Désactiver l'accès des applications moins sécurisées aux comptes Suite
Monday, December 23, 2019
Cet article est la traduction en anglais du post publié sur le blog le 16 décembre.
Nouveautés À compter de juin 2020, l'accès des applications moins sécurisées aux données des comptes G Suite sera limité. Les applications moins sécurisées sont des applications n'appartenant pas à Google qui peuvent accéder à votre compte Google simplement via un nom d'utilisateur et un mot de passe, le rendant de ce fait plus vulnérable aux tentatives de piratage. Vous pourrez, à la place, utiliser des applications compatibles avec OAuth, un protocole qui offre une méthode d'accès récente et sécurisée.
Ce changement risque d'affecter plus particulièrement les utilisateurs d'anciennes applications de messagerie, d'agenda et de gestion de contacts. Pour en savoir plus, reportez-vous aux informations ci-dessous. Nous avons également envoyé un e-mail à l'administrateur principal de votre organisation pour lui fournir des détails concernant ce changement, ainsi que la liste des utilisateurs susceptibles d'être affectés.
L'accès aux applications moins sécurisées sera désactivé en deux temps :
Personnes concernées Utilisateurs finaux
En quoi est-ce important ? De nombreux utilisateurs autorisent des applications n'appartenant pas à Google à accéder aux données G Suite. Ils peuvent, par exemple, permettre à l'application de messagerie iOS de consulter leurs e-mails professionnels. Ces utilisateurs disposent ainsi de davantage d'options, et peuvent opter pour des méthodes de travail qui leur conviennent.
Lorsque les utilisateurs accèdent à leur compte via une application moins sécurisée, ils l'exposent à des risques de piratage, car l'accès se fait uniquement par le biais d'un nom d'utilisateur et d'un mot de passe, sans autre facteur d'authentification. Si une personne malveillante découvre votre nom d'utilisateur et votre mot de passe (parce que vous avez réutilisé ce dernier sur un autre site qui a fait l'objet d'une violation de données, par exemple), elle peut accéder aux données de votre compte avec ces simples identifiants par le biais d'une application moins sécurisée.
Si l'accès à votre compte se fait via le protocole OAuth, en revanche, nous disposons de davantage d'informations sur la connexion, ce qui nous permet de la valider de la même façon que les autres connexions à votre compte. Nous sommes mieux à même d'identifier et de prévenir les tentatives d'accès suspectes, et d'empêcher les pirates informatiques d'accéder aux données de votre compte, et ce même s'ils disposent de votre nom d'utilisateur et de votre mot de passe. OAuth nous permet aussi d'appliquer des règles de connexion définies par l'administrateur G Suite, telles que l'utilisation de clés de sécurité et toute autre option de contrôle comme l'ajout d'applications à la liste blanche et l'accès aux comptes en fonction du champ d'application.
Nous cherchons en permanence à renforcer la sécurité des comptes G Suite de votre organisation. À cette fin, nous avons décidé de supprimer l'accès aux applications moins sécurisées d'ici le 15 février 2021. Les applications et processus utilisant OAuth (voir plus bas) étant très nombreuses, nous espérons que ce changement destiné à accroître la sécurité de votre compte ne perturbera pas de manière notable vos activités.
Comment en profiter ?
Informations supplémentaires Informations destinées aux administrateurs et aux développeurs
Configuration de la gestion des appareils mobiles (MDM) : si votre organisation fait appel à un fournisseur MDM pour configurer des profils CalDAV, CardDAV et Exchange ActiveSync (Google Sync), elle verra ces services être supprimés selon le calendrier suivant :
Instructions destinées aux développeurs : pour que vos applications restent compatibles avec les comptes G Suite, modifiez-les de sorte qu'elles utilisent la méthode de connexion OAuth 2.0. Pour ce faire, reportez-vous à notre guide du développeur sur l'accès aux API Google via OAuth 2.0, ou à notre guide sur OAuth 2.0 pour les applications mobiles et de bureau.
Informations et conseils destinés aux utilisateurs finaux
Si vous utilisez une application qui accède à votre compte Google uniquement au moyen d'un nom d'utilisateur et d'un mot de passe, procédez de l'une des manières suivantes pour continuer à consulter vos e-mails, agendas et contacts avec une méthode d'accès plus sécurisée. En l'absence d'action de votre part, des messages d'erreur vous informant que vos identifiants sont incorrects commenceront à s'afficher à compter du 15 février 2021, date à laquelle les applications moins sécurisées ne pourront plus accéder à votre compte.
Messagerie
Agenda
Liens utiles
Disponibilité Informations sur le déploiement (tous les domaines)
Disponible dans toutes les éditions de G Suite
La fonctionnalité est-elle activée ou désactivée par défaut ?
Cette fonctionnalité sera activée par défaut, sans possibilité de désactivation.
