Il y a longtemps, j’ai reçu un email de premier ordre : [email protected]. Pas d’initiale du milieu, pas de chiffres supplémentaires à la fin. Propre, simple, facile à retenir. J’ai été vraiment béni.

Aujourd’hui, Gmail est le service de messagerie le plus populaire au monde, qui a créé un nombre apparemment illimité de ce que j’appelle collectivement l’Autre Sara Morrisons : des personnes qui partagent mon nom et qui, pour une raison quelconque, saisissent mon adresse Gmail lorsqu’elles signifie utiliser le leur. Leurs invasions fréquentes de ma boîte de réception m’ont fait réaliser à quel point beaucoup d’entre nous font confiance à un système qui n’a pas été conçu pour faire certaines des choses pour lesquelles nous en sommes venus à l’utiliser.

Le courrier électronique n’est pas seulement un outil de communication ; c’est aussi un identifiant et une mesure de sécurité. Les entreprises l’utilisent pour créer des profils de vous lorsque vous créez des comptes avec elles et il sert souvent de nom d’utilisateur. Votre e-mail peut également servir d’outil de récupération de compte lorsque vous oubliez votre nom d’utilisateur ou votre mot de passe. Tout cela à partir de quelque chose qui ne vous oblige pas à vérifier votre identité et que la plupart des gens peuvent utiliser gratuitement, fourni par une société géante qui souhaite récolter nos données. Dans le fournisseur de messagerie premium Hey’s mots, l’e-mail est la « clé squelettique de votre vie numérique ». Eh bien, j’ai aussi un passe-partout pour la vie numérique de beaucoup d’autres personnes.

Les e-mails qui m’ont été envoyés et destinés à Other Sara Morrisons m’ont donné un bon aperçu – et un accès inquiétant à – la vie des nombreuses personnes qui partagent mon nom. Je sais quand et où sont leurs rendez-vous médicaux. Je sais quand elles accouchent et je suis tenue au courant de ce que leur enfant a mangé et de la fréquence à laquelle elle a fait caca à la garderie. Je sais quand et où ils partent en vacances, quelle voiture ils louent, et je reçois des billets pour les parcs à thème qu’ils visiteront quand ils y arriveront.

J’ai participé à un processus de recherche d’emploi de plusieurs mois pour une autre Sara Morrison et j’ai reçu la licence professionnelle renouvelée pour une autre… deux fois. Je connais leurs problèmes de paiement de la taxe foncière. Je connais leurs adresses. Je connais leurs numéros de carte de crédit.

En bref, je suis devenu le centre d’un réseau international d’Autres Sara Morrisons qui n’arrivent pas à obtenir leur adresse e-mail correctement. Ma bénédiction est devenue une malédiction.

Pensez au nombre d’e-mails que vous recevez et à ce qu’ils disent. Pensez à tous les services qui utilisent votre adresse e-mail pour vous donner accès à votre compte et réinitialiser votre mot de passe. Pensez à toutes les informations vous concernant que contiennent ces comptes. Maintenant, pensez à ce qui pourrait arriver si ces e-mails étaient envoyés à quelqu’un d’autre.

Mat Honan n’a pas à imaginer cela, car une version de celui-ci lui est arrivé en 2012. Un pirate informatique a trompé Apple en lui donnant accès au compte iCloud de Honan, qui était l’e-mail de récupération de son compte Gmail, qui était l’e-mail de récupération de son compte Twitter. Les comptes Apple et Google de Honan ont été effacés, son Twitter a été repris et son MacBook et son iPhone ont été effacés à distance. Sans surprise, Honan a quelques réflexions sur ce sujet.

« Avoir l’e-mail comme identifiant unique a été une si mauvaise idée pendant si longtemps », a déclaré Honan, dont le nom et le domaine de messagerie relativement courants signifient qu’il reçoit également « des choses étranges et mal dirigées tout le temps », y compris de nombreux e-mails liés à un site de réseautage social pour médecins, il pense que son adresse a été inscrite par erreur il y a plusieurs années.

« C’est juste complètement absurde pour moi qu’il soit encore utilisé de cette façon », a-t-il ajouté. « C’est évidemment si lourd et si facile d’envoyer les mauvaises choses aux mauvaises personnes. »

L’histoire étonnamment longue du courrier électronique

Malgré des décennies de déclarations cet email est mort, il est bien vivant. Cabinet de recherche technologique Radicati Group estimations que 4,1 milliards d’utilisateurs dans le monde envoient 319 milliards d’e-mails chaque jour.

