- Communauté Orange
- ➔
- Wiki Communauté Orange
- ➔
- Trucs et astuces
- ➔
- Gestion des mots de passe dans Thunderbird
- S'abonner au fil RSS
- Marquer comme nouveau
- Marquer comme lu
- Marquer
- S'abonner
- Page imprimable
- Signaler
- Historique de l'article
- S'abonner au fil RSS
- Marquer comme nouveau
- Marquer comme lu
- Marquer
- S'abonner
- Page imprimable
- Signaler
- Marquer comme nouveau
- Marquer
- S'abonner
- S'abonner au fil RSS
- Imprimer
- Signaler
Gestion des mots de passe dans Thunderbird
Tout logiciel client de messagerie ou «courrielleur» doit connaître les adresses et mots de passe des comptes dont on lui confie la gestion car il y accède et les ouvre en lieu et place de l’utilisateur.
Lors de l’installation du produit, il est nécessaire de lui faire connaître au moins un compte de messagerie existant, voire plusieurs.
Afin de permettre à Thunderbird d'ouvrir et gérer un compte de messagerie il doit connaître le mot de passe de celui-ci.
Thunderbird mémorisera le mot de passe associé à chaque adresse et il ne sera plus jamais nécessaire de le lui fournir par la suite. Par conséquent, le mot de passe peut être aussi complexe que possible et on pourra (presque) l’oublier, sachant qu’il sera possible de le retrouver dans Thunderbird si nécessaire.
Pour un compte Orange (et chez certains autres opérateurs) on distingue deux façons de fournir les mots de passe de comptes à Thunderbird :
- Le mot de passe ordinaire de chaque compte : C'est à dire le même que celui qui permet à l'utilisateur d'un compte de messagerie de s'identifier sur le portail Orange afin d'accéder à ses messages en mode webmail. Mais ce mode d'accès laisse une faille de sécurité béante et comporte un important risque de piratage :
Même si l'utilisateur a protégé l’identification sur son compte par l'authentification à deux facteurs (2FA) Mobile Connect renforcé, le compte reste accessible sans authentification 2FA par tout logiciel de messagerie, donc sans autre protection que son mot de passe.
Par conséquent : si un pirate a trouvé par un moyen quelconque le mot de passe du compte, il lui suffit de déclarer ce compte dans un logiciel de messagerie comme Thunderbird pour pouvoir accéder aux mails présents sur le serveur et les siphonner chez lui. Il a potentiellement la possibilité d'y supprimer mails et dossiers.
Si ce compte est déclaré en protocole IMAP dans divers courrielleurs utilisés par le propriétaire du compte, leur disparition sur le serveur entrainera également leur disparition dans les courrielleurs !
- Un mot de passe d'application :
Orange fournit la possibilité de générer un mot de passe d'application de 20 caractères alphabétiques pour chaque compte de messagerie.
Voir cet article (cliquer sur ces mots).
Un tel mot de passe est :
- Très complexe : Il est impossible de le deviner par force brute à l'aide d'un robot car le nombre de combinaisons à essayer est de 26 à la puissance 20, c'est à dire des milliards de milliards.
- Différent et indépendant du mot de passe ordinaire du compte mais n'empêche pas l'usage de ce dernier en mode webmail.
- Unique donc différent d'un compte à l'autre.
- Obligatoire pour accéder au compte via toute application de messagerie installée sur un équipement (ex : Mail, Email, Gmail sur smartphone ou tablette, Outlook ou Thunderbird sur PC, Mail sur terminaux Apple).
- Lorsqu'un mot de passe d'application a été généré pour un compte, le retour à un mot de passe ordinaire pour une utilisation par une application n'est plus possible.
- Il ne peut être modifié que par révocation (elle même protégée par Mobile Connect) et génération d'un autre mot de passe d'application à fournir à tous les courrielleurs.
- Il n'est pas enregistré chez Orange et ne figure nulle part ailleurs que dans le courrielleur. Il ne serait donc visible que dans un Thunderbird qui l'utilise à condition que celui-ci soit accessible sur l'ordinateur et ne soit pas protégé par un mot de passe principal.
- Le paramètre de possibilité d'accès par POP ou IMAP des paramètres de sécurité du compte est désactivé par défaut. La création d'un mot de passe d'application l'active automatiquement.
Par conséquent, l'usage d'un mot de passe d'application est très recommandé car il comble la faille de sécurité énoncée plus haut.
Pour le mettre en œuvre :
- Faire générer le mot de passe d'application pour un compte en suivant la procédure.
- Copier-coller le mot de passe d'application généré par Orange dans la zone "mot de passe"(*) du serveur entrant (pop ou imap) correspondant à ce compte déclaré dans Thunderbird (et dans chaque autre application client de messagerie).
- Si l'adresse mail de ce compte est celle qui sert d'authentifiant dans la zone "nom d'utilisateur" du serveur sortant (smtp), coller également ce mot de passe d'application dans la zone "mot de passe"(*) de ce serveur sortant.
A contrario, si aucun mot de passe d'application n'a été généré pour l'adresse d'authentification figurant dans la zone "nom d'utilisateur" du serveur sortant, y faire figurer son mot de passe ordinaire.
(*) Voir paragraphe suivant : "Comment retrouver..."
