Pourquoi Google appelle-t-il Thunderbird «moins sécurisé»?

58

Je n'ai encore jamais eu de problèmes d'utilisation de Gmail avec Thunderbird, mais en essayant d'utiliser un logiciel client gratuit pour Google Talk / Chat / Hangout, j'ai découvert que, selon le document de Google sur les "applications moins sécurisées" :

Parmi les applications qui ne prennent pas en charge les dernières normes de sécurité, citons les clients de messagerie [...] Desktop tels que Microsoft Outlook et Mozilla Thunderbird.

Google propose ensuite un basculement de compte sécurisé ou non sécurisé « Tout ou rien » («Autoriser les applications moins sécurisées»).

Pourquoi Google dit-il que Thunderbird "ne prend pas en charge les dernières normes de sécurité"? Google essaie-t-il de dire que les protocoles standard tels qu'IMAP, SMTP et POP3 sont des moyens "moins sécurisés" d'accéder à une boîte aux lettres? Est-ce qu'ils essaient de dire que l'utilisation que font les utilisateurs de ce logiciel met leur compte en danger? Ou quoi?

Rapport de vulnérabilité de Secunia : Mozilla Thunderbird 24.x (où est 31?) Indique «Non corrigée 11% (1 des 9 avis Secunia) [...] La plus sévère recommandation de Secunia non corrigée concernant Mozilla Thunderbird 24.x, avec tous les correctifs de fournisseurs appliqués , est très critique », apparemment SA59803 .

Mise à jour 2 : à compter de 2018, Google double les envois en invitant à désactiver les accès "moins sécurisés":

Notification Google

Mise à jour : OAuth2 est disponible dans Thunderbird 38, mais des correctifs supplémentaires ont été apportés dans les versions ultérieures. Le bogue 849540 a été fermé. Je ne comprends toujours pas les objectifs de tout ce cirque. Capture d'écran du serveur SMTP italien Thunderbird 38.1.0

email security thunderbird gmail imap Nemo
la source
7
Problème Bugzilla pertinent.
Bob
2
Si l'authentification à deux facteurs est activée sur le compte, vous pouvez générer un mot de passe spécifique à l'application pour Thunderbird.
Ry-
8
Cela appelle vraiment la réponse "Parce que Google a tort."
Josué
4
Related from Security.SE: Quels sont les dangers de permettre à des «applications moins sécurisées» d'accéder à mon compte Google? (Je pense que la pratique consistant à laisser des tiers voir vos informations d'identification est assez qualifiée de "moins sûre", mais je ne sais absolument pas quel avantage pour la sécurité Google donne en refusant l'authentification une fois que vous avez déjà cédé vos informations d'identification.)
apsillers

Réponses:

51

C'est parce que ces clients (actuellement) ne prennent pas en charge OAuth 2.0 .

... à partir du second semestre de 2014, nous commencerons à augmenter progressivement les contrôles de sécurité effectués lorsque les utilisateurs se connectent à Google. Ces vérifications supplémentaires garantiront que seul l'utilisateur prévu a accès à son compte, que ce soit via un navigateur, un appareil ou une application. Ces modifications affecteront toute application qui envoie un nom d'utilisateur et / ou un mot de passe à Google.

Pour mieux protéger vos utilisateurs, nous vous recommandons de mettre à niveau toutes vos applications vers OAuth 2.0. Si vous choisissez de ne pas le faire, vos utilisateurs seront tenus de prendre des mesures supplémentaires afin de continuer à accéder à vos applications.

...

En résumé, si votre application utilise actuellement des mots de passe en clair pour s'authentifier auprès de Google, nous vous encourageons vivement à limiter les perturbations pour les utilisateurs en passant à OAuth 2.0.

Source: "Les nouvelles mesures de sécurité affecteront les applications plus anciennes (non-OAuth 2.0)" - Google Online Security Blog

Ƭᴇcʜιᴇ007
la source
14
Le problème n'est pas vraiment la sécurité, c'est le contrôle de la qualité pour l'exploration de données. Une véritable sécurité empêcherait Google d'exploiter vos données personnelles.
fixer1234
19
@ fix1234 Personnellement, je pense que c'est plus à propos de Google qui veut forcer la participation d'un navigateur Web (étape 2 de l'authentification), dans l'espoir que vous serez éventuellement ennuyé par l'utilisation du seul client de messagerie Web (de Google). ;)
cʜιᴇ007
24
@Nemo "Mots de passe standard" n'indique pas si les mots de passe sont cryptés en transit, mais si l'application tierce (dans ce cas, Thunderbird) a accès au mot de passe de votre compte Google en texte brut. Avec OAuth, ce n'est pas le cas. En fonction de la sécurité et de la fiabilité de l'application tierce, le fait qu'elle stocke ou non votre mot de passe en texte brut peut constituer un problème de sécurité critique.
Ajedi32
10
Ajedi32, je comprends ce qu'ils veulent dire, mais la terminologie n'est pas claire. Sur cette réponse, c'est techniquement correct, mais à mon humble avis pas satisfaisant. Quel sens y a-t-il à déclarer que les "applications moins sécurisées" pour accéder à gmail incluent Thunderbird, mais pas les navigateurs Web qui stockent la plupart du temps des mots de passe, parfois même pas cryptés?
Nemo
4
OAuth est plus sécurisé car il suffit de déchiffrer le trousseau de clés (mots de passe en texte brut) pendant une très courte durée pendant que vous autorisez l'agent de messagerie. Que vous utilisiez l'authentification dans le navigateur ou que le logiciel de messagerie lui-même prenne en charge OAuth intégré autorisation. Si le logiciel de messagerie n'utilise pas OAuth, vous aurez besoin de déverrouiller le trousseau pratiquement tout le temps, empêchant ainsi le cryptage (votre mot de passe est également menacé chaque fois que vous suspendez ou mettez en veille l'ordinateur avec le trousseau déverrouillé).
Lie Ryan
4

À partir de Thunderbird 38, OAuth 2.0 est pris en charge, voir https://support.mozilla.org/en-US/kb/thunderbird-and-gmail et https://support.mozilla.org/en-US/kb/thunderbird- et-gmail

Remarque : Si vous avez un compte gmail existant dans Thunderbird, vous devez modifier la méthode d'authentification dans les paramètres de votre compte:

Pour IMAP dans Paramètres de compte GMail> Paramètres du serveur> Méthode d'authentification: "OAuth2"

et pour SMTP (envoi), il existe un paramètre distinct, choisissez Gmail (smtp.googlemail.com)> Modifier la méthode d'authentification à nouveau pour OAuth2 .

(Vous pouvez également supprimer votre compte GMail et en créer un nouveau.)

Pedi T.
la source
Est-ce toujours un protocole ouvert et standard? Combien de clients de messagerie le prennent en charge? Quels sont ses avantages en matière de sécurité? (Votre réponse est bonne mais jusqu'à ce que je voie de tels points abordés, je ne considère pas la question initiale résolue.)
Nemo
2
Eh bien, je n'ai aucune idée des problèmes de sécurité des autres options d'authentification, même si cela m'intéresse moi-même. Je cherchais seulement une solution pratique pour continuer à utiliser la tuberculose avec GMail et éviter ce message d'avertissement :-)
Pedi T.