Pour utiliser un compte Gmail dans la Demo Aladin https://demo.capsiel.fr, il est nécessaire d’activer les “Applications moins sécurisées”.

https://www.google.com/settings/security/lesssecureapps

En effet nous utilisons la JavaMail pour se connecter aux Boites aux lettres électroniques, et Oracle le précise bien :

http://www.oracle.com/technetwork/java/faq-135477.html#gmail

Quant à la dénomination “moins sécurisée”, qui recommande OAuth2, il y aurait beaucoup à dire car dans les différentes formes utilisables par OAuth2 certaines utilisent un Login+mot de passe ce qui dans des applications javascript (la grande tendance) est forcément accessible à toutes les toolbars et autres extensions qui prolifèrent.

Voir le “grant type” “Implicit” de la RFC https://tools.ietf.org/html/rfc6749#section-1.3.2

De notre côté :

  • Nous exigeons IMAPS sur nos plateformes mutualisées, ce qui gêne certains clients, mais nous l’assumons : on ne fait pas prendre de risque aux autres.

  • Nous chiffrons fortement tous les mots de passes d’accès qui nous sont confiés avec Salt et itérations, en ayant désactivé tous les algorithmes anciens et obsolètes.

Obliger les utilisateurs à utiliser la gestion des identités Google, Facebook ou autre, est beaucoup plus stratégique à long terme que l’on ne le croit, mais ce n’est pas une commodité ou l’envie de protéger la vie privée des utilisateurs.

Nous préférons à Capsiel laisser les clients choisir, dans la mesure du possible.

Pour les clients qui ne souhaitent pas saisir de mot de passe dans notre application de Démo, ce que nous comprenons parfaitement, une offre hébergée est également disponible et permet de ne pas faire confiance aveuglément ce qui est assurément la meilleure pratique.

(250 mots)