Ce blog à pour but d'illustrer les différentes façon de camoufler ou cacher son adresse email de sorte à échapper aux spammeurs et leurs courriels publicitaires non sollicités. Il existe des service trés facile à utiliser, gratuit, permettant de recevoir des mails sans avoir besoin de créer de boite aux lettres. Les utilisations sont multiples, mais la principale est celle qui permet de récupérer un mot de passe pour s'enregistrer sur un site, un forum, un site de service, etc.

01 octobre 2006

Exemple : pétition en ligne

Exemple d'utilisation d'une boite temporaire : vous désirez signer la pétition de pour que France5 remette en ligne la version complète et non montée de l'émission Arrèt sur images.

Vous vous rendez donc sur le site de la pétition : http://petitionasi.free.fr/petitions/index.php?petition=1
et vous la signez.

On vous demande votre adresse email pour confirmer : c'est le moment de faire appel à une boite temporaire. Mailinator ou dodgeit feront l'affaire. Vous recevrez le mail de confirmation dans la minute, avec un lien à cliquer pour confirmer votre signature.

25 septembre 2006

Avoir son coffre fort pour ranger ses données

Plusieurs adresses emails, donc autant de mots de passes, plus ceux pour vos services en ligne, forums divers, inscriptions à des mailing lists...

Comment ce souvenir de tout ça ?

Précision : ceux qui pensent avoir résolu le problème en choisissant le même mot de passe pour tout (ou presque) sont dans la même situation que l'autruche qui se colle la tête dans le sable pour être en sécurité. En d'autre termes, c'est probablement la pire des solution (après le mot de passe sur un postit collé sous le clavier).

La bonne solution est d'avoir un mot de passe par service, et de les stocker dans un coffre "inviolable".

Inviolable signifie que la base des mots de passe est fortement cryptée (SHA256 + AES), donc si elle tomber entre de mauvaise mains, elles ne pourront rien faire. Évidement cela implique d'avoir un mot de passe long et compliqué. Si celui ci est "Josiane" la base est craquable assez rapidement avec une attaque type dictionnaire. Si celle ci est "Je n'aime pas la belledeuche de Josiane", c'est certes plus long à taper, mais c'est introuvable.
Évidement : ne perdez pas ce mot de passe, autrement vous êtes foutu.

Je stocke ma base de compte/mots de passe sur une clef USB, avec copie sur le disque dur.

Le programme dont je me serts est libre et gratuit, il s'agit de KeePass (http://keepass.sourceforge.net).

Il existe en français, il est trivial à utiliser : créer une base, associez un mot de passe, rentrez vos clefs. La fenètre de base de KeePass (en anglais, désolé) ressemble à ça :


Première chose à faire, créer une nouvelle base (en cliquant sur la première icône), et rentrer un mot de passe :


KeePass peut créer un mot de passe lui même, mais alors pour s'en souvenir, ça risque d'être coton (exemple : Y13N2GywWVZfteZ9). Il ne reste plus qu'a créer des clefs :



Voila la fenêtre principale laissant apparaitre l'enregistrement de la nouvelle clef :

23 septembre 2006

Site français d'adresse temporaire

Je les cite pour être exhaustif, mais je ne les recommande pas spécialement : ils gardent les traces (log) de tous les mails qui transitent par leur serveur pour des raisons légales.

Les logs des serveurs de mails sont assez parlant, ils contiennent les adresses email de l'expéditeur et du destinataire, ainsi que les adresses IP des serveurs auquels ils s'adressent...

C'était mes deux centimes sur jetable.com .

Une adresse à durée de vie courte

Si vous désirez utiliser une adresse temporaire mais vous voulez être sur qu'elle sera trés vite effacée, Pookmail est fait pour vous (en francais à l'adresse http://www.pookmail.com/?lan=fr).

La durée de validité d'une adresse email sur Pookmail est de 24 heures.

Pookmail permet d'être averti de la reception d'un courrier via un flux RSS.

SpamHole.com est censé faire la même chose en mieux (durée de vie de la boite entre une et 72 heures, à choisir par l'utilisateur), mais il me parait trop compliqué à utiliser, et ne me retourne que des erreurs. À déconseiller en l'état.

Envoyer un email anonyme

Comment envoyer un email anonyme ?

Vous avez votre adresse mail personnel, mais pour une fois vous avez besoin d'envoyer un enail de façon anonyme.

La façon triviale est de se dire "je vais me créer une boite chez Yahoo!/hotmail/caramail etc. et hop, ni vu ni connu, poster à travers celle ci". Il n'y a pas mon nom marqué dessus, donc je suis tranquille.

