Google prévoit de bloquer l'accès au compte Gmail pour certaines apps qui n'utilisent pas le protocole OAuth : voici de quoi il s'agit
De nouvelles choses arrivent en 2020 pour les utilisateurs professionnels de la G Suite de Google et, en particulier, pour ceux qui accèdent à leur boîte de réception Gmail via un client tiers. Cela représente un gros morceau d'utilisateurs, car les clients de messagerie sont encore très populaires dans le monde des affaires.
Google, cependant, a annoncé qu'à partir du 15 juin 2020, il commencera à restreindre l'accès à sa suite par les "applications moins sécurisées" (LSA). D'ici au 15 février 2021, ces applications seront complètement bloquées. Il convient de noter que ces applications incluent certaines anciennes versions de Microsoft Outlook, qui sont toujours utilisées par des millions d'utilisateurs dans le monde. Le choix de Google est une mesure de sécurité : les apps les moins sécurisées sont celles qui n'utilisent pas le protocole OAuth pour l'authentification des utilisateurs, mais uniquement le nom d'utilisateur et le mot de passe, et sont plus facilement sujettes aux attaques de phishing.
Qu'est-ce que le protocole OAuth
Le protocole OAuth est un standard ouvert et n'est pas la propriété de Google. Il est également utilisé par Amazon, Twitter, Facebook et Microsoft lui-même dans ses applications les plus récentes. OAuth intègre des mesures de protection des comptes, tout en conservant une bonne flexibilité et une facilité d'utilisation et de mise en œuvre. Par exemple, grâce à OAuth, une application tierce peut accéder aux données de l'utilisateur, mais sans avoir accès à ses informations d'identification. En d'autres termes, un client de messagerie peut nous permettre de lire et d'écrire des messages, mais sans connaître notre nom d'utilisateur et notre mot de passe, qui restent entre les mains d'OAuth.
Le problème, c'est le phishing
Si Google pousse à la mise en œuvre massive d'OAuth, c'est pour protéger les utilisateurs de G Suite des attaques de phishing, facilitées par une simple authentification par utilisateur et mot de passe. Les nouvelles restrictions s'appliqueront à l'accès à Gmail ainsi qu'à Agenda, Docs et autres services Google. Jusqu'au 15 février 2021, les utilisateurs qui ont connecté à G Suite des apps qui n'utilisent pas OAuth pourront continuer à les utiliser, si elles n'ont pas déjà été désactivées par Google entre-temps.
Est-ce qu'OAuth est sécurisé ?
Il faut aussi dire, cependant, que le protocole OAuth ne s'est pas révélé parfait par le passé. En 2017, par exemple, elle n'a pas réussi à bloquer une attaque de logiciels malveillants contre des utilisateurs de Gmail : une appli infectée a utilisé OAuth pour accéder à certains comptes Gmail. Si les utilisateurs autorisaient l'accès, l'application commençait à envoyer des messages de phishing déguisés en un e-mail normal contenant une fausse pièce jointe Google Docs avec un lien malveillant à l'intérieur. Après cet épisode, Google a décidé de continuer à utiliser OAuth comme système d'authentification, mais a renforcé les mesures de sécurité liées à sa gestion.