Communauté Orange

Gestion des mots de passe dans Thunderbird

Ancien Membre
Posté le
‎20/11/2022 8h38
Modifié le
14/11/2024

Article rédigé par @Papou22 

 

Gestion des mots de passe dans Thunderbird

 

Tout logiciel client de messagerie ou «courrielleur» doit connaître les adresses et mots de passe des comptes dont on lui confie la gestion car il y accède et les ouvre en lieu et place de l’utilisateur.


Lors de l’installation du produit, il est nécessaire de lui faire connaître au moins un compte de messagerie existant, voire plusieurs.

Afin de permettre à Thunderbird d'ouvrir et gérer un compte de messagerie il doit connaître le mot de passe de celui-ci.

Thunderbird mémorisera le mot de passe associé à chaque adresse et il ne sera plus jamais nécessaire de le lui fournir par la suite. Par conséquent, le mot de passe peut être aussi complexe que possible et on pourra (presque) l’oublier, sachant qu’il sera possible de le retrouver dans Thunderbird si nécessaire.

 

Pour un compte Orange (et chez certains autres opérateurs) on distingue deux façons de fournir les mots de passe de comptes à Thunderbird :

 

  • Le mot de passe ordinaire de chaque compte : C'est à dire le même que celui qui permet à l'utilisateur d'un compte de messagerie de s'identifier sur le portail Orange afin d'accéder à ses messages en mode webmail. Mais ce mode d'accès laisse une faille de sécurité béante et comporte un important risque de piratage :

Même si l'utilisateur a protégé l’identification sur son compte par l'authentification à deux facteurs (2FA) Mobile Connect renforcé, le compte reste accessible sans authentification 2FA par tout logiciel de messagerie, donc sans autre protection que son mot de passe.

 

Par conséquent : si un pirate a trouvé par un moyen quelconque le mot de passe du compte, il lui suffit de déclarer ce compte dans un logiciel de messagerie comme Thunderbird pour pouvoir accéder aux mails présents sur le serveur et les siphonner chez lui. Il a potentiellement la possibilité d'y supprimer mails et dossiers.

Si ce compte est déclaré en protocole IMAP dans divers courrielleurs utilisés par le propriétaire du compte, leur disparition sur le serveur entrainera également leur disparition dans les courrielleurs !

 

  • Un mot de passe d'application :

Orange fournit la possibilité de générer un mot de passe d'application pour chaque compte déclaré dans une application de messagerie tierce : Procédure ici.


Note : Ce principe de mot de passe d'application dédié n'est pas spécifique à Thunderbird et s'applique également à toutes les applications de messagerie tierces en mode client-serveur, quelque soit le type de terminal.

Par exemple : Mail sur terminaux Apple, E-mail sur smartphone ou tablette Samsung, Gmail (à télécharger) sur autres terminaux Androïd, Outlook sur PC Windows ou Linux, ou à tout autre courrielleur).


Un tel mot de passe est :


- Très complexe : Il est impossible de le deviner par force brute à l'aide d'un robot car le nombre de combinaisons à essayer est : les 20 caractères alphabétiques (du mot de passe) à la puissance 26 (les 26 caractères de l’alphabet), soit : 67108864 suivi de 33 zéros !

C'est à dire des milliards de milliards de milliards de milliards de ...!

 

- Différent et indépendant du mot de passe ordinaire du compte. Il n'empêche pas l'usage de ce dernier en mode webmail.


- Unique donc différent d'un compte à l'autre.


- Obligatoire après génération pour accéder au compte via toute application de messagerie installée sur un équipement. Le retour à un mot de passe ordinaire n'est plus possible.


- Il ne sera nécessaire de l'entrer qu'une seule fois par copier-coller pour chaque compte déclaré dans un logiciel tiers et, bien que possible, il n'aura pas besoin d'être modifié périodiquement.

A copier tel quel : 23 caractères par groupes de 5 caractères alphabétiques et un tiret entre chaque groupe.

