Parfois, lorsque vous cherchez une réponse à une chose, vous finissez par trouver autre chose plutôt surprenant. Exemple concret, la déclaration de Google selon laquelle Mozilla Thunderbird est moins sécurisé, mais pourquoi disent-ils cela? Le post de questions-réponses de SuperUser d’aujourd’hui a la réponse à la question d’un lecteur confus.
La question
Le lecteur SuperUser Nemo veut savoir pourquoi Google considère Thunderbird comme moins sécurisé:
Je n’ai jamais eu de problèmes avec Gmail avec Thunderbird, mais en essayant d’utiliser un logiciel client gratuit pour Google Talk / Chat / Hangout, j’ai découvert la déclaration inattendue suivante. Selon Document de Google sur les applications moins sécurisées:
- Quelques exemples d’applications qui ne prennent pas en charge les dernières normes de sécurité incluent […] Clients de messagerie de bureau comme Microsoft Outlook et Mozilla Thunderbird.
Google propose alors un tout ou rien changement de compte sécurisé ou non sécurisé («).
Pourquoi Google dit-il que Thunderbird ne prend pas en charge les dernières normes de sécurité? Google essaie-t-il de dire que les protocoles standard tels que IMAP, SMTP et POP3 sont des moyens moins sûrs d’accéder à une boîte aux lettres? Essaient-ils de dire que les activités des utilisateurs avec le logiciel mettent leurs comptes en danger ou quoi?
Rapport de vulnérabilité de Secunia sur Mozilla Thunderbird 24.x dit:
- 11 pour cent non corrigé (1 avis sur 9 Secunia) […] L’avis Secunia non corrigé le plus grave affectant Mozilla Thunderbird 24.x, avec tous les correctifs du fournisseur appliqués, est considéré comme hautement critique (apparemment SA59803).
Pourquoi Google dit-il que Mozilla Thunderbird est moins sécurisé?
La réponse
Techie007, contributeur SuperUser, a la réponse pour nous:
C’est parce que ces clients (actuellement) ne prennent pas en charge OAuth 2.0. Selon Google:
- À partir du second semestre 2014, nous commencerons à augmenter progressivement les contrôles de sécurité effectués lorsque les utilisateurs se connectent à Google. Ces vérifications supplémentaires garantiront que seul l’utilisateur prévu a accès à son compte, que ce soit via un navigateur, un appareil ou une application. Ces modifications affecteront toute application qui envoie un nom d’utilisateur et / ou un mot de passe à Google.
- Pour mieux protéger vos utilisateurs, nous vous recommandons de mettre à niveau toutes vos applications vers OAuth 2.0. Si vous choisissez de ne pas le faire, vos utilisateurs devront prendre des mesures supplémentaires afin de continuer à accéder à vos applications.
- En résumé, si votre application utilise actuellement des mots de passe simples pour s’authentifier auprès de Google, nous vous encourageons vivement à minimiser les perturbations des utilisateurs en passant à OAuth 2.0.
La source: Les nouvelles mesures de sécurité affecteront les applications plus anciennes (non-OAuth 2.0) (Blog de sécurité en ligne Google)
Avez-vous quelque chose à ajouter à l’explication? Sonnez dans les commentaires. Vous voulez lire plus de réponses d’autres utilisateurs de Stack Exchange férus de technologie? Consultez le fil de discussion complet ici.