Oui, mais non. Il n'y a pas votre nom, mais il y a l'adresse internet (IP) de votre PC dans les entètes du message.

Voici les entètes envoyés par Yahoo! vers spambob :
To: XXXXXX@spambob.com
From: XXXXXX <***HIDDEN***@yahoo.com>
Sent: September 23 2006 at 17:30:02 EST
Subject: test des entetes
Full Header: Return-Path: <***HIDDEN***@yahoo.com>
Delivered-To: metapeop-spambob:com-owhffdskljfn@spambob.com
X-Envelope-To: owhffdskljfn@spambob.com
Received: (qmail 68014 invoked from network); 23 Sep 2006 21:27:29 -0000
Received: from web53811.mail.yahoo.com (206.190.39.54)
by qs742.pair.com with SMTP; 23 Sep 2006 21:27:29 -0000
Received: (qmail 62058 invoked by uid 60001); 23 Sep 2006 21:27:29 -0000
DomainKey-Signature: a=rsa-sha1; q=dns; c=nofws;
s=s1024; d=yahoo.com;
h=Message-ID:Received:Date:From:Subject:To:MIME-Version:Content-Type:Content-Transfer-Encoding;
b=Kjs86RRLb/M6thLUCnioLKiunL1TAh82zuDSfFKk6rKkwP/K0fy ;
Message-ID: <***HIDDEN***@web53811.mail.yahoo.com>
Received: from [82.XXX.YYY.ZZZ] by web53811.mail.yahoo.com via HTTP; Sat, 23 Sep 2006 14:27:28 PDT
Date: Sat, 23 Sep 2006 14:27:28 -0700 (PDT)
From: XXXXXX <***HIDDEN***@yahoo.com>
Subject: test des entetes
To: XXXXXXXX@spambob.com
MIME-Version: 1.0
Content-Type: multipart/alternative; boundary="0-58275-1159048=:612"
Content-Transfer-Encoding: 8bit

ip ou pas ip ?



---------------------------------
Do you Yahoo!?
Everyone is raving about the all-new Yahoo! Mail.

Mon adresse IP se trouve sur la ligne "Received from: ". Elle commence par 82.
Donc, utiliser Yahoo! : non. Je pense que Hotmail fait la même chose : ils indiquent dans les entêtes l'adresse IP de la machine qui contacte leur serveur pour envoyer un mail.

À ce jour, gmail, le service de mail de Google, ne le fait pas. Je vous recommande d'utiliser Gmail, c'est un système de mail pas comme les autres, et trés agréable à utiliser, surtout quand on gère de gros volumes de mail. Ma boite Gmail contient plus de 44 000 emails, et indique : You are currently using 1293 MB (47%) of your 2767 MB. : j'utilise 1,2 Go de place sur les 2,7 qui me sont alloués. Gmail est gratuit. Si vous avez besoin d'une invitation pour y ouvrir une boite, laissez moi un commentaire.

À part Gmail, dont les conditions d'utilisation pourraient changer, vous pouvez utiliser : https://www.anonymousspeech.com, un service qui vous offre la possibilité d'ouvrir un compte email immédiatement et d'envoyer des emails à partir de celui ci. Si vous utiliser le service gratuit, les mails reçu à votre adresse seront effaçés au bout de 30 jours. Ce service (contrairement à Gmail) n'est pas trés rapide, il faut entre 1 et 10 minutes pour que le mail soit reçu.

Voila les entètes reçu sur un mail envoyé à spambob.com :
To: XXXXX@spambob.com
From: ***HIDDEN***@anonymousSpeech.com
Sent: September 23 2006 at 17:21:01 EST
Subject: jugula
Full Header: Return-Path: <***HIDDEN***@anonymousspeech.com>
Delivered-To: metapeop-spambob:com-XXXXXXX@spambob.com
X-Envelope-To: XXXXXX@spambob.com
Received: (qmail 67328 invoked from network); 23 Sep 2006 21:19:23 -0000
Received: from uweb002.cervi.jp (164.46.25.1)
by qs742.pair.com with SMTP; 23 Sep 2006 21:19:23 -0000
Received: from uweb002 [164.46.25.1] by uweb002.cervi.jp with SMTP;
Sun, 24 Sep 2006 06:19:09 +0900
MIME-Version: 1.0
Date: Sun, 24 Sep 2006 06:18:20 +0900
X-Mailer: Chilkat Software Inc (http://www.chilkatsoft.com)
X-Priority: 3 (Normal)
subject: jugula
Content-Type: text/plain
Content-Transfer-Encoding: quoted-printable
From: ***HIDDEN***@anonymousSpeech.com
return-path: ***HIDDEN***@anonymousSpeech.com
To: oiudsajfns@spambob.com
Message-ID: <***HIDDEN***@uweb002>

de .....

