Ce qui change
À partir de juin 2020, nous limiterons la possibilité pour les apps moins sécurisées (LSA) d’accéder aux données des comptes G Suite. Les LSA sont des applications non Google qui peuvent accéder à votre compte Google avec seulement un nom d’utilisateur et un mot de passe. Elles rendent votre compte plus vulnérable aux tentatives de détournement. Au lieu des LSA, vous pouvez utiliser des applications qui prennent en charge OAuth, une méthode d’accès moderne et sécurisée.
Ceci est susceptible d’avoir un impact sur les utilisateurs des anciennes applications de messagerie, de calendrier et de contacts – voir ci-dessous pour plus de détails. Nous avons également envoyé un courriel à l’administrateur principal de votre organisation avec des détails autour de ce changement. Cet e-mail comprend une liste d’utilisateurs susceptibles d’être affectés.
L’accès aux LSA sera désactivé en deux étapes :
- Après le 15 juin 2020 – Les utilisateurs qui tentent de se connecter à un LSA pour la première fois ne pourront plus le faire. Cela inclut les applications tierces qui permettent un accès par mot de passe uniquement aux calendriers, contacts et e-mails de Google via des protocoles tels que CalDAV, CardDAV, IMAP et Exchange ActiveSync (Google Sync). Les utilisateurs qui se sont connectés aux LSA avant cette date pourront continuer à les utiliser jusqu’à ce que l’utilisation de tous les LSA soit désactivée.
- Après le 15 février 2021 – L’accès aux LSA sera désactivé pour tous les comptes G Suite.
Ceci est une continuation de notre processus précédemment annoncé visant à limiter l’accès aux apps moins sécurisées pour protéger les comptes G Suite. Voir ci-dessous pour plus de détails sur l’impact possible de ce changement, et quelques recommandations pour la gestion du changement avec les utilisateurs de LSA.
Qui est impacté
Les utilisateurs finaux
Pourquoi cela importe
De nombreux utilisateurs utilisent des apps non Google, et donnent à ces apps la permission d’accéder aux données de G Suite. Par exemple, vous pouvez donner à l’app de messagerie iOS la permission de voir votre courrier électronique professionnel. Cela offre aux utilisateurs plus d’options et les aide à effectuer leur travail d’une manière qui leur convient bien.
Lorsque l’accès à un compte est fourni par un LSA, ce compte risque d’être détourné. En effet, les LSA permettent à une application non Google d’accéder à votre compte grâce à un simple nom d’utilisateur et un mot de passe, sans autre facteur d’authentification. Si un mauvais acteur a accès à votre nom d’utilisateur et à votre mot de passe (par exemple, si vous réutilisez le mot de passe sur un autre site qui fait l’objet d’une violation de données), il pourrait accéder aux données de votre compte avec ces seules informations de nom d’utilisateur et de mot de passe par le biais d’un LSA.
Cependant, lorsque l’accès au compte est fourni par OAuth, nous obtenons plus de détails sur la connexion et pouvons la valider de la même manière que pour toute autre connexion à votre compte. Cela signifie que nous pouvons mieux identifier et prévenir les tentatives de connexion suspectes, empêchant les pirates d’accéder aux données du compte même s’ils disposent de votre nom d’utilisateur et de votre mot de passe. OAuth nous aide également à appliquer les politiques de connexion définies par l’administrateur de G Suite, telles que l’utilisation de clés de sécurité, ainsi que d’autres contrôles de sécurité tels que la mise en liste blanche des apps et l’offre d’un accès au compte basé sur la portée.
Comme nous travaillons constamment à améliorer la sécurité des comptes G Suite de votre organisation, nous avons pris la décision de supprimer l’accès LSA d’ici le 15 février 2021. Compte tenu des nombreuses applications et processus alternatifs disponibles qui utilisent OAuth (décrits ci-dessous), nous espérons que cela ne causera pas de perturbations importantes tout en augmentant la sécurité de votre compte.
Comment démarrer
- Admins :
- Voir la section « Détails supplémentaires » ci-dessous pour plus d’informations et les actions recommandées.
- Voir le courriel envoyé à l’administrateur principal de votre organisation avec pour objet » Passez à des apps qui utilisent un accès OAuth sécurisé, car l’accès par mot de passe ne sera plus pris en charge » pour obtenir une liste des utilisateurs susceptibles d’être affectés par ce changement.
- Les utilisateurs finaux : Consultez la section « Informations et conseils aux utilisateurs » ci-dessous pour plus de détails et les actions recommandées, ou utilisez notre Centre d’aide pour en savoir plus sur les apps moins sécurisées et votre compte Google.
Détails supplémentaires
Information pour les administrateurs et les développeurs
Configuration de la gestion des appareils mobiles (MDM) – Si votre organisation utilise un fournisseur de gestion des appareils mobiles (MDM) pour configurer les profils CalDAV, CardDAV et Exchange ActiveSync (Google Sync), ces services seront progressivement supprimés selon le calendrier ci-dessous :
- 15 juin 2020 – Le push MDM d’IMAP, CalDAV, CardDAV et Exchange ActiveSync (Google Sync) ne fonctionnera plus pour les nouveaux utilisateurs.
- 15 février 2021 – MDM push d’IMAP, CalDAV, CardDAV, et Exchange ActiveSync (Google Sync) ne fonctionnera plus pour les utilisateurs existants. Les administrateurs devront pousser un compte Google à l’aide de leur fournisseur MDM, qui ajoutera à nouveau leurs comptes Google aux appareils iOS en utilisant OAuth.