« Malgré tous ses défauts, le courrier électronique reste, selon la plupart des mesures, l’outil de communication le plus efficace jamais conçu dans l’histoire de l’humanité », m’a dit Andy Yen, PDG de ProtonMail. « C’est une chose que tout le monde a. »

Et il existe depuis plus longtemps que vous ne le pensez. L’Advanced Research Projects Agency Network (ARPANET), une branche du ministère de la Défense, a créé un précurseur d’Internet dans les années 1960 en connectant à distance des ordinateurs afin d’échanger des données. Il n’a pas fallu longtemps pour se rendre compte que ce réseau pouvait également être utilisé pour envoyer des messages aux personnes qui utilisaient ces ordinateurs.

« Ce n’était pas comme si quelqu’un commençait par dire: » Ce dont nous avons besoin, c’est d’un moyen de messagerie sécurisée, d’une transmission de base, et cela devrait avoir une identification sécurisée de l’expéditeur et du destinataire.  » Cela ne faisait pas partie de l’équation.  » Paul Duguid, professeur à l’Université de Californie à Berkeley qui étudie l’histoire de l’information, me l’a dit. « Je pense que nous vivons toujours, dans une certaine mesure, avec les conséquences de cela. »

Duguid a ajouté que même s’il ne pouvait pas vraiment comprendre mon problème particulier (il n’y a pas beaucoup d’autres Paul Duguids dans le monde), il était sympathique.

Ray Tomlinson est largement crédité en tant qu’inventeur du courrier électronique, mais la technologie a évolué de manière fragmentée, au fil du temps, avec des ajouts et des améliorations de la part de nombreuses personnes. Dave Crocker a travaillé sur un premier effort pour créer des normes de courrier électronique en 1977 et a passé le reste de sa carrière à créer ou à contribuer aux normes de courrier Internet, dont il est fait encore aujourd’hui. Crocker m’a dit que le courrier électronique était le résultat d’une « quantité massive d’incréments », dont la plupart étaient réactifs ; chaque itération était une solution à un problème existant, ou quelqu’un venait juste d’avoir « une bonne idée ».

« Celles-ci n’ont généralement pas été orchestrées d’une manière que vous appelleriez de la planification », a-t-il déclaré.

À la fin des années 70, le courrier électronique était assez similaire à ce qu’il est aujourd’hui en termes de forme et de fonction, et une petite liste de destinataires non amusés avait reçu le premier e-mail de spam connu — un signe précoce de son potentiel d’abus. Mais lorsque Internet n’était accessible qu’à une petite communauté, même les rares cas comme celui-ci étaient à petite échelle et gérables. Crocker, qui a déclaré qu’il recevait occasionnellement des courriels destinés à d’autres D. Crockers, y compris un récidiviste particulièrement gênant au Pays de Galles, a comparé le scénario à une petite ville où personne ne verrouille ses portes.

« Ce n’est pas qu’il n’y avait pas de souci de sécurité, c’est qu’il n’y avait pas tout à fait les mêmes soucis », a-t-il déclaré. « Et puis Internet a explosé dans le service mondial qu’il est maintenant. »

Le courrier électronique aussi. En 1983, MCI a commencé un service qui permet à ses clients de communiquer entre eux par voie électronique au prix modique de 1 $ par message de 1 000 mots.

Au fur et à mesure que de plus en plus de gens obtenaient des ordinateurs personnels pour leur domicile, les réseaux en ligne fermés par abonnement comme Compuserve, Prodigy et AOL ont gagné en popularité. C’était comment la plupart des consommateurs – des millions d’entre eux au début des années 90 – se sont connectés et où ils ont obtenu leurs adresses e-mail. Lorsque l’e-mail vous a été fourni par un service que vous avez appelé à partir d’un numéro de téléphone et payé avec une carte de crédit, tout ce que vous avez fait avec cet e-mail pourrait facilement vous être lié par son fournisseur. C’est pourquoi, lorsque j’ai « enfreint les règles » et « causé une perturbation importante » dans la salle de discussion de la ligne d’assistance aux devoirs, AOL a pu attribuer cela au compte de mes parents et bannir toute ma famille. Et à l’époque, si vous annuliez ou perdiez votre accès à votre compte AOL, vous perdiez également votre adresse e-mail.