Comme vous pouvez le constater mon adresse IP n'apparait pas.

Spambob

[ ATTENTION: J'ai remarqué que parfois les mails n'arrivent jamais sur spambob.com. Peut être le service est lent, ou bien il est trop connu des autres site qui refusent d'envoyer des mails à cette adresse. Il reste néanmoins une solution si ni mailinator ni dodgeit ne répondent. ]

Après dodgeit et mailinator : spambob.

Ils offrent trois services :
  1. spambob.com : création immédiate de la boite aux lettres, et les mails sont filtrés par un antivirus ;
  2. spambob.net : relai vos mails vers une autre adresse ;
  3. spambob.org : tout mail reçu par ce domaine est directement jeté à la poubelle. Utile dans le cas où il faut donner une adresse email valide, mais dont on se moque du devenir des mails envoyés.

21 septembre 2006

Échapper aux formulaires d'inscriptions

Vous voulez lire un article du New York Times... mais voila, arrivé sur la page en question, le site vous demande de vous identifier... obliger de remplir des cases, voire même de donner votre adresse mél pour recevoir un code pour, enfin, avoir accés à la page.



Super pénible non ?

Mais vous vous doutez bien que quelqu'un d'autre à déjà saisie des codes fantaisistes, et qu'il s'en fiche de les partager avec vous non ?

Eh bien oui. Il suffit de se rendre sur BugMeNot (http://bugmenot.com), et de copier coller l'adresse du site que vous voulez consulter. Dans le cas ci dessus, je voulais consulter un article sur les vins français du New York Times à l'adresse suivante : http://travel2.nytimes.com/2005/10/30/travel/30burgundy.html?n=Top%2fFeatures%2fTravel%2fDestinations%2fEurope%2fFrance

Donc, je copie colle cette adresse dans BugMeNot

je click sur Get logins, et je récupère une liste d'identifiants/mots de passe.



Je rentre cette adresse sur le formulaire du New York Times



Et Oh! Miracle ! Ça marche, je peux lire mon article du journal !



Il ne faut pas oublier d'être sympa, et de clicker sur le YES en vert sous la question Did this login work out for you ? (Est ce que cet identifiant à marché pour vous ? Oui).

Il se peut que ça ne fonctionne pas. Dans ce cas voyez les méthodes de création de boites aux lettres temporaires cités ci dessous, enregistrez vous, et n'oubliez pas de rentrer ces identifiants sur bugmenot (en bas de la page) pour que tout le monde en profite !

Mailinator.com un autre système de mailbox automatique

Il existe une alternative a dodgeit.com, que j'aime bien aussi utiliser, il s'agit de mailinator.

Exactement le même principe, une boite aux lettres est créez dés reception d'un email à son adresse.

Mailinator : http://mailinator.com

20 septembre 2006

Toujours plus simple

Cette méthode ne marche pas toujours. Par contre elle est triviale à tester.

Il suffit de rajouter "+quelquechose" à votre adresse mail de base.

Par exemple, si l'adresse est machin.chose@gmail.com, et bien machine,chose+deslettres@gmail.com est aussi valide, et les courriers sont délivrés dans la boite machin.chose@gmail.com.

Cette méthode ne marche pas avec dodgeit. Mais il est probable qu'elle marche avec votre adresse professionnelle si votre société possède un domaine à lui (domaine = ce qu'il y a après le @, par exemple @sncf.fr, sncf.fr est le domaine).

Facile à tester : envoyez vous un mail à votre adresse suffixée par "+hjerlkjf" et faite une relève de mail une minute plus tard. Soit vous avez reçu le mail, chouette, ça marche, soit non, et vous avez un mail du "mailer-daemon" ou "postmaster" qui vous indique pourquoi ça n'a pas marché. Typiquement il dira (dans son langage cryptique, "l'adresse expéditeur machin,chose+hjerlkjf@..." n'existe pas).

Cette méthode triviale peut s'avérer trés utile pour piéger les spammeurs. Une boite vous appelle pour vous proposer leurs services et tiennent absolument à vous envoyer un mail. Donnez votre adresse suffixée par +le-nom-de-cette-boite-qui-appelle. Si un mois plus tard vous commencer à recevoir de la pub à cette adresse vous saurez d'où à filtré votre adresse ! De plus vous pourrez facilement mettre un filtre dans votre programme de messagerie pour mettre ces courriels directement dans la poubelle.

