Authentification et autoconfig pour email Mise a j - Common Knowledge Scout

# Mise jour sur lauthentification et lautoconfig pour lemail > [! remarque]- > Le contenu de cette page est généré à partir de la transcription audio/vidéo et de la transformation du texte provenant du contenu et des liens de cette source. Source : [https://fosdem.org/2025/schedule/event/fosdem-2025-4888-authentication-and-autoconfig-for-email-update-on-standardization-efforts/](https://fosdem.org/2025/schedule/event/fosdem-2025-4888-authentication-and-autoconfig-for-email-update-on-standardization-efforts/) <video src=« https://video.fosdem.org/2025/k4601/fosdem-2025-4888-authentication-and-autoconfig-for-email-update-on-standardization-efforts.av1.webm » controls></video> ## Résumé et points forts : Cette session aborde les efforts de standardisation en cours pour l'authentification et l'autoconfiguration des emails, mettant en avant les défis et les solutions possibles. **Introduction** L'authentification et l'autoconfiguration des emails sont essentielles pour sécuriser les communications numériques. Cette session se concentre sur les efforts de standardisation pour améliorer ces processus, en particulier en utilisant OAuth2 et les Passkeys. **Problèmes actuels** Les mots de passe sont peu sûrs et souvent réutilisés. OAuth2 présente des défis, notamment en matière de configuration et d'enregistrement des clients, ce qui complique l'interopérabilité entre différents fournisseurs de services de messagerie. **Solutions proposées** L'utilisation de Passkeys et la standardisation des configurations d'autoconfiguration sont proposées pour résoudre les problèmes actuels. L'adoption de normes IETF et la création de bases de données de configurations pour les principaux fournisseurs d'accès Internet sont en cours. **Défis et opportunités** Les obstacles techniques, tels que le manque d'implémentations libres pour les gestionnaires de Passkeys, doivent être surmontés. La collaboration communautaire est essentielle pour développer des solutions open source qui favorisent l'interopérabilité et la sécurité. **Conclusion** Cette session met en lumière l'importance de la standardisation pour améliorer la sécurité des emails et appelle à une participation active de la communauté pour surmonter les défis restants. ## Importance pour une transformation écosociale Cette session est cruciale pour une transformation écosociale car elle vise à renforcer la sécurité et l'interopérabilité des emails, un outil de communication essentiel. Les questions de durabilité et d'éthique incluent la réduction de la dépendance aux mots de passe, ce qui améliore la sécurité des utilisateurs et protège leurs données. Les concepteurs écosociaux peuvent appliquer ces normes pour développer des solutions de messagerie plus sûres et accessibles. Les défis incluent la nécessité de surmonter les obstacles techniques liés à l'implémentation de nouvelles normes et la nécessité d'une collaboration entre les développeurs et les fournisseurs de services pour garantir l'adoption généralisée. ## Slides: | | | | --- | --- | | ![[FOSDEM 2025/assets/Authentication-and-autoconfig-for-email-Update-on-/preview_001.jpg\|300]] | La première diapositive présente le concept d'authentification multifactorielle pour les clients de messagerie, avec l'objectif de se débarrasser des mots de passe. Ben Bucksch, un expert en infrastructures d'authentification, souligne l'importance de cette transition pour améliorer la sécurité des emails. | ![[FOSDEM 2025/assets/Authentication-and-autoconfig-for-email-Update-on-/preview_002.jpg\|300]] | La deuxième diapositive décrit le parcours professionnel de Ben Bucksch, notamment son rôle dans le développement de l'authentification pour Thunderbird, l'invention de la norme d'autoconfiguration et la création de plusieurs implémentations OAuth2 pour les clients de messagerie. Il est un contributeur clé à Thunderbird depuis 25 ans et a fondé plusieurs entreprises. | ![[FOSDEM 2025/assets/Authentication-and-autoconfig-for-email-Update-on-/preview_003.jpg\|300]] | La troisième diapositive met en avant les besoins des utilisateurs finaux pour la configuration des emails : une configuration initiale simple avec une adresse email et un mot de passe ou une authentification multifactorielle, suivie d'une vérification continue des emails sans interruption et sans risque de piratage. | ![[FOSDEM 2025/assets/Authentication-and-autoconfig-for-email-Update-on-/preview_004.jpg\|300]] | La quatrième diapositive explique le protocole d'autoconfiguration qui fonctionne depuis 15 ans, utilisé par plus de 10 clients de messagerie. Il repose sur des URL bien connues et XML, permettant la configuration automatique de 90% des comptes. Un projet de norme IETF est en cours pour officialiser cette méthode. | ![[FOSDEM 2025/assets/Authentication-and-autoconfig-for-email-Update-on-/preview_005.jpg\|300]] | La cinquième diapositive détaille un exemple de configuration XML pour Microsoft 365, incluant les serveurs entrants et sortants, l'authentification OAuth2, et les informations nécessaires pour la synchronisation des calendriers et des contacts. Un spécimen de configuration est disponible en ligne. | ![[FOSDEM 2025/assets/Authentication-and-autoconfig-for-email-Update-on-/preview_006.jpg\|300]] | La sixième diapositive présente PACC, une alternative à l'autoconfiguration