Il ressemblera à ceci : vyayc-gckwv-jdxeh-tltbk


- Il ne peut être modifié que par génération d'un nouveau mot de passe d'application dédié à fournir après modification à tous les courrielleurs utilisant ce compte.


- Il n'est pas enregistré chez Orange et ne figure nulle part ailleurs que dans le courrielleur.

Il ne serait donc visible que dans un Thunderbird qui l'utilise (à condition que celui-ci soit accessible dans la session protégée par mot de passe de l'ordinateur et qu'il ne soit pas protégé lui-même par un mot de passe principal).


- L’option des paramètres de sécurité du compte qui autorise son accès par POP ou IMAP est désactivée par défaut. La création d'un mot de passe d'application dédié l'active automatiquement.


Par conséquent, l'usage d'un mot de passe d'application dédié est très recommandé car il comble la faille de sécurité énoncée plus haut.

 

 

Pour le mettre en œuvre :

- Faire générer le mot de passe d'application pour un compte en suivant la procédure.

- Copier-coller le mot de passe d'application généré par Orange dans la zone "mot de passe"(*) du serveur entrant (pop ou imap) correspondant à ce compte déclaré dans Thunderbird (et dans chaque autre application client de messagerie).

- Si l'adresse mail de ce compte est celle qui sert d'authentifiant dans la zone "nom d'utilisateur" du serveur sortant (smtp), coller également ce mot de passe d'application dans la zone "mot de passe"(*) de ce serveur sortant.

A contrario, si aucun mot de passe d'application n'a été généré pour l'adresse d'authentification figurant dans la zone "nom d'utilisateur" du serveur sortant, y faire figurer son mot de passe ordinaire.

(*) Voir paragraphe suivant : "Comment retrouver..."

 

Alternative :

Après génération d'un mot de passe d'application pour un compte, le copier dans le presse papier (Surligner et Ctrl C), démarrer Thunderbird et le coller (Positionner le curseur et Ctrl V) dans le message d'erreur qui réclame le mot de passe du compte, sans oublier de cocher la case "utiliser le gestionnaire de mots de passe..."

 

Note : L'application de messagerie Orange pour smartphone n'étant pas un courrielleur en mode client-serveur ne peut pas utiliser de mot de passe d'application.

 

Comment retrouver le mot de passe associé à une adresse ?


Bien que l’on n’aie jamais besoin de taper un mot de passe lors de l’utilisation de Thunderbird, il peut être utile de le retrouver et éventuellement le modifier.


Pour accéder aux mots de passe mémorisés, suivre le chemin ci-dessous :

 

A partir de la barre de menus ("Alt" si non affichée).

Outils / Paramètres / Vie privée et sécurité / Mots de passe enregistrés / Afficher les mots de passe / Oui

 

A partir de la barre d'espaces de gauche :

Capture d'écran 2023-07-22 203439.png

 

L’affichage initial sera similaire à celui-ci :

Capture d’écran 2022-11-19 115101.png


- Afin d’agrandir la vue latéralement et / ou verticalement, tirer le coin inférieur droit vers la droite ou vers le bas.

On dispose également d’un ascenseur à droite du panneau pour faire monter ou descendre les lignes dans la fenêtre.

- Un clic dans l'une des zone d'entête de la liste trie sur ce critère. Un autre clic inverse l'ordre du tri.

- Un clic droit sur une des lignes de ce panneau offre ce choix :

 

Capture d'écran 2023-10-02 045823.png


- Le bouton « Supprimer » supprime la ligne sélectionnée

- Le bouton « Tout supprimer » supprime l’ensemble des lignes

Attention ! Ces actions sont irréversibles.


Modification d’un mot de passe :


Un mot de passe vieillit et doit pouvoir résister à toute tentative de le deviner.

S'il s'agit d'un mot de passe ordinaire, il est impératif de le changer périodiquement afin de « couper l’herbe sous le pied » des robots mis en œuvre par les pirates sur Internet, lesquels font de multiples essais jusqu'à trouver le bon (Attaque de force brute).


