: Et ?

                  Posté par  . Évalué à 6.

                  Il me semble qu'ils ont juste déclaré leurs IPs résidentielles comme résidentielles. Le problème, c'est que certains utilisent les listes d'adresses résidentielles comme des RBL "normales".

                  • [^] # Re: Et ?

                    Posté par  (site web personnel) . Évalué à 6.

                    Pas tout à fait. L'histoire exacte, c'était plutôt Trend Micro qui leur avaient demandé :
                    — Indiquez-nous vos plages d'adresses ADSL pour qu'on les mette dans notre listes d'adresses à allocation dynamique.
                    — Pas question, ce sont des adresses statiques, elles n'ont rien à faire sur votre liste.
                    — Indiquez-nous ces plages sinon ce sont vos serveurs à vous qu'on va mettre sur notre liste.
                    — Bon, ben… voilà la liste, sales maîtres chanteurs.

                    Ce qu'il en ressort, c'est que les listes MAPS, qui étaient sérieuses à une époque, se sont dégradées depuis qu'elles ont été reprises par Trend Micro. Elles contiennent aujourd'hui des informations fausses — des adresses statiques dans une liste censée contenir des adresses dynamiques —, ces erreurs étant en outre volontaires de la part de Trend Micro. Par ailleurs, ils se comportent de façon assez peu recommandable.

                    Mais cela a peu d'importance, dans la mesure ou ces listes sont maintenant connues pour être de mauvaise qualité, et sont donc de moins en moins utilisées.

                    • [^] # Re: Et ?

                      Posté par  . Évalué à 2.

                      C'est d'autant plus crétin qu'avec des IP statiques, c'est très facile de blacklister les spammeurs de façon unitaire sans emmerder tout un sous-réseau.

                      THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

            • [^] # Re: Et ?

              Posté par  (site web personnel) . Évalué à 3.

              Un truc qui est arrivé récemment: OVH a commencé son offre ADSL. Les plages IP pour l'ADSL étaient les même que pour l'hébergement, et avaient été bannies par certains services pour spam (ex: Youtube). Ils ont dû obtenir du RIPE une nouvelle plage.

              http://travaux.ovh.net/?do=details&id=5898

        • [^] # Re: Et ?

          Posté par  . Évalué à 3.

          J'ai choisi la solution Sud-Ouest.org, et j'en suis très content depuis plusieurs mois.

      • [^] # Re: Et ?

        Posté par  . Évalué à 2.

        Pour ma part, j'ai pris un nom de domaine chez Gandi, ils vous filent une boite mail (10 adresses et 1G)
        Ca fait une boite mail correct pour 10€ par an.

      • [^] # Re: Et ?

        Posté par  (site web personnel) . Évalué à 6.

        Pour éviter d'être classer comme spammeur, tu peux utiliser le serveur SMTP de ton FAI comme relai.

        Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

        • [^] # Re: Et ?

          Posté par  (site web personnel) . Évalué à 3.

          C'est une solution mais elle a des inconvénients :
          — on est soumis aux restrictions arbitraires du relais SMTP, par exemple en nombre de messages par jour ;
          — cela empêche de publier une politique SPF censée.

          • [^] # Re: Et ?

            Posté par  (site web personnel) . Évalué à 2.

            on est soumis aux restrictions arbitraires du relais SMTP, par exemple en nombre de messages par jour

            Oui, malheureusement on est toujours dépendant du FAI :-(

            cela empêche de publier une politique SPF censée

            Et c'est grave docteur?

            Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

    • [^] # Re: Et ?

      Posté par  . Évalué à -2.

      «Don't be evil», ça ne se traduirait pas par «Fais pas le malin» ?.
      Fallait s'y attendre.

      Sinon, même remarque, je ne sais pas dans quel cadre, mais google m'a déjà demandé un numéro de tel, mais y'avait une case pour passer outre... (comme signalé ci-dessus).
      Du hameçonnage quoi, google essaie d'obtenir des infos (enfin, encore plus, dans le cas présent) en partant que sur un malentendu, ça peut marcher.
      Vont peut-être tester le n° de CB au cas où.

  • # Pas clair

    Posté par  . Évalué à 9.

    _Une fois le compte débloqué, il faut mettre un nouveau mot de passe différent de l'ancien. Encore un moyen pour google d'enrichir sa base de donnée
    _

    Kesketuveuxdireparlà? C'est quoi le problème?

    Je trolle dès quand ça parle business, sécurité et sciences sociales

    • [^] # Re: Pas clair

      Posté par  (site web personnel) . Évalué à 4.

      Il doit supposer que Google veut avoir une base de données de couples mail - mot de passe, qui pourrait un jour servir à accéder au compte de n'importe qui sur un service non lié à Google.

      Commentaire sous licence LPRAB - http://sam.zoy.org/lprab/

      • [^] # Re: Pas clair

        Posté par  (site web personnel) . Évalué à 10.