utilisant des pratiques IETF, des serveurs DNS SRV et JSON. Elle nécessite que les fournisseurs de messagerie adaptent leurs configurations, ce qui peut ne pas être compatible avec les configurations existantes. | ![[FOSDEM 2025/assets/Authentication-and-autoconfig-for-email-Update-on-/preview_007.jpg\|300]] | La septième diapositive souligne la nécessité de supprimer les mots de passe et les problèmes associés à OAuth2 pour les clients de messagerie, en proposant l'utilisation de Passkeys comme alternative. | ![[FOSDEM 2025/assets/Authentication-and-autoconfig-for-email-Update-on-/preview_008.jpg\|300]] | La huitième diapositive aborde les principaux problèmes de configuration avec OAuth2, tels que les URL, l'enregistrement des clients, et l'expiration des jetons. L'objectif est de résoudre ces problèmes pour améliorer la fiabilité de l'authentification. | ![[FOSDEM 2025/assets/Authentication-and-autoconfig-for-email-Update-on-/preview_009.jpg\|300]] | La neuvième diapositive explique que OAuth2 ne spécifie pas comment obtenir la configuration, ce qui pose des défis pour les petits fournisseurs et l'auto-hébergement. Des solutions comme OpenID Connect et l'autoconfiguration sont proposées pour surmonter ces obstacles. | ![[FOSDEM 2025/assets/Authentication-and-autoconfig-for-email-Update-on-/preview_010.jpg\|300]] | La dixième diapositive traite de l'enregistrement des clients pour OAuth2, soulignant les défis anti-concurrentiels posés par les fournisseurs de messagerie qui rendent l'enregistrement difficile ou impossible, ce qui va à l'encontre de l'open source. | ![[FOSDEM 2025/assets/Authentication-and-autoconfig-for-email-Update-on-/preview_011.jpg\|300]] | La onzième diapositive discute des défis liés à l'utilisation des navigateurs web pour l'authentification OAuth2, y compris les problèmes de sécurité et de complexité. Une solution alternative proposée est un système de question-réponse en texte clair. | ![[FOSDEM 2025/assets/Authentication-and-autoconfig-for-email-Update-on-/preview_012.jpg\|300]] | La douzième diapositive met en lumière le manque de fiabilité d'OAuth2 pour les clients de messagerie, avec des garanties insuffisantes et une tendance des utilisateurs à blâmer l'interface utilisateur en cas de problème. | ![[FOSDEM 2025/assets/Authentication-and-autoconfig-for-email-Update-on-/preview_013.jpg\|300]] | La treizième diapositive aborde les problèmes d'expiration des jetons OAuth2, qui compliquent la vérification continue des emails et nécessitent des solutions pour gérer les expirations sans interrompre le service. | ![[FOSDEM 2025/assets/Authentication-and-autoconfig-for-email-Update-on-/preview_014.jpg\|300]] | La quatorzième diapositive traite de la gestion des erreurs dans OAuth2, soulignant le besoin de codes d'erreur détaillés et de messages clairs pour l'utilisateur final afin d'améliorer le support client. | ![[FOSDEM 2025/assets/Authentication-and-autoconfig-for-email-Update-on-/preview_015.jpg\|300]] | La quinzième diapositive compare les mots de passe et OAuth2, expliquant pourquoi les clients de messagerie continuent d'utiliser des mots de passe en raison de leur simplicité et de leur prévisibilité, et propose des solutions pour une authentification à deux facteurs fiable. | ![[FOSDEM 2025/assets/Authentication-and-autoconfig-for-email-Update-on-/preview_016.jpg\|300]] | La seizième diapositive présente un projet de profil OAuth pour les clients publics ouverts, adoptant des spécifications précises pour les flux de clients et les enregistrements dynamiques, avec des recommandations sur l'expiration des jetons. | ![[FOSDEM 2025/assets/Authentication-and-autoconfig-for-email-Update-on-/preview_017.jpg\|300]] | La dix-septième diapositive introduit MAuth, une alternative avec un ID client désactivé et des codes d'erreur détaillés, définissant des portées pour différents protocoles de messagerie comme IMAP et SMTP. | ![[FOSDEM 2025/assets/Authentication-and-autoconfig-for-email-Update-on-/preview_018.jpg\|300]] | La dix-huitième diapositive discute des Passkeys comme standard SASL, mettant en avant le besoin d'implémentations libres pour éviter le verrouillage par les fournisseurs. | ![[FOSDEM 2025/assets/Authentication-and-autoconfig-for-email-Update-on-/preview_019.jpg\|300]] | La dix-neuvième diapositive décrit le flux SASL Passkey, où les utilisateurs créent une clé sur le site web de leur fournisseur et l'application de messagerie utilise les API de clés de passe du système d'exploitation pour l'authentification. | ![[FOSDEM 2025/assets/Authentication-and-autoconfig-for-email-Update-on-/preview_020.jpg\|300]] | La vingtième diapositive appelle à la création de logiciels pour les API et les bibliothèques de gestion des clés de passe sur différentes plateformes, soulignant le besoin d'une norme ouverte pour éviter le verrouillage par les fournisseurs. ## Liens [Slides](https://fosdem.org/2025/events/attachments/fosdem-2025-4888-authentication-and-autoconfig-for-email-update-on-standardization-efforts/slides/238147/OAuth2_an_BjAPFHn.pdf) [Video recording (MP4)](https://video.fosdem.org/2025/k4601/fosdem-2025-4888-authentication-and-autoconfig-for-email-update-on-standardization-efforts.av1.mp4) [Video recording (AV1/WebM)](https://video.fosdem.org/2025/k4601/fosdem-2025-4888-authentication-and-autoconfig-for-email-update-on-standardization-efforts.av1.webm)