Pour renforcer la sécurité des comptes des utilisateurs Google, les jetons OAuth 2.0 générés pour l'accès à certains produits sont automatiquement révoqués en cas de modification du mot de passe d'un utilisateur. Les applications de messagerie tierces telles qu'Apple Mail et Mozilla Thunderbird, ainsi que toute autre application accédant aux messages d'un utilisateur à l'aide de champs d'application de messagerie, ne synchroniseront plus les données après la réinitialisation du mot de passe, et ce jusqu'à la génération d'un nouveau jeton OAuth 2.0. Pour cela, l'utilisateur doit se réauthentifier avec le nom d'utilisateur et le mot de passe associés à son compte Google.
Les applications de messagerie tierces sur mobile sont également concernées par cette modification du règlement. Par exemple, les utilisateurs qui utilisent l'application de messagerie native sur iOS devront désormais se réauthentifier avec les identifiants de leur compte Google lorsqu'ils auront modifié leur mot de passe. Ce nouveau comportement des applications de messagerie tierces sur mobile s'aligne sur le comportement actuel de Gmail sur iOS et Android, qui nécessite également une réauthentification lors de la réinitialisation du mot de passe.
La procédure de révocation de jeton n'inclut pas les applications créées sur Apps Script, même si le script accède au courrier.
Remarques :
- Si la modification du mot de passe est déclenchée depuis un appareil Android, le jeton OAuth pour la synchronisation du compte utilisé par cet appareil Android n'est pas révoqué.
- Les sessions IMAP Gmail authentifiées à l'aide d'OAuth ne sont pas affectées par un changement de mot de passe, mais sont limitées à la période de validité du jeton d'accès (généralement une heure).
Questions
Quel est l'impact de ce changement sur les applications utilisant un mot de passe d'application si la validation en deux étapes est activée ?
Pour le moment, il n'y a aucun impact. Nous vous informerons de toute modification apportée au traitement des mots de passe d'application.
Quand les jetons sont-ils révoqués ? À l'expiration ou à la modification du mot de passe ?
Les jetons sont révoqués lorsque le mot de passe est modifié.
Le changement de mot de passe invalide-t-il les jetons d'accès et les jetons d'actualisation ?
Oui, le changement de mot de passe invalide les jetons d'accès et les jetons d'actualisation.
Nous disposons d'un script personnalisé qui définit le même mot de passe pour un utilisateur à plusieurs reprises. Cela entraînera-t-il la révocation du jeton ?
Si cela est fait par le biais de la mise à jour des utilisateurs de l'API Directory et que le même mot de passe est haché à l'aide de la même fonction, cela ne sera pas considéré comme un changement de mot de passe. Les jetons ne devraient donc pas être révoqués.
Remarque : Si vous utilisez une fonction de hachage qui accepte un sel, assurez-vous d'utiliser le même sel pour chaque mise à jour. Cela garantit que la modification n'est pas traitée comme un changement de mot de passe.
Quel est l'impact de ce changement sur le paramètre Applications moins sécurisées ?
Le paramètre Applications moins sécurisées n'aura aucune incidence sur la révocation des jetons lors du changement de mot de passe.
Google, Google Workspace, ainsi que les marques et logos associés sont des marques appartenant à Google LLC. Tous les autres noms de sociétés et de produits sont des marques des sociétés auxquelles ils sont associés.