        J'aurais plutôt pensé que c'était une raison de sécurité : Si le compte a été piraté, le mot de passe a peut être été trouvé par un vil pirate. Mais c'est clair que la théorie du complot est plus sympa.

        • [^] # Re: Pas clair

          Posté par  . Évalué à 3.

          D'un autre coté, si un pirate a trouvé le mot de passe d'un compte, et a eut le temps de se connecter dessus pour "faire des activités suspectes", il a aussi eut le temps de changer le téléphone mobile de contact ... Et que si le numéro de téléphone est demandé après les activités suspectes (comme dit dans le journal), comment dire ... C'est encore moins utile ? (sauf algorithme de détection que tu t'est connecté depuis la Chine alors que d'habitude c'est depuis la France, et ne demander le numéro que sur les adresses IP venant de France, par exemple).

          • [^] # Re: Pas clair

            Posté par  . Évalué à 5.

            C'est surtout que le pirate (doit faire) fait ça de manière industrielle automatisée et va (sans doute) pas se faire chier pour un seul compte.

          • [^] # Re: Pas clair

            Posté par  . Évalué à 2.

            je ne sais pas si c'est fait comme cela, mais généralement je me connecte à mon compte google à partir de points relativement fixes (chez moi, au boulot, chez mes parents)

            Il est tout à fait possible pour google de faire le rapprochement, et demander le téléphone qu'à partir d'un des lieux traditionnellement utilisés.

            Il ne faut pas décorner les boeufs avant d'avoir semé le vent

            • [^] # Re: Pas clair

              Posté par  (site web personnel) . Évalué à 1.

              D'ailleurs, si tu te connecte d'ailleurs (en utilisant Tor par exemple), Google va te gronder et te demander ta question de sécurité. Ou alors il va te demander de quelle ville tu te connecte d'habitude.

              Donc, oui, Google sait en permanence d'où tu te connectes.

              • [^] # Re: Pas clair

                Posté par  (site web personnel) . Évalué à 5.

                Donc, oui, Google sait en permanence d'où tu te connectes.

                Paraît même qu'un certain Apache, par exemple, peut écrire dans un fichier de journal les adresses IP d'où il reçoit les requêtes.

      • [^] # Re: Pas clair

        Posté par  . Évalué à 2.

        J'ai compris l'article comme « Google veux avoir une base de données email et numéro de téléphone », plus que mot de passe.

        • [^] # Re: Pas clair

          Posté par  . Évalué à -9.

          Je pense qu'ils ont deja la base de donnees d'email.
          'fin je dis ca, je me trompe peut etre.

          :-)

          If you can find a host for me that has a friendly parrot, I will be very very glad. If you can find someone who has a friendly parrot I can visit with, that will be nice too.

          • [^] # Re: Pas clair

            Posté par  . Évalué à 4.

            Avoir une "liste d'emails et téléphones" (i.e. de couples "email+téléphone"), ce n'est pas du tout la même chose qu'avoir une liste d'emails et une liste de téléphones.

  • # lopin compris

    Posté par  . Évalué à 4.

    Google te demande si tu veux "sécuriser" ton accès, tu peux répondre oui ou non.
    Personnellement, je suis content que mon fournisseur de service mail me propose
    de détecter l'accès à ma boite depuis des IPs suspectes. Il faut comparer avec les
    services équivalents sinon tu peux t'en passer et héberger ton serveur de mail chez toi.

  • # Ce contenu est : inutile bien sûr !

    Posté par  . Évalué à 1.

    Encore un Nième utilisateur qui se plaint qu'un service gratuit (vivant de la pub) lui demande des informations supplémentaires. Si tu veux être tranquille, paie.

    • [^] # Re: Ce contenu est : inutile bien sûr !

      Posté par  . Évalué à 10.

      Le fait de payer fait magiquement devenir le prestataire vertueux ?
      Parce que je paye la Lyonnaise des Eaux, et ça ne les a pas empêchés de vendre mon numéro de téléphone et mon adresse postale. C'est une boîte de merde (La Lyonnaise), payant ou pas, point. C'est kif-kif pour les autres boîtes de merde.

      Reste à savoir si Google est une boîte de merde. À première vue je dirais non, mais ça n'engage que moi (j'utilise uniquement le moteur de recherche).

    • [^] # Re: Ce contenu est : inutile bien sûr !

      Posté par  . Évalué à 2.

      Surtout que dans ce cas c'est pour une question de sécurisation. Pour avoir vu pas mal de gens se faire hacker leur compte (le compte est ensuite utilisé pour du phishing ciblé), tu es bien content quand tu as mis le telephone... Sinon c'est beaucoup, beaucoup plus galère.