Ce n’est plus le cas. L’invention du World Wide Web en 1989 et des navigateurs Web gratuits pour y naviguer signifiait que les gens pouvaient obtenir leurs adresses e-mail via des sites Web, plutôt que des services en ligne payants. Cela a commencé avec Hotmail, sorti en 1996. Il était gratuit et basé sur un navigateur. Vous pouviez donc vous connecter à votre compte Hotmail à partir de n’importe quelle connexion Internet et vous n’aviez à fournir aucune information d’identification à quiconque pour l’obtenir. Yahoo a lancé son propre service de messagerie basé sur un navigateur peu de temps après. Des centaines de millions de personnes dans le monde possédaient des adresses e-mail à la fin du siècle.

Gmail s’est présenté en 2004. Comme ses concurrents, il était gratuit et financé par la publicité. Contrairement à eux, il scanne les e-mails des utilisateurs pour mieux cibler les publicités, une pratique qu’il seulement arrêté en 2017. En 2012, Gmail était le e-mail le plus populaire service là-bas. Google ne me donnerait aucun numéro d’utilisateur (et ne commenterait pas cette histoire), mais il tweeté en 2018 qu’elle en comptait 1,5 milliard.

Tout cela signifie que ce qui est devenu une partie extrêmement importante de nos vies repose sur un système décentralisé de normes et de protocoles suggérés qui n’appartient à personne, mais qui est largement exploité par quelques-unes des plus grandes entreprises du monde. Le courrier électronique est également un vecteur majeur pour les cyberattaques (même les campagnes présidentielles sont pas immunisé). Si les personnes et les entreprises ne prennent pas les bonnes précautions, leur sécurité peut être compromise en cliquant sur le mauvais lien ou en faisant une simple faute de frappe.

« Nous devons faire face au fait qu’il s’agit d’un problème qui se prépare depuis des décennies », m’a dit Marc Rogers, directeur exécutif de la cybersécurité chez Okta, une entreprise de technologie d’authentification d’identité. « Le courrier électronique n’a pas été conçu pour être un support sécurisé. »

Et tandis que Rogers dit qu’une partie du blâme pour cela repose sur les personnes qui ne tapent pas soigneusement leurs adresses e-mail, la majeure partie de la responsabilité incombe aux entreprises qui envoient ces e-mails.

« Ils doivent se rendre compte que le courrier électronique ne doit pas être utilisé pour des activités sensibles à moins qu’ils n’aient pris des mesures pour prouver qu’ils savent qui » réside  » là-bas « , a-t-il déclaré. « Vous devez prouver qui contrôle cet e-mail. »

Et pourtant, vous n’avez rien à prouver pour obtenir cet e-mail en premier lieu. J’ai eu cette adresse Gmail plus longtemps que je n’ai eu une seule adresse physique dans ma vie d’adulte, ou n’importe quel numéro de téléphone ou n’importe quel numéro de permis de conduire. Le seul identifiant que j’ai depuis plus longtemps est mon numéro de sécurité sociale. J’ai obtenu cela du gouvernement fédéral après que mes parents ont soumis une preuve de mon identité et de mon statut de citoyen. J’ai juste eu à remplir quelques invites sur un site Web pour obtenir mon adresse e-mail.

Mes vaines tentatives pour échapper aux autres Sara Morrisons

Au fur et à mesure que je suis devenu plus conscient de mon identité en ligne et de ses vulnérabilités (être piraté et presque perdre 13 000 $ vous le fera), j’ai essayé de supprimer mes comptes, uniquement pour qu’un défilé d’autres Sara Morrisons m’inscrive pour bien d’autres. Supprimer mon e-mail d’eux n’est pas facile.

Voici un exemple :

Une autre Sara Morrison a commandé trois paires de pantalons capri taille mi-haute à J.C. Penney. Elle a accidentellement utilisé mon adresse e-mail pour son nouveau compte J.C. Penney Rewards. Le site Web de JC Penney ne m’a pas donné le moyen de supprimer mon e-mail du compte, alors je l’ai fait via Twitter DM, où la société m’a demandé de fournir le numéro de téléphone et l’adresse physique sur le compte d’Autre Sara Morrison – je devais me connecter à elle compte pour l’obtenir. En cherchant les informations requises, j’ai vu son numéro de carte de crédit, qu’elle avait enregistré pour effectuer de futurs achats rapidement et facilement.

