Pour accroître la sécurité des comptes utilisateur Google, les jetons OAuth 2.0 générés pour l'accès à certains produits sont automatiquement révoqués en cas de modification du mot de passe d'un utilisateur. Les données des applications de messagerie tierces, telles que Apple Mail et Mozilla Thunderbird, ainsi que de toute autre application utilisant des champs d'application de messagerie pour accéder aux messages d'un utilisateur, ne seront plus synchronisées après la réinitialisation du mot de passe, et ce jusqu'à la génération d'un nouveau jeton OAuth 2.0. Pour cela, l'utilisateur doit se réauthentifier avec le nom d'utilisateur et le mot de passe associés à son compte Google.
Cette nouvelle règle concerne également les applications de messagerie tierces installées sur les appareils mobiles. Par exemple, les utilisateurs qui se servent de l'application de messagerie native d'iOS devront désormais se reconnecter avec les identifiants de leur compte Google après modification de leur mot de passe. Ce nouveau fonctionnement des applications de messagerie tierces s'aligne sur celui de Gmail sous iOS et Android, pour lesquels une nouvelle authentification est également nécessaire après réinitialisation du mot de passe.
Le processus de révocation des jetons ne s'applique pas aux applications basées sur Apps Script, même si le script accède à la messagerie.
Remarque : Si le changement de mot de passe est effectué depuis un appareil Android, le jeton OAuth utilisé par cet appareil Android pour la synchronisation du compte n'est pas révoqué.
Questions
Cette modification n'a pour l'heure aucune incidence sur ces applications. Vous serez informé de toute modification dans le traitement des mots de passe d'application s'il y a lieu.
La révocation des jetons intervient lorsque le mot de passe est modifié.
Oui, la modification du mot de passe révoque aussi bien les jetons d'accès que les jetons d'actualisation.
Si cette action est effectuée via la fonctionnalité de mise à jour des comptes utilisateur de l'API Directory et si le même mot de passe est transmis par le biais de la même fonction, elle ne sera pas interprétée comme un changement de mot de passe, et les jetons ne devraient pas être révoqués.
Remarque : Si vous utilisez une fonction de hachage qui gère des valeurs de salage, assurez-vous d'utiliser la même valeur pour chaque mise à jour. Cette dernière ne sera ainsi pas considérée comme un changement de mot de passe.
Le paramètre Applications moins sécurisées n'a aucune incidence sur les jetons révoqués au moment du changement d'un mot de passe.
Google, Google Workspace et les marques et logos associés sont des marques de Google LLC. Tous les autres noms de sociétés et de produits sont des marques des sociétés auxquelles ils sont associés.