La redirection des mails

Vous avez une adresse de courrier électronique. Vous en êtes satisfait, vous voulez qu'on vous envoi du mail dessus, mais vous ne voulez pas la communiquer.

Il faut un système de redirection qui fera suivre votre courrier à votre adresse "finale" sans en informer l'envoyeur.

Il existe un service qui fait ça : spambox.us. Et en plus c'est en français.

Allez sur http://spambox.us/fr_FR/ et dans les champs de saisie en haut à gauche, saisissez votre vraie adresse, puis la durée de validité de la redirection (de 30 minutes à un an), et sur le bouton Générer la spambox.

Reprenons l'exemple donné dans le billet précédent, et créeons une redirection valable 1 heure pour l'adresse mail-a-nonyme33@dodgeit.com. Voila à quoi va ressemble le champ de saisie :


Le résultat ressemblera à ça :

l'adresse 9ysGSJRN6VSsPph7@spambox.info est donc créee, et tout mail envoyé à celle-ci sera redirigé vers l'adresse chez dodgeit.com.

Faisons le test. Pour le moment dodgeit dit :



donc, pas de mail. Envoyons un mail à 9ysGSJRN6VSsPph7@spambox.info :



et voyons s'il a été reçu a dodgeit :


oui ! Il suffit de cliquer sur le sujet du mail pour qu'il s'affiche.

Résumé :
  1. vérifier si l'adresse choisi sur dodgeit.com n'existe pas (il suffit de vérifier qu'il n'y a pas de mail reçu dessus) ;
  2. aller sur spambox.us et établir une redirection vers l'adresse dodgeit ;
  3. publier l'adresse retournée par spambox.

Ceci est le cas super-parano. Dans la pratique on rentrera son adresse sur spambox, sans passer par dodgeit, bien sur.

Notes :
  • Il n'y a aucune garantie que spambox va faire QUE faire suivre votre courrier. Même s'ils affirment le contraire. À vous de leur faire confiance ou pas. Pour ma part et n'ayant rien à cacher, je m'en moque.
  • Spambox transmet l'adresse de l'expéditeur ;

La solution la plus rapide : de pas créer de boite aux lettres

La méthode la plus rapide pour créer une boite aux lettres c'est de ne pas la créer.

Mais alors comment rendre l'adresse email valide ?

C'est trés simple : une adresse est valide dès quelle reçoit un email !

Par exemple vous décidez que votre adresse portera le nom mail-a-nonyme33.

Communiquez à votre correspondant l'adresse : mail-a-nonyme33@dodgeit.com. Comment lire les mails reçu à cette adresse ? En allant sur http://dodgeit.com et en tapant mail-a-nonyme33, puis sur le bouton "check mail".



Les courriers envoyés à cette adresses s'afficheront alors...

Quelques points à savoir :
  • Ce type de service est trés utile pour tout ce qui est "enregistrement" sur des forums, etc. En effet la plupart des forums demande une adresse email qui ne servira qu'une seule fois pour envoyer le mot de passe et/ou confirmer votre inscription. Faite vous envoyer le courrier de confirmation sur cette adresse, et une fois enregistré sur le forum, éventuellement, changer votre mot de passe (s'il était en clair dans le mail).
  • Gardez note des boites crées : ça peut être utile, parfois pour récupérer un mot de passe oublié des systèmes (forums et autres) envoit un mail à l'adresse déclarée initialement.
  • N'importe qui peut lire vos mails à condition de connaitre l'identifiant. La boite n'est pas protégée par mot de passe. Changez souvent de boite, et choisissez des noms compliqués (oaiu32nfd@dodgeit.com par exemple).
  • La boite aux lettres est en lecture seule : vous ne pouvez pas envoyer des emails à partir du site dodgeit. Par contre vous pouvez instruire presque n'importe quel système de messagerie électronique d'indiquer votre adresse @dodgeit.com comme étant celle de l'expéditeur (de sorte à masquer votre vraie adresse et à ce que vos correspondant répondent à dodgeit.com directement).
  • Vous pouvez être informé qu'un mail à été reçu en vous syndicant aux flux RSS.
  • Les mails ne sont pas conservés par dodgeit.com indéfiniment : seulement 7 jours.
  • En leur donnant des sous, vous pouvez gardez l'adresse aussi longtemps que vous le souhaitez, et la protéger par mot de passe, mais ce n'est pas l'utilisation recherchée ici.
Nous reviendront dans des billets spécifiques sur :
  • Comment paramétrer son programme de mail pour faire croire que l'adresse d'émission est celle de dodgeit ;
  • Comment s'abonner à un flux RSS, et kékséksa :-)