Tout cela semblait assez mauvais, alors j’ai demandé à J.C. Penney pourquoi il n’y avait pas de système de vérification des e-mails ou un moyen simple de changer les adresses e-mail sur les comptes. J.C. Penney a refusé de commenter. Le compte Twitter de J.C. Penney m’a assuré qu’il avait supprimé mon adresse du compte Other Sara Morrison’s Rewards. Deux mois plus tard, j’ai reçu une flotte d’emails retraçant le parcours des cinq T-shirts col V qu’elle venait de commander.

Toutes les entreprises ne sont pas aussi mauvaises. Certains utiliseront un processus appelé confirmé ou double adhésion pour vérifier que leurs emails vont bien à la personne qui les a sollicités. Mais ils n’ont pas à le faire. Selon le Loi CAN-SPAM, l’une des rares lois aux États-Unis à réglementer les e-mails, elles n’ont qu’à donner aux gens un moyen de refuser de recevoir leurs e-mails. Mais ils ne sont pas tenus de supprimer votre adresse e-mail d’un compte.

Certains endroits ont des lois qui vous donnent le droit d’exiger que les entreprises suppriment vos données. Mais ils ne s’appliquent pas là où je vis, donc tout ce que je peux faire c’est d’envier mes amis qui vivent dans des états comme la Californie et pays d’Europe et j’ai des droits que je n’ai pas.

Pendant ce temps, la plupart des autres Sara Morrisons n’ont aucune idée que leurs comptes sont compromis, et je ne peux pas leur dire car la seule information de contact que j’ai est l’adresse e-mail qu’ils ont fournie – qui est la mienne.

L’e-mail peut-il être corrigé ?

En rapportant cet article, j’ai réalisé à quel point j’avais traité les e-mails avec désinvolture et même au hasard. Il y a des années, j’ai obtenu un compte de messagerie gratuit d’une entreprise connue pour son moteur de recherche. Cela répondait à mes besoins de base, donc il ne m’est pas venu à l’esprit de le changer, même si cette société de moteur de recherche – et le courrier électronique lui-même – est devenu tellement plus.

Certains des experts à qui j’ai parlé ont suggéré de repartir à zéro avec une nouvelle adresse e-mail et de l’utiliser comme une chance de réfléchir à ce que je voulais de mon expérience de messagerie – un remodelage de ma maison numérique, si vous voulez. Il existe d’autres services de messagerie, dont certains ont des fonctionnalités que ces principaux services de messagerie grand public n’ont pas.

Quelques exemples sont ProtonMail et Hey. L’argument de vente de ProtonMail est sa confidentialité et sa sécurité. Les e-mails sont cryptés de bout en bout, de sorte que même Proton ne peut pas accéder à leur contenu. (Mais cela ne veut pas dire qu’absolument tout est privé ; ProtonMail était récemment commandé par un tribunal pour enregistrer l’adresse IP d’un de ses utilisateurs, qui a conduit à l’arrestation de cet utilisateur.) La mission de Hey est de rendre votre expérience de messagerie plus agréable et personnalisable, et de donner aux utilisateurs un meilleur contrôle sur les e-mails qu’ils reçoivent et ceux qu’ils rejettent.

Même les grandes entreprises technologiques essaient de vendre une expérience de messagerie améliorée. Apple vous permet désormais de masquer votre adresse e-mail iCloud lorsque vous vous inscrivez à des comptes et à des newsletters, ce qui vous donne plus de contrôle sur qui connaît votre adresse e-mail.

Mais toutes ces fonctionnalités ont un coût. Le service de base de ProtonMail est gratuit mais limité, avec plus de fonctionnalités et d’espace de stockage pour les comptes payants à partir de 5 $ par mois ou 48 $ par an. Le service de messagerie de Hey commence à 99 $ par an. Vous devez avoir un appareil Apple pour avoir une adresse e-mail iCloud, et certaines des nouvelles fonctionnalités de messagerie d’Apple nécessitent un abonnement iCloud, qui commence à 99 cents par mois.

