Pour faire suite à ce "rant" : j'ai eu un 2e courrier A/R via ce site. Sauf que à la fin du premier A/R, ils proposent de créer un compte et d'obtenir une sorte de "certificat" (rien à voir avec x509) permettant de s'identifier via OTP. On nous envoie un PDF avec un QRcode et un code OTP, qui sont supposés fonctionner avec google authenticator (crade) mais aussi avec freeOTP (dispo sur f-droid).
J'ai tenté cette méthode pour le 2e courrier, et en 30 secondes ça a fonctionné. Juste bien. Comme quoi tout n'est pas toujours pourri sur toute la ligne.
Alors oui l'identification d'un envoi sur une boite mail avec un PDF contenant les infos OTP dans la même boite mail… ça devient totalement bidon : si je me suis fait pirater ma boite mail entretemps (et que je n'ai pas supprimé le mail), les loustics peuvent s'identifier à ma place. Il n'y a pas besoin du mot de passe du compte AR24 pour valider le courrier. Mais au moins ça ne fait pas chier (et de toutes façons, je rappelle que c'est du bidon dans mon cas vu que cet expéditeur m'envoie le contenu en clair dans un autre mail séparé…).