Alternative :
Après génération d'un mot de passe d'application pour un compte, le copier dans le presse papier (Surligner et Ctrl C), démarrer Thunderbird et le coller (Positionner le curseur et Ctrl V) dans le message d'erreur qui réclame le mot de passe du compte, sans oublier de cocher la case "utiliser le gestionnaire de mots de passe..."
Note : L'application de messagerie Orange pour smartphone n'étant pas un courrielleur en mode client-serveur ne peut pas utiliser de mot de passe d'application.
Comment retrouver le mot de passe associé à une adresse ?
Bien que l’on n’aie jamais besoin de taper un mot de passe lors de l’utilisation de Thunderbird, il peut être utile de le retrouver et éventuellement le modifier.
Pour accéder aux mots de passe mémorisés, suivre le chemin ci-dessous :
A partir de la barre de menus ("Alt" si non affichée).
Outils / Paramètres / Vie privée et sécurité / Mots de passe enregistrés / Afficher les mots de passe / Oui
A partir de la barre d'espaces de gauche :
L’affichage initial sera similaire à celui-ci :
- Afin d’agrandir la vue latéralement et / ou verticalement, tirer le coin inférieur droit vers la droite ou vers le bas.
On dispose également d’un ascenseur à droite du panneau pour faire monter ou descendre les lignes dans la fenêtre.
- Un clic dans l'une des zone d'entête de la liste trie sur ce critère. Un autre clic inverse l'ordre du tri.
- Un clic droit sur une des lignes de ce panneau offre ce choix :
- Le bouton « Supprimer » supprime la ligne sélectionnée
- Le bouton « Tout supprimer » supprime l’ensemble des lignes
Attention ! Ces actions sont irréversibles.
Modification d’un mot de passe :
Un mot de passe vieillit et doit pouvoir résister à toute tentative de le deviner.
S'il s'agit d'un mot de passe ordinaire, il est impératif de le changer périodiquement afin de « couper l’herbe sous le pied » des robots mis en œuvre par les pirates sur Internet, lesquels font de multiples essais jusqu'à trouver le bon (Attaque de force brute).
La modification d’un mot de passe se fait en deux temps :
1 - La modification doit tout d’abord être faite chez l’opérateur à l’aide de la procédure appropriée.
2 - Puisqu'un courrielleur doit connaitre les identifiants (adresses et mots de passe) des comptes de messagerie existants qu'on lui a déclaré, si on modifie le mot de passe d'un compte chez son opérateur, il faut AUSSI le modifier dans le courrielleur afin de lui faire connaître ce nouveau mot de passe.
Ceci est valable pour Thunderbird mais également pour Outlook, Mail ou tout autre courrielleur fonctionnant dans un ordinateur, smartphone ou tablette.
A défaut de cette deuxième phase, si le mot de passe d'un compte a été modifié sur le serveur (ou supprimé dans Thunderbird) le courrielleur ne pourra pas ouvrir ce compte et ne pourra ni relever ni envoyer le courrier.
Dans Thunderbird, il est possible de modifier un mot de passe dans le tableau des mots de passe ci-dessus par un double clic sur celui-ci.
A défaut, Thunderbird réclamera le mot de passe manquant par un message explicite comme ci-dessous :
Afin que Thunderbird le mémorise et ne le redemande pas à chaque accès, ne pas oublier de cocher la case "Utiliser le gestionnaire de mots de passe...".
Si le serveur sortant (SMTP) est configuré comme serveur authentifié à l'aide de cette adresse mail ou d'une autre, il faudra aussi lui indiquer le mot de passe de cette adresse d'authentification. Thunderbird produira une demande similaire.
Mot de passe principal :
Bien que peu usité, il est possible dans Thunderbird de créer un mot de passe principal dont le rôle est de protéger les mots de passe individuels.
Il est essentiellement utile dans les cas où :
- Sur un même PC Thunderbird est partagé entre plusieurs utilisateurs disposant chacun de son propre profil.
- Dans un même Thunderbird, un utilisateur dispose de plusieurs profils (ex: Personnel et Professionnel)
- La même session Windows est partagée entre plusieurs utilisateurs et l'usage de Thunderbird est réservé à certains d'entre eux.
Il peut être différent d'un profil à un autre et est demandé lors de l'accès à chacun des profils protégés par un mot de passe principal.
Il n’est pas actif par défaut.
Il a deux effets :
- Obligation de fournir ce mot de passe principal pour pouvoir démarrer une session Thunderbird.
- Chiffrer la base de données des mots de passe mémorisés dans Thunderbird et n'autoriser l'affichage des mots de passe contenus dans un profil qu'après avoir entré le mot de passe principal de celui-ci.
Pour le paramétrer : Paramètres / Vie privée et sécurité / cocher la case "Utiliser un mot de passe principal" et suivre les étapes.
Pour le supprimer, suivre la procédure "Changer le mot de passe principal" et laisser vide les cases dans lesquelles on doit fournir un nouveau mot de passe après avoir fourni l'ancien.
P.S : Avec la multiplication de mots de passe de toutes sortes, il est recommandé d'utiliser un gestionnaire de mots de passe contenant sous forme cryptée et protégé par un mot de passe maître le mot de passe de chaque compte de messagerie ou celui d'identification sur un site web.
Par exemple le logiciel libre Keepass.