Mais la plupart d’entre nous utilisent des fournisseurs de messagerie gratuits pour nos adresses personnelles depuis des décennies et ne pensent pas ou ne se soucient pas des compromis que nous avons faits pour eux. Les gens voudront-ils vraiment payer pour l’email ? Les fondateurs de ProtonMail et Hey pensent que la réponse est oui, disant que plus de gens veulent préserver leur vie privée et éviter les Big Tech que jamais auparavant. Yen, de ProtonMail, a déclaré que son service comptait 50 millions d’utilisateurs, bien que la plupart d’entre eux utilisent la version gratuite. David Heinemeier Hansson, de Hey, a déclaré que la société avait amassé 30 000 utilisateurs payants au cours de ses trois premiers mois.

Pour encore plus d’argent et avec un certain niveau de connaissances techniques, vous pouvez obtenir votre propre domaine avec sa propre adresse e-mail – votre propre maison Internet, plutôt qu’une location Gmail. C’est ce que Niels ten Oever, qui étudie infrastructure Internet, gouvernance et droits de l’homme à l’Université d’Amsterdam, suggéré. Cela contribuerait grandement à réduire les e-mails mal acheminés, car il y aura un nombre très limité de personnes qui utiliseront ce domaine en premier lieu, par opposition aux plus de 1,5 milliard de personnes qui partagent actuellement le nom de domaine Gmail.

La plupart des fournisseurs de messagerie vous permettent d’utiliser votre domaine personnel avec leurs services de messagerie, vous n’avez donc pas à choisir entre, par exemple, les protections de confidentialité de ProtonMail et avoir votre propre adresse de domaine. Si vous ne voulez pas quitter Google, vous pouvez même utiliser Gmail avec une adresse de votre propre domaine. Vous pouvez avoir le meilleur des deux mondes, tant que vous pouvez les payer.

j’ai abandonné

Peut-être y aura-t-il un jour un nouveau type d’identifiant qui n’a pas les défauts de l’email mais qui est tout aussi omniprésent. Crocker a déclaré qu’il y avait probablement des efforts impliquant des blockchains – « il y a presque toujours un effort impliquant des blockchains pour presque tout ». Certaines entreprises commencent à intégrer la biométrie dans leurs systèmes d’authentification d’identité. Des entreprises comme Okta de Rogers offrent des services d’authentification unique qui vérifient les utilisateurs sans mot de passe. Mais il est difficile de croire qu’ils auront bientôt l’adoption généralisée du courrier électronique.

« Les adresses e-mail ne cessent de s’allonger et d’être utiles », a déclaré Crocker.

Le courrier électronique est vraiment une technologie étonnante et miraculeuse. Mais en fin de compte, c’est entre les mains des humains qui vont toujours tout foutre en l’air. Si vous avez un nom commun et un domaine de messagerie utilisé par des milliards de personnes, vous allez être la cible de beaucoup de ces erreurs dans un avenir prévisible. Il ne semble pas y avoir de moyen à la fois de conserver mon adresse Gmail et d’éviter les incursions des autres Sara Morrisons. Je ne savais pas si cela valait la peine de tout basculer sur une nouvelle adresse e-mail juste pour s’en débarrasser.

Mais ensuite, ten Oever m’a demandé : « Voulons-nous vraiment que le plus grand bureau de poste du monde soit géré par une société américaine ? Non, je ne l’ai pas fait.

Au cours de ce voyage, je me suis rendu compte que [email protected] ne m’a jamais vraiment appartenu, à une Sara Morrison. Il appartenait à Google. Mais aussi, dans un sens plus large et plus philosophique, il appartenait à toutes les Sara Morrisons. Et donc il n’appartenait à personne.

Je le cède au sol numérique d’où il vient. La boîte de réception restera en jachère, collectant toutes les graines de courrier électronique qui dérivent, prennent racine et grandissent. Cela deviendra une jungle de newsletters, de réinitialisations de mots de passe et de confirmations de commandes – entrelacées, sans relâche, non lues et récupérées par la Terre virtuelle.

Je vais construire une nouvelle maison ailleurs. Les autres Sara Morrisons ne sont pas invitées.

Mise à jour, 7 septembre 11h15: Cet article a été mis à jour avec l’annonce d’une décision de justice suisse impliquant l’enregistrement des données d’un utilisateur de ProtonMail.