Tenez-vous informé des lancements de G Suite
Ce changement risque d'affecter plus particulièrement les utilisateurs d'anciennes applications de messagerie, d'agenda et de gestion de contacts. Pour en savoir plus, reportez-vous aux informations ci-dessous. Nous avons également envoyé un e-mail à l'administrateur principal de votre organisation pour lui fournir des détails concernant ce changement, ainsi que la liste des utilisateurs susceptibles d'être affectés.
L'accès aux applications moins sécurisées sera désactivé en deux temps :
- Après le 15 juin 2020 : les utilisateurs qui tenteront de se connecter à des applications moins sécurisées pour la première fois ne seront pas autorisés à le faire. Cela comprend les applications tierces qui se connectent par simple mot de passe aux agendas, aux contacts et à la messagerie Google, via des protocoles tels que CalDAV, CardDAV et IMAP. Les utilisateurs qui s'étaient déjà connectés à des applications moins sécurisées avant cette date pourront continuer à y avoir accès, jusqu'à leur désactivation complète.
- Après le 15 février 2021 : l'accès aux applications moins sécurisées sera désactivé pour tous les comptes G Suite.
Lorsque les utilisateurs accèdent à leur compte via une application moins sécurisée, ils l'exposent à des risques de piratage, car l'accès se fait uniquement par le biais d'un nom d'utilisateur et d'un mot de passe, sans autre facteur d'authentification. Si une personne malveillante découvre votre nom d'utilisateur et votre mot de passe (parce que vous avez réutilisé ce dernier sur un autre site qui a fait l'objet d'une violation de données, par exemple), elle peut accéder aux données de votre compte avec ces simples identifiants par le biais d'une application moins sécurisée.
Si l'accès à votre compte se fait via le protocole OAuth, en revanche, nous disposons de davantage d'informations sur la connexion, ce qui nous permet de la valider de la même façon que les autres connexions à votre compte. Nous sommes mieux à même d'identifier et de prévenir les tentatives d'accès suspectes, et d'empêcher les pirates informatiques d'accéder aux données de votre compte, et ce même s'ils disposent de votre nom d'utilisateur et de votre mot de passe. OAuth nous permet aussi d'appliquer des règles de connexion définies par l'administrateur G Suite, telles que l'utilisation de clés de sécurité et toute autre option de contrôle comme l'ajout d'applications à la liste blanche et l'accès aux comptes en fonction du champ d'application.
Nous cherchons en permanence à renforcer la sécurité des comptes G Suite de votre organisation. À cette fin, nous avons décidé de supprimer l'accès aux applications moins sécurisées d'ici le 15 février 2021. Les applications et processus utilisant OAuth (voir plus bas) étant très nombreuses, nous espérons que ce changement destiné à accroître la sécurité de votre compte ne perturbera pas de manière notable vos activités.
- Administrateurs :
- Pour en savoir plus et connaître les actions recommandées, reportez-vous à la section "Informations supplémentaires" ci-dessous.
- Pour obtenir la liste des utilisateurs susceptibles d'être concernés par ce changement, consultez le message associé à l'objet "Passez aux applications OAuth, car l'accès par mot de passe ne sera bientôt plus disponible", que nous avons adressé à l'administrateur principal de votre organisation.
- Utilisateurs finaux : pour obtenir plus d'informations et connaître les actions recommandées, consultez la section "Informations et conseils destinés aux utilisateurs finaux" ci-dessous. Vous pouvez également vous reporter à notre centre d'aide pour en savoir plus sur les applications moins sécurisées et votre compte Google.
Configuration de la gestion des appareils mobiles (MDM) : si votre organisation fait appel à un fournisseur MDM pour configurer des profils CalDAV, CardDAV et Exchange ActiveSync (Google Sync), elle verra ces services être supprimés selon le calendrier suivant :
- 15 juin 2020 : les nouveaux utilisateurs ne pourront plus configurer IMAP, CalDAV, CardDAV ni Exchange ActiveSync (Google Sync) dans le cadre de la gestion des appareils mobiles.
- 15 février 2021 : les déploiements MDM pour IMAP, CalDAV, CardDAV et Exchange ActiveSync (Google Sync) ne fonctionneront plus pour les utilisateurs existants. Les administrateurs devront utiliser l'option Déployer la configuration du compte Google par le biais de leur fournisseur MDM, ce qui leur permettra d'ajouter de nouveau leurs comptes Google aux appareils iOS via OAuth.
Instructions destinées aux développeurs : pour que vos applications restent compatibles avec les comptes G Suite, modifiez-les de sorte qu'elles utilisent la méthode de connexion OAuth 2.0. Pour ce faire, reportez-vous à notre guide du développeur sur l'accès aux API Google via OAuth 2.0, ou à notre guide sur OAuth 2.0 pour les applications mobiles et de bureau.
