Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Google déconseille Thunderbird, et qu'en est-il de Kmail ?

abecidofugy

Kukubuntu 😉

En lisant ce dernier épisode de la fuite de 5 millions de mot de passe Gmail dans la nature http://mozillazine-fr.org/google-deconseille-thunderbird-au-nom-de-la-securite-un-abus-de-pouvoir/ je me demandais si Kmail bénéficiait d'une implémentation de OAuth.

Pour l'instant comme client mail, j'utilise Thunderbird sous Windows. Techniquement je pourrais repasser à Kmail dans ma VM, surtout pour des questions de sécurité (et après tout, je préfère Kmail).

Bonne journée.

gl38

Il est même possible de ne pas utiliser google ! Ixquick peut le remplacer comme moteur de recherche.
Quant à confier ses mails à google et espérer que personne ne les lira, même pas la NSA...
Cordialement,
Guy

cinaptix

https://emailselfdefense.fsf.org/fr/

abecidofugy

@gl38 : tu es hors-sujet, je pose ma question pour Kmail dans la section KDE.

@cinaptix : J'ai pas compris, OAuth c'est pour chiffrer ses mails ?

tiramiseb

Salut,

Thunderbird ou KMail, même méthode d'accès : IMAP.
Donc ce que Google dit pour l'un vaut pour l'autre.

Mais ça fait des décennies qu'on lit les e-mails en IMAP, tant que le chiffrement SSL est en place (STARTTLS), il n'y a pas de souci majeur.
C'est une manœuvre bizarre de la part de Google...

cinaptix

Je voulais insister sur le fait qu'en dehors d'un chiffrement (asymétrique) en local il n'y a pas de confidentialité garantie (et encore).

abecidofugy

@tiramiseb : ah ok, ça doit être une incitation à n'utiliser que leur webmail, car il y a un affichage publicitaire (discret) mais présent.

[supprimé]

je me demandais si Kmail bénéficiait d'une implémentation de OAuth

Kmail, Thunderbird, sont des clients de messagerie et font des requêtes sur les serveurs, selon leurs caractéristiques dont les mécanismes d'authentification,
en imap

openssl s_client -connect imap.gmail.com:993 -tls1 -crlf
a1 capability
* CAPABILITY IMAP4rev1 UNSELECT IDLE NAMESPACE QUOTA ID XLIST CHILDREN X-GM-EXT-1 XYZZY SASL-IR AUTH=XOAUTH AUTH=XOAUTH2 AUTH=PLAIN AUTH=PLAIN-CLIENTTOKEN

en smtp

openssl s_client -connect smtp.gmail.com:587 -starttls smtp -crlf
...
ehlo bidule
250-AUTH LOGIN PLAIN XOAUTH XOAUTH2 PLAIN-CLIENTTOKEN

qu'est-ce qui est supporté la dedans au niveau de Kmail, Thunderbird, ... ?
PLAIN LOGIN (mots de passe en clair). C'est tout à mon avis.

XOAUTH, version google, c'est de l'otp, dont la "calculette" s'établit par requête http chez google, et reinjecté dans le service en question (smtp, imap), pour valider le retour du challenge. Même principe que OPIE otp, mais en plus compliqué;

Je pense que pour google, à terme, il s'agit de vouloir unifier les procédures d'auth; une sorte de SSO, pour toutes las applications google, et de mieux les décentraliser aussi.

tiramiseb

qu'est-ce qui est supporté la dedans au niveau de Kmail, Thunderbird, ... ?
PLAIN LOGIN (mots de passe en clair). C'est tout à mon avis.

Oui mais ça ne pose pas de problème, vu que la connexion est chiffrée...

Zurg

Thunderbird est un très bon logiciel de messagerie, c'est même le meilleur. Il est bien plus fiable que Outlook.