V92 et V102; Outlook : connexion simultanée depuis mon IP et une IP étrangère en IMAP.

[Raban]

Bonjour,
Hier en utilisant thunderbird comme tous les jours, j'ai reçu une alerte de sécurité : une adresse IP aux USA se connecte avec succès à mon compte hotmail.fr, en IMAP comme moi.
L'heure de connexion est très proche de ma propre connexion.
Je mets à jour Thunderbird, je change de mot de passe, et je déconnecte toutes les applications connectées à mon compte microsoft.
Même problème.

Quand je me connecte à partir du webmail ou de l'application outlook, je n'ai pas ce problème.
Dans la nuit, il y a eu une tentative échouée de connexion en IMAP avec une adresse IP très proche de celles qui avaient réussi à se connecter à mon mail.
Est-ce un problème connu (je n'ai rien trouvé en français comme en anglais) et qu'est ce que je peux faire pour réutiliser thunderbird en sécurité ?
Je précise aussi que j'ai scanné mon pc en utilisant windows defender et malware bytes.
Merci pour vos conseils.

[Jean-Claude]

Bonjour,

Tu peux nous donner cette adresse IP, ou mieux un copie d'écran de ce message de sécurité ? Cela nous permettra de voir de qui il s'agit. C'est peut- être une interface légitime.

A+

[Raban]

Comme il y en a plusieurs je vais simplement les copier ici.
J'ai fait un whois sur ces adresses entre temps, elles viennent de microsoft, mais c'est la première fois que cela se produit, et ce qui m'inquiète est la tentative de connexion en imap durant la nuit qui a été infructueuse.
Infructueuse : 13.101.222.104
Simultanée à ma connexion et réussie : 13.101.227.50 ; 13.101.237.56 ; 13.101.252.197 ; 13.101.222.147 ; 13.101.222.241
Dans le doute j'ai envoyé les adresses à Microsoft pour qu'ils passent en revue cette activité, si ça vient d'eux.

[Jean-Claude]

Je viens de me connecter à mon compte Hotmail.com via Thunderbird, et HORREUR ... je reçois aussi un mail d'avertissement de Microsoft "Activité suspecte sur votre compte, vérifier votre compte.".
A l'instar de GMAIL, Microsoft se lance dans des contrôles abscons, où les propres propriétaires de boîtes mails deviennent suspects lorsqu'ils se connectent à leur boîte mails.
Je ne sais pas s'il faut en rire ou en pleurer.
A leur décharge ... le ridicule ne tue pas. Il est vrai qu'avec les températures actuelles, les esprits, et les machines, s'échauffent

Mais au moins, je sais maintenant que ma boîte mails est sur un serveur aux Etats-unis. Hé hé, je suis propriétaire d'un morceau des USA
Au moins GMAIL, lui, c'est ma propre IP qu'il cite lorsqu'il fait chauffer ses machines.
Microsoft n'a pas encore compris que c'est sa propre IP qu'il signalait.

Si tu veux en savoir plus sur les délires de Microsoft : https://support.microsoft.com/fr-fr/acc ... 3a8d8f8016

Le mail de Microsoft



L'activité suspecte épinglée sur le site de Hotmail



Whois de l'IP 13.101.49.18 du "méchant"





A+

[Raban]

La page que tu linkes explique les différentes issues de la page d'activité récente, mais je vois pas en quoi ils expliquent qu'ils vérifient nos comptes, et je savais pas que GMAIL le faisait aussi.
Tu as de la doc là dessus ? C'est peut-être moi qui suis mal réveillé

[Jean-Claude]

Bonjour,

Il faut lire ce qui est écrit sous les différents liens contenus dans la page, notamment "Gérer une activité inhabituelle".
Tout ce que Microsoft explique est qu'il enverra un mail s'il détecte une activité inhabituelle.
Tu ne trouveras nulle part les détails techniques de la mise en oeuvre de ces contrôles. Cela n’intéresse pas le grand public.

Gérer une activité inhabituelle

Nous vous enverrons un courriel s'il y a une activité inhabituelle sur votre compte et vous pourrez consulter la section Activités inhabituelles. Pour chaque activité, la date et l’heure, l’emplacement et le type d’activité s’affichent. Vous pouvez cliquer sur une activité pour afficher d’autres détails, tels que :

• L’adresse IP de l’appareil sur lequel l’activité a eu lieu

• Une carte qui montre un emplacement plus spécifique

Remarque : Les services de téléphone mobile acheminent les activités par le biais de différents emplacements. Cela peut vous donner l’impression que vous vous êtes connecté depuis un autre endroit que votre emplacement actuel.