Informations et conseils destinés aux utilisateurs finaux
Si vous utilisez une application qui accède à votre compte Google uniquement au moyen d'un nom d'utilisateur et d'un mot de passe, procédez de l'une des manières suivantes pour continuer à consulter vos e-mails, agendas et contacts avec une méthode d'accès plus sécurisée. En l'absence d'action de votre part, des messages d'erreur vous informant que vos identifiants sont incorrects commenceront à s'afficher à compter du 15 février 2021, date à laquelle les applications moins sécurisées ne pourront plus accéder à votre compte.
Messagerie
- Si vous utilisez la version autonome d'Outlook 2016 ou une version antérieure, vous pouvez opter pour G Suite Sync for Microsoft Outlook. Vous avez également la possibilité de passer à Office 365 (une version d'Outlook basée sur le Web) ou à Outlook 2019, tous deux compatibles avec OAuth.
- Si vous utilisez Thunderbird ou un autre client de messagerie, ajoutez de nouveau votre compte Google et configurez-le de manière qu'il mette en œuvre le protocole IMAP avec OAuth.
- Si vous utilisez l'application de messagerie sous iOS ou MacOS, ou Outlook pour Mac, et que vous ne vous connectez qu'au moyen d'un mot de passe, vous devrez supprimer votre compte et le rajouter. Lors de cette opération, veillez à choisir Google comme type de compte afin d'utiliser automatiquement OAuth.
Agenda
- Si vous utilisez CalDAV pour permettre à des applications ou à des appareils d'accéder à votre agenda, passez à une méthode compatible avec OAuth. Nous vous recommandons d'utiliser Google Agenda [Web/iOS/Android], qui est l'application la plus sécurisée pour votre compte G Suite.
- Si votre compte G Suite est associé à l'application d'agenda sous iOS ou MacOS, et que vous ne vous y connectez qu'au moyen d'un mot de passe, vous devrez le supprimer et le rajouter sur votre appareil. Lors de cette opération, sélectionnez l'option "Se connecter avec Google" pour utiliser automatiquement OAuth. En savoir plus
- Si votre compte G Suite synchronise les contacts sous iOS ou MacOS via CardDAV et que la connexion s'effectue par simple mot de passe, vous devrez le supprimer. Lorsque vous le rajouterez, sélectionnez l'option "Se connecter avec Google" pour utiliser automatiquement OAuth. En savoir plus
- Si votre compte G Suite synchronise les contacts avec une autre plate-forme ou application via CardDAV et que la connexion s'effectue par simple mot de passe, vous devrez utiliser une méthode compatible avec OAuth.
- Si d'autres applications accèdent à vos informations de compte G Suite par un simple mot de passe sous iOS ou MacOS, vous pouvez supprimer votre compte et le rajouter pour résoudre la plupart des problèmes d'accès. Lors de cette opération, veillez à sélectionner Google comme type de compte pour utiliser automatiquement OAuth.
- Pour toute autre application moins sécurisée, contactez votre administrateur ou demandez au développeur de rendre son application compatible avec OAuth.
- Si le développeur ne modifie pas son application en conséquence, vous devrez passer à un client compatible avec OAuth.
- Blog Nouveautés de G Suite : Limiter l'accès aux applications moins sécurisées pour protéger les comptes G Suite
- Centre d'aide pour les administrateurs : Contrôler l'accès aux applications moins sécurisées
- Centre d'aide pour les administrateurs : Utiliser des applications plus sécurisées
- Centre d'aide pour les utilisateurs finaux : Les applications moins sécurisées et votre compte Google
- Après le 15 juin 2020
- Les utilisateurs qui tenteront de se connecter à une application moins sécurisée pour la première fois ne seront pas autorisés à le faire. Cela comprend les applications tierces qui se connectent par simple mot de passe aux agendas, aux contacts et à la messagerie Google, via des protocoles tels que CalDAV, CardDAV et IMAP. Les utilisateurs qui s'étaient déjà connectés à des applications moins sécurisées avant cette date pourront continuer à y avoir accès, jusqu'à leur désactivation complète.
- Les nouveaux utilisateurs ne pourront plus configurer CalDAV ni CardDAV dans le cadre de la gestion des appareils mobiles.
- Après le 15 février 2021
- L'accès aux applications moins sécurisées sera désactivé pour l'ensemble des comptes G Suite.
- Les utilisateurs existants ne pourront plus configurer CalDAV ni CardDAV dans le cadre de la gestion des appareils mobiles. Pour continuer à synchroniser leurs contacts, agendas ou e-mails, ils devront ajouter à nouveau leur compte Google.
Disponible dans toutes les éditions de G Suite
La fonctionnalité est-elle activée ou désactivée par défaut ?
Cette fonctionnalité sera activée par défaut, sans possibilité de désactivation.
Tenez-vous informé des lancements de G Suite
- Recevoir les notifications relatives aux mises à jour des produits G Suite par e-mail
- Consulter le calendrier de lancement des mises à jour de G Suite
- S'abonner au flux RSS de ces mises à jour