  • # ça me rappelle un vieux Geek & Poke

    Posté par  . Évalué à 5.

    http://imgur.com/gallery/WiOMq

    Bref : si c'est pas toi qui payes alors tu n'es pas le client, mais le produit.

    Accepter et utiliser OR quitter et payer ailleurs : That is the question

    • [^] # Re: ça me rappelle un vieux Geek & Poke

      Posté par  . Évalué à -10.

      Perso cette citation me gave un peu. Je ne pense pas que chez Google l'utilisateur soit un produit (ils ne vendent pas des profils de gens).
      Ce qu'ils "vendent" c'est du temps d'attention et un espace publicitaire (comme la télé ou les journaux).

      • [^] # Re: ça me rappelle un vieux Geek & Poke

        Posté par  (site web personnel, Mastodon) . Évalué à 6.

        Ce qu'ils "vendent" c'est du temps d'attention et un espace publicitaire (comme la télé ou les journaux).

        Les guillemets autour de "vendent" sont en trop : c'est exactement ça qu'ils vendent. Les utilisateurs ne sont pas le produit, mais ils sont "une partie du produit". Une partie fondamentale et à haute valeur ajoutée dans la mesure où le produit n'existerait pas sans l'utilisateur.

        #tracim pour la collaboration d'équipe __ #galae pour la messagerie email __ dirigeant @ algoo

      • [^] # Re: ça me rappelle un vieux Geek & Poke

        Posté par  . Évalué à 3.

        Ils font de la publicité ciblée, ils ne vendent pas directement le profil mais l'utilise pour fournir leur service. Ils vendent donc son utilisation.

        « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

    • [^] # Re: ça me rappelle un vieux Geek & Poke

      Posté par  . Évalué à 3.

      Accepter et utiliser OR quitter et payer ailleurs : That is the question

      Tu peux aussi rester et payer (les comptes apps peuvent désactiver la publicité).

      • [^] # Re: ça me rappelle un vieux Geek & Poke

        Posté par  . Évalué à 2.

        Je me demande si, dans ce cas, ils s'abstiennent de collecter les données. M'est avis que non :]

        THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

  • # Mon numéro de téléphone

    Posté par  . Évalué à 0.

    Euh, une question comme ça : quels sont les problèmes auxquels je m'expose en donnant mon numéro à Google?

    • ils vont faire du profiling en recoupant d'autres données liées à ce numéro, comme ils pourraient le faire avec mon IP? Vu la fréquence à laquelle je le donne, ça risque d'être un peu limité...

    • ils pourraient le donner à l'état français qui va me mettre sur écoute. Je ne crois pas qu'ils aient besoin de Google pour le faire.

    • ils ont un accord secret avec sfr/orange/bouygues/xxx pour analyser mes conversations et deviner ma marque de boîte de sardine préférée pour faire de la pub ciblée. Un peu gros, non?

    • ils vont le filer à la NSA qui pourra écouter mes appels en cas de roaming aux US? ou même en France grâce à échelon? La première possibilité, pourquoi pas, mais bon c'est quand même un peu compliqué vu le temps que j'y passe, et la seconde me parait aussi un peu gros.

    • ils vont me spammer par SMS. Même si certaines boites font ça (j'ai eu le problème avec la fnac et speedy, renvoyer un "stop" semble avoir été efficace), je ne vois pas trop google faire ça, et si ils le feraient ils utiliseraient plutôt ma boîte mail.

    Par contre, comme moyen pour réinitialiser mon compte je trouve ça plutôt efficace. D'ailleurs, même si je n'ai jamais vu ça chez Google, je reçois un paquet de spam de copains qui se sont fait pirater leur compte yahoo... et vu la fréquence, j'ai plus tendance à penser que ce sont des serveurs yahoo qui se sont fait pirater que les PC des types en question.

  • # Ne pas se tromper de combat

    Posté par  . Évalué à 4.

    Beaucoup de gens râlent contre gmail, caylemâl, toussa...

    Il me semble que le plus important, c'est d'être indépendant de son fournisseur. Donc concrètement, d'avoir son propre nom de domaine, et d'héberger des mails chez le fournisseur de son choix.

    Moi j'héberge mes mails chez Google, j'ai ainsi une adresse prenom@nom.fr, consultable avec gmail. Je peux quitter gmail quand je veux, et héberger mon adresse chez un concurrent ou dans mon garage.

    Un nom de domaine en .fr/com/net/org/eu/info/... ça coûte environ 7€, et avec l'hébergement gratuit d'au moins une adresse. Pas de connaissances techniques nécessaires.

    Héberger ses mails chez gmail avec son propre domaine, c'est gratuit jusqu'à 10 adresses. Un peu d'aisance technique nécessaire, mais les guides officiels sont très bien faits, et on trouve un tas de tutoriels sur le net.

    Et héberger ses mails chez un concurrent, ça coûte de 0 à 30€ environ, nécessitant pas ou peu de compétences techniques.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.