• Le type d’appareil ou de système d’exploitation utilisé pour l’activité

• Le navigateur Internet ou le type d’application utilisé pour l’activité, le cas échéant

Pour nous indiquer si une activité était sûre, vous pouvez choisir C’était moi ou Ce n’était pas moi. Ces options sont uniquement disponibles dans la section Activités inhabituelles et elles ne sont visibles qu'après avoir développé une activité.

Pour GMAIL, il y a cette page https://support.google.com/accounts/ans ... habituelle , et aussi https://support.google.com/accounts/ans ... 3?hl=fr-CA .
Ou cet article de Malekal : https://www.malekal.com/compte-google-l ... -securite/ .
Personnellement, je reçois régulièrement des mails d'alerte de sécurité, de la part de Google, lorsque je voyage entre un PC fixe, et un PC portable, tous les deux sous Windows, pour me connecter à ma boîte Gmail.
Cela n’arrive pas lorsque la connexion s'effectue à partir d'un smartphone, ou d'une tablette. Mais ces derniers sont sous Android, et le logiciel de messagerie est aussi un produit Google. Ceci explique peut-être cela.

Dans le cas de Microsoft, que je cite, je précise qu'à ce moment je ne voyageais pas d'un PC à l'autre. D'autre part, j'ai plusieurs comptes Hotmail, et Outlook.com (ex Hotmail), et seul un de ces comptes a été ciblé par Microsoft.

Correctif
Je vois à l'instant qu'un deuxième de mes comptes, en @outlook.com, a été ciblé aujourd'hui ! Je n’ai pas encore examiné les détails de cette alerte.

A+

[firehawkx]

Bonjour à vous, (confrère Européens)

Je suis Québécois (Canadien Francais), et j'ai également eu le même problème depuis la nuit dernière!

Ce matin, mon thunderbird ne se connectait pas a mon compte hotmail.com, en allant voir a la page de sécurité pour afficher les dernières connections, j'ai vu qu'une adresse des états unis s'était connecté par IMAP durant la nuit.

J'ai immédiatement changé mon mot de passe principal ET effacé mes "APP Passwords".

Puis j'en ai créé un nouveau, mis-a-jour thunderbird... et je pensais que c'était règlé..

Cependant je vois que durant la journée, des tentatives ont été faites par la même adresse IP (USA) qui ont échoués... pendant plusieurs heures... autant par IMAP que par connection régulière (password) et finalement des "successfull sync" par IMAP qui ont apparu à nouveau!!

Je cherchais si Thunderbird avait une nouvelle fonctionalité de VPN, de masquage de IP ou quoi que ce soit...
L'adresse IP qui s'est connecté à mon compte est très similaire à celle du message plus haut...
13.101.70.247
toujours la même depuis les 18 dernières heures...

Je ne sais pas quoi faire... peu importe le nombre de fois que je changes mon APP Password, quelques heures après ils le trouvent!

(EDIT) :
J'ai pris le temps de lire un peu plus... et je vois bien que les IP sont en provenance d'un serveur Microsoft... donc au moins ca enlève la panique que ce soit un hacker...
Ca explique pas comment et pourquoi cette adresse IP a tenté de se connecter pendant la nuit alors que mon ordinateur était éteint cependant... Je n'ai qu'un seul PC fixe qui utilise thunderbird et un compte IMAP... aucun cellulaire ou autre appareil qui se connecte a mes comptes... ET qu'ils ont tenté durant la journée de se connecter par password (avec un mauvais password en plus alors que je n'utilisais pas un ordinateur du tout!)

[Typlo]

Je viens de me connecter à mon compte Hotmail.com via Thunderbird, et HORREUR ... je reçois aussi un mail d'avertissement de Microsoft "Activité suspecte sur votre compte, vérifier votre compte.".
A l'instar de GMAIL, Microsoft se lance dans des contrôles abscons, où les propres propriétaires de boîtes mails deviennent suspects lorsqu'ils se connectent à leur boîte mails.
Je ne sais pas s'il faut en rire ou en pleurer.
A leur décharge ... le ridicule ne tue pas. Il est vrai qu'avec les températures actuelles, les esprits, et les machines, s'échauffent

Mais au moins, je sais maintenant que ma boîte mails est sur un serveur aux Etats-unis. Hé hé, je suis propriétaire d'un morceau des USA
Au moins GMAIL, lui, c'est ma propre IP qu'il cite lorsqu'il fait chauffer ses machines.
Microsoft n'a pas encore compris que c'est sa propre IP qu'il signalait.

