Parfois, lorsque vous cherchez une réponse à une chose, vous finissez par trouver quelque chose d’autre plutôt surprenant. Par exemple, la déclaration de Google selon laquelle Mozilla Thunderbird est moins sécurisé, mais pourquoi disent-ils cela? Le message de questions et réponses SuperUser d’aujourd’hui a la réponse à une question de lecteur confus.

La séance de questions-réponses d’aujourd’hui nous est offerte par SuperUser, une subdivision de Stack Exchange, un regroupement communautaire de sites Web de questions-réponses.

La question

Le lecteur SuperUser Nemo veut savoir pourquoi Google considère Thunderbird comme moins sécurisé:

Je n’ai jamais eu de problème avec Gmail avec Thunderbird, mais en essayant d’utiliser un logiciel client gratuit pour Google Talk / Chat / Hangout, j’ai découvert la déclaration inattendue suivante. Selon le document de Google sur les applications moins sécurisées:

  • Voici quelques exemples d’applications qui ne prennent pas en charge les dernières normes de sécurité: […] Clients de messagerie de bureau comme Microsoft Outlook et Mozilla Thunderbird.

Google propose ensuite un changement de compte sécurisé ou non sécurisé tout ou rien (« Autoriser les applications moins sécurisées « ).

Pourquoi Google dit-il que Thunderbird ne prend pas en charge les dernières normes de sécurité? Google essaie-t-il de dire que les protocoles standard comme IMAP, SMTP et POP3 sont des moyens moins sécurisés d’accéder à une boîte aux lettres? Essayent-ils de dire que les activités que les utilisateurs entreprennent avec le logiciel mettent leurs comptes en danger ou quoi?

Le rapport de vulnérabilité de Secunia sur Mozilla Thunderbird 24.x indique:

  • 11% non corrigé (1 des 9 avis Secunia) […] L’avis Secunia non corrigé le plus sévère affectant Mozilla Thunderbird 24.x, avec tous les correctifs des fournisseurs appliqués, est considéré comme hautement critique (apparemment SA59803).

Pourquoi Google dit-il que Mozilla Thunderbird est moins sécurisé?

La réponse

Le contributeur SuperUser Techie007 a la réponse pour nous:

C’est parce que ces clients (actuellement) ne prennent pas en charge OAuth 2.0. Selon Google:

  • À partir du deuxième semestre 2014, nous commencerons à augmenter progressivement les contrôles de sécurité effectués lorsque les utilisateurs se connectent à Google. Ces vérifications supplémentaires garantiront que seul l’utilisateur prévu a accès à son compte, que ce soit via un navigateur, un appareil ou une application. Ces modifications affecteront toute application qui envoie un nom d’utilisateur et / ou un mot de passe à Google.
  • Pour mieux protéger vos utilisateurs, nous vous recommandons de mettre à niveau toutes vos applications vers OAuth 2.0. Si vous choisissez de ne pas le faire, vos utilisateurs devront prendre des mesures supplémentaires afin de continuer à accéder à vos applications.
  • En résumé, si votre application utilise actuellement des mots de passe simples pour s’authentifier auprès de Google, nous vous encourageons fortement à minimiser les perturbations des utilisateurs en passant à OAuth 2.0.

Source: de nouvelles mesures de sécurité affecteront les applications plus anciennes (non OAuth 2.0) (Blog de sécurité Google en ligne)


Vous avez quelque chose à ajouter à l’explication? Sonnez dans les commentaires. Vous voulez lire plus de réponses d’autres utilisateurs de Stack Exchange avertis en technologie? Consultez le fil de discussion complet ici.

Laisser un commentaire