Pourquoi Google dit-il que Mozilla Thunderbird est moins sécurisé?
Parfois, lorsque vous recherchez une réponse à une chose, vous finissez par trouver une autre chose plutôt surprenante. Exemple: la déclaration de Google selon laquelle Mozilla Thunderbird est moins sécurisé, mais pourquoi disent-ils cela? Aujourd'hui, le message Q & R de SuperUser répond à la question d'un lecteur confus.
La séance de questions et réponses d'aujourd'hui nous est offerte par SuperUser, une sous-division de Stack Exchange, un groupe de sites Web de questions-réponses dirigé par la communauté..
La question
Le lecteur de SuperUser, Nemo, veut savoir pourquoi Google considère que Thunderbird est moins sécurisé:
Je n'ai jamais eu de problèmes pour utiliser Gmail avec Thunderbird, mais en essayant d'utiliser un logiciel client gratuit pour Google Talk / Chat / Hangout, j'ai découvert la déclaration inattendue suivante. Selon le document de Google sur les applications moins sécurisées:
- […] Les clients de messagerie de bureau tels que Microsoft Outlook et Mozilla Thunderbird.
Google propose ensuite un changement de compte sécurisé ou non sécurisé tout-ou-rien («Autoriser les applications moins sécurisées »).
Pourquoi Google affirme-t-il que Thunderbird ne prend pas en charge les dernières normes de sécurité? Google essaie-t-il de dire que les protocoles standard tels qu'IMAP, SMTP et POP3 sont des moyens moins sécurisés d'accéder à une boîte aux lettres? Essayent-ils de dire que les activités des utilisateurs du logiciel mettent leurs comptes en péril ou quoi que ce soit??
Le rapport de vulnérabilité de Secunia sur Mozilla Thunderbird 24.x dit:
- Non corrigé 11 pour cent (1 des 9 avis Secunia) […] Le plus grave avertissement non corrigé de Secunia concernant Mozilla Thunderbird 24.x, avec tous les correctifs du fournisseur appliqués, est considéré comme extrêmement critique (apparemment SA59803)..
Pourquoi Google affirme-t-il que Mozilla Thunderbird est moins sécurisé??
La réponse
Techie007, contributeur de SuperUser, a la solution pour nous:
C'est parce que ces clients (actuellement) ne prennent pas en charge OAuth 2.0. Selon Google:
- À partir du second semestre de 2014, nous commencerons progressivement à augmenter les contrôles de sécurité effectués lorsque les utilisateurs se connectent à Google. Ces vérifications supplémentaires garantiront que seul l'utilisateur prévu a accès à son compte, que ce soit via un navigateur, un appareil ou une application. Ces modifications affecteront toute application qui envoie un nom d'utilisateur et / ou un mot de passe à Google..
- Pour mieux protéger vos utilisateurs, nous vous recommandons de mettre à niveau toutes vos applications vers OAuth 2.0. Si vous choisissez de ne pas le faire, vos utilisateurs seront tenus de prendre des mesures supplémentaires afin de continuer à accéder à vos applications..
- En résumé, si votre application utilise actuellement des mots de passe en clair pour s'authentifier auprès de Google, nous vous encourageons vivement à limiter les perturbations des utilisateurs en passant à OAuth 2.0..
Source: les nouvelles mesures de sécurité affecteront les applications plus anciennes (non-OAuth 2.0) (blog Google Online Security)
Avez-vous quelque chose à ajouter à l'explication? Sound off dans les commentaires. Voulez-vous lire plus de réponses d'autres utilisateurs de Stack Exchange doués en technologie? Découvrez le fil de discussion complet ici.