Scanners et autres appareils – Aucun changement n’est nécessaire pour les scanners ou autres appareils utilisant le protocole de transfert de courrier simple (SMTP) ou les LSA pour envoyer des e-mails. Si vous remplacez votre appareil, cherchez-en un qui envoie des e-mails en utilisant OAuth.
Instructions pour les développeurs – Pour maintenir la compatibilité avec les comptes G Suite, mettez à jour votre application pour utiliser OAuth 2.0 comme méthode de connexion. Pour commencer, suivez notre guide du développeur sur l’utilisation d’OAuth 2.0 pour accéder aux API de Google. Vous pouvez également consulter notre guide sur OAuth 2.0 pour les & applications de bureau mobiles.
Informations et conseils pour l’utilisateur final
Si vous utilisez une application qui accède à votre compte Google uniquement à l’aide d’un nom d’utilisateur et d’un mot de passe, prenez l’une des mesures suivantes pour passer à une méthode plus sécurisée et continuer à accéder à vos e-mails, votre agenda ou vos contacts. Si vous ne prenez pas l’une des mesures suivantes, lorsque l’accès au LSA sera interrompu après le 15 février 2021, vous commencerez à recevoir un message d’erreur indiquant que votre combinaison nom d’utilisateur-mot de passe est incorrecte.
Email
- Si vous utilisez Outlook 2016 ou une version antérieure autonome, vous pouvez utiliser G Suite Sync pour Microsoft Outlook. Sinon, passez à Office 365 (ou Outlook 2019), qui prennent en charge l’accès OAuth.
- Si vous utilisez Thunderbird ou un autre client de messagerie, ajoutez à nouveau votre compte Google et configurez-le pour utiliser IMAP avec OAuth.
- Si vous utilisez l’application de messagerie sur iOS ou MacOS, ou Outlook pour Mac, et que vous utilisez uniquement un mot de passe pour vous connecter, vous devrez supprimer et réinsérer votre compte. Lorsque vous le rajoutez, veillez à choisir Google comme type de compte pour utiliser automatiquement OAuth.
Calendar
- Si vous utilisez CalDAV pour donner à une app ou à un appareil l’accès à votre calendrier, passez à une méthode qui prend en charge OAuth. Nous recommandons l’app Google Calendar comme l’app la plus sécurisée à utiliser avec votre compte G Suite.
- Si votre compte G Suite est lié à l’app Calendrier dans iOS ou MacOS et utilise uniquement un mot de passe pour se connecter, vous devrez supprimer et réinsérer votre compte sur votre appareil. Lorsque vous le rajoutez, sélectionnez « se connecter avec Google » pour utiliser automatiquement OAuth. En savoir plus.
Contacts
- Si votre compte G Suite synchronise les contacts sur iOS ou MacOS via CardDAV et utilise uniquement un mot de passe pour se connecter, vous devrez supprimer votre compte. Lorsque vous le rajoutez, sélectionnez « se connecter avec Google » pour utiliser automatiquement OAuth. Lire la suite.
- Si votre compte G Suite synchronise des contacts avec une autre plateforme ou un autre organisme via CardDAV et n’utilise qu’un mot de passe pour se connecter, passez à une méthode qui prend en charge OAuth.
Autres apps moins sécurisées
- Si vous utilisez d’autres apps sur iOS ou MacOS qui accèdent aux informations de votre compte G Suite uniquement via un mot de passe, la plupart des problèmes d’accès peuvent être résolus en supprimant puis en réinsérant votre compte. Lorsque vous le rajoutez, veillez à sélectionner Google comme type de compte pour utiliser automatiquement OAuth.
- Pour tout autre LSA, contactez votre administrateur ou demandez au développeur de l’application que vous utilisez de commencer à prendre en charge OAuth.
- Si le développeur ne veut pas mettre à jour son app, vous devrez passer à un client qui offre OAuth.
- G Suite Updates Blog : Limiter l’accès aux apps moins sécurisées pour protéger les comptes G Suite
- Centre d’aide pour les administrateurs : Contrôler l’accès aux apps moins sécurisées
- Centre d’aide aux administrateurs : Utiliser des alternatives aux apps moins sécurisées
- Centre d’aide pour les utilisateurs finaux : Les apps moins sécurisées et votre compte Google
Disponibilité
Détails du déploiement – tous les domaines
- Après le 15 juin 2020
- Les utilisateurs qui tentent de se connecter à un LSA pour la première fois ne pourront plus le faire. Cela inclut les applications tierces qui permettent un accès par mot de passe uniquement aux calendriers, contacts et e-mails de Google via des protocoles tels que CalDAV, CardDAV, IMAP et Exchange ActiveSync (Google Sync) . Les utilisateurs qui se sont connectés aux LSA avant cette date pourront continuer à les utiliser jusqu’à ce que l’utilisation de tous les LSA soit désactivée.
- La configuration MDM de CalDAV ou CardDAV ne fonctionnera plus pour les nouveaux utilisateurs.
- Après le 15 février 2021
- L’accès aux LSA sera désactivé pour tous les comptes G Suite.
- La configuration MDM de CalDAV et CardDAV ne fonctionnera plus pour les utilisateurs existants. Tous les utilisateurs existants devront ajouter à nouveau leurs comptes Google s’ils souhaitent synchroniser leurs contacts, leur calendrier ou leur courrier électronique.
Éditions de G Suite
Applicable à toutes les éditions de G Suite
On/off by default?
Cette fonctionnalité sera activée par défaut et ne pourra pas être désactivée.
Rester au courant des lancements de G Suite
- Recevoir des alertes de mise à jour des produits G Suite par email
- Voir le calendrier des lancements de G Suite
- S’abonner au flux RSS de ces mises à jour
.