La modification d’un mot de passe se fait en deux temps :


1 - La modification doit tout d’abord être faite chez l’opérateur à l’aide de la procédure appropriée.


2 - Puisqu'un courrielleur doit connaitre les identifiants (adresses et mots de passe) des comptes de messagerie existants qu'on lui a déclaré, si on modifie le mot de passe d'un compte chez son opérateur, il faut AUSSI le modifier dans le courrielleur afin de lui faire connaître ce nouveau mot de passe.


Ceci est valable pour Thunderbird mais également pour Outlook, Mail ou tout autre courrielleur fonctionnant dans un ordinateur, smartphone ou tablette.

 

A défaut de cette deuxième phase, si le mot de passe d'un compte a été modifié sur le serveur (ou supprimé dans Thunderbird)  le courrielleur ne pourra pas ouvrir ce compte et ne pourra ni relever ni envoyer le courrier.

 

Dans Thunderbird, il est possible de modifier un mot de passe dans le tableau des mots de passe ci-dessus par un double clic sur celui-ci.

A défaut, Thunderbird réclamera le mot de passe manquant par un message explicite comme ci-dessous :

 

Capture d’écran 2022-11-19 111914.png


Afin que Thunderbird le mémorise et ne le redemande pas à chaque accès, ne pas oublier de cocher la case "Utiliser le gestionnaire de mots de passe...".

 

Si le serveur sortant (SMTP) est configuré comme serveur authentifié à l'aide de cette adresse mail ou d'une autre, il faudra aussi lui indiquer le mot de passe de cette adresse d'authentification. Thunderbird produira une demande similaire.

 

Mot de passe principal :


Bien que peu usité, il est possible dans Thunderbird de créer un mot de passe principal dont le rôle est de protéger les mots de passe individuels.

Il est essentiellement utile dans les cas où :

- Sur un même PC Thunderbird est partagé entre plusieurs utilisateurs disposant chacun de son propre profil.

- Dans un même Thunderbird, un utilisateur dispose de plusieurs profils (ex: Personnel et Professionnel)

- La même session Windows est partagée entre plusieurs utilisateurs et l'usage de Thunderbird est réservé à certains d'entre eux.

Il peut être différent d'un profil à un autre et est demandé lors de l'accès à chacun des profils protégés par un mot de passe principal.

Il n’est pas actif par défaut.

 

Il a deux effets :

- Obligation de fournir ce mot de passe principal pour pouvoir démarrer une session Thunderbird.

- Chiffrer la base de données des mots de passe mémorisés dans Thunderbird et n'autoriser l'affichage des mots de passe contenus dans un profil qu'après avoir entré le mot de passe principal de celui-ci.

 

Pour le paramétrer : Paramètres / Vie privée et sécurité / cocher la case "Utiliser un mot de passe principal" et suivre les étapes.

Pour le supprimer, suivre la procédure "Changer le mot de passe principal" et laisser vide les cases dans lesquelles on doit fournir un nouveau mot de passe après avoir fourni l'ancien.

 

P.S : Avec la multiplication de mots de passe de toutes sortes, il est recommandé d'utiliser un gestionnaire de mots de passe contenant sous forme cryptée et protégé par un mot de passe maître le mot de passe de chaque compte de messagerie ou celui d'identification sur un site web.

Par exemple le logiciel libre Keepass.

Voir le sujet
0 Top

Des TopMembres pour vous aider

Ces membres, clients passionnés et utilisateurs de produits et services Orange vous apportent leurs conseils dans tous les domaines.

Meilleurs auteurs de solution
Tout afficher
Découvrir les TopMembres

Pour répondre aux questions fréquentes, ils rédigent et partagent des contenus (tuto, astuces etc ..)

Voir leurs trucs et astuces

Déjà 782825 membres inscrits 🧡

1056 personnes actuellement en ligne

Tous les membres en ligne