Pour renforcer la sécurité des comptes des utilisateurs Google, les jetons OAuth 2.0 générés pour l'accès à un produit spécifique sont automatiquement révoqués en cas de modification du mot de passe d'un utilisateur. Les données des applications de messagerie tierces telles qu'Apple Mail et Mozilla Thunderbird, ainsi que de toute autre application accédant aux messages d'un utilisateur à l'aide de champs d'application de messagerie, ne seront plus synchronisées après la réinitialisation du mot de passe, et ce jusqu'à la génération d'un nouveau jeton OAuth 2.0. Pour cela, l'utilisateur doit se réauthentifier avec le nom d'utilisateur et le mot de passe associés à son compte Google.
Cette nouvelle règle concerne également les applications de messagerie tierces installées sur les appareils mobiles. Par exemple, les utilisateurs qui utilisent l'application de messagerie native sur iOS devront désormais se réauthentifier avec les identifiants de leur compte Google lorsque leur mot de passe aura été modifié. Ce nouveau comportement pour les applications de messagerie tierces sur mobile s'aligne sur le comportement actuel de Gmail sur iOS et Android, qui nécessite également une réauthentification lors de la réinitialisation du mot de passe.
Le processus de révocation des jetons n'inclut pas les applications créées sur Apps Script, même si le script accède à la messagerie.
Remarques :
- Si la modification du mot de passe est déclenchée depuis un appareil Android, le jeton OAuth pour la synchronisation du compte utilisé par cet appareil Android n'est pas révoqué.
- Les sessions IMAP Gmail authentifiées à l'aide d'OAuth ne sont pas affectées par une modification du mot de passe, mais sont limitées à la période de validité du jeton d'accès (généralement une heure).
Questions
Cette modification affecte-t-elle les applications qui utilisent un mot de passe spécifique si la validation en deux étapes est activée ?
Cette modification n'a pour l'heure aucune incidence sur ces applications. Vous serez informé de toute modification dans le traitement des mots de passe d'application s'il y a lieu.
Les jetons sont-ils révoqués à l'expiration du mot de passe ou lors de sa modification ?
La révocation des jetons intervient lorsque le mot de passe est modifié.
La modification d'un mot de passe invalide-t-elle également les jetons d'actualisation, en plus des jetons d'accès ?
Oui, la modification du mot de passe révoque aussi bien les jetons d'accès que les jetons d'actualisation.
Nous utilisons un script personnalisé qui permet de définir plusieurs fois le même mot de passe utilisateur. Cela entraîne-t-il la révocation des jetons ?
Si cette action est effectuée via la fonctionnalité de mise à jour des comptes utilisateur de l'API Directory et si le même mot de passe est transmis par le biais de la même fonction, elle ne sera pas interprétée comme un changement de mot de passe, et les jetons ne devraient pas être révoqués.
Remarque : Si vous utilisez une fonction de hachage qui accepte un sel, veillez à utiliser le même sel pour chaque mise à jour. Cette dernière ne sera ainsi pas considérée comme un changement de mot de passe.
Cette modification affecte-t-elle le paramètre Applications moins sécurisées ?
Le paramètre Applications moins sécurisées n'a aucune incidence sur les jetons révoqués au moment du changement d'un mot de passe.
Google, Google Workspace et les marques et logos associés sont des marques de Google LLC. Tous les autres noms de sociétés et de produits sont des marques des sociétés auxquelles ils sont associés.