Si tu veux en savoir plus sur les délires de Microsoft : https://support.microsoft.com/fr-fr/acc ... 3a8d8f8016


L'activité suspecte épinglée sur le site de Hotmail






A+

Bonjour !

J'ai fait la bêtise de cliquer "Ce n'était pas moi" sur la page "activité inhabituelle", et ma boite outlook ne fonctionne plus sur Thunderbird. Comment faire pour régler ce problème ?

Merci à vous,
Christophe

[Agent virtuel]

Bonjour

Communauté Microsoft https://answers.microsoft.com/en-us
https://answers.microsoft.com/en-us/outlook_com/forum
https://answers.microsoft.com/en-us/out ... aa14d70e0c ?

[Jean-Claude]

Comment faire pour régler ce problème ?

Bonjour,

As-tu toujours accès à ta boîte avec le webmail de Hotmail, ici https://outlook.live.com/mail/0/ ?
Si tu es bloqué sur le webmail, lors de la connexion, Microsoft t'enverra sans doute un code de sécurité sur ton adresse mail/no de tél., de sauvegarde, pour t'identifier, et déverrouiller ton accès.

A+

[firehawkx]

En fait, la personne demandait pour se reconnecter a "thunderbird" et non pas au compte même...

La solution est d'aller dans hotmail (outlook), se connecter au compte normalement par un navigateur, puis clicker en haut a droite et sélectioner "mon compte microsoft"... ensuite prendre l'onglet "sécurité" au haut... le 1er gros bouton étant le "sign in activity" qui affiche qui s'est connecté a notre compte... le 3e bouton cependant est "Advanced Security Options" (ou option avancé de sécurité j'imagines)... au bas de cette page là, on y trouve le "App passwords", et c'est ce password là qui doit être utilisé pour connecter a thunderbird puisque Microsoft ne supporte pas la technologie Oauth... tu peux donc effacer (remove) les APP Passwords existants, puis en créer un nouveau et l'utiliser pour le compte thunderbird

[Jean-Claude]

au bas de cette page là, on y trouve le "App passwords", et c'est ce password là qui doit être utilisé pour connecter a thunderbird

Bonjour,

Cela ne concerne que les mots de passe d'application, à utiliser lorsqu'on a activé la validation en deux étapes, ou lorsque le fournisseur impose au moins oAuth2 et qu'on utilise une vieille application de messagerie qui ne propose pas oAuth2 (dans ce dernier cas, il faut activer la validation en deux étapes).

Voir https://support.microsoft.com/en-us/acc ... f2979a7944

Thunderbird propose oAuth2.
Hotmail n’impose pas, à ce que je sache oAuth2, ni la validation en deux étapes.

Personnellement, j'utilise un mot de passe normal avec mes comptes Hotmail.

Typlo est bloqué, non pas à cause du mot de passe, mais parce qu'il a cliqué sur "ce n’était pas moi" dans l'écran de vérification des activités sur sa boîte Hotmail.

A+

[firehawkx]

C'est un peu ça le problème.... le lien que tu as partagé indique : "with apps that don't support two-step verification"
OR, thunderbird supporte le 2 step verifications... mes 3 comptes gmail sont en OAuth2 2 steps...
c'est microsoft qui ne le supporte pas à 100% avec OAuth2...

Si on utilise 2FA avec Microsoft, on a pas le choix d'utiliser le "App Password" avec thunderbird... et ca semble être là que la faille de sécurité se trouve...

[Jean-Claude]

C'est un peu ça le problème.... le lien que tu as partagé indique : "with apps that don't support two-step verification"
OR, thunderbird supporte le 2 step verifications... mes 3 comptes gmail sont en OAuth2 2 steps...
c'est microsoft qui ne le supporte pas à 100% avec OAuth2...

Je crois que tu n’as pas compris le principe de la validation en deux étapes. Lorsqu'elle est activée, en plus de renseigner ton mot de passe normal, tu dois introduire un code numérique envoyé sur ton smartphone. Code numérique qui change à chaque connexion.
Cela ne fonctionne que pour les comptes en ligne, c-à-d le webmail. La page web de connexion du fournisseur est adaptée en conséquence.
Dans un logiciel de messagerie, comme Thunderbird, il y a un champ prévu pour un mot de passe, mais aucun champ n’est prévu pour encoder un code numérique supplémentaire, qui de plus changerait à chaque connexion. Donc la validation en deux étapes ne fonctionne pas dans les logiciels de messagerie locaux.
La solution proposée par les fournisseurs est d'utiliser un mot de passe d'application, à créer sur le site web du fournisseur, et à renseigner dans Thunderbird à la place du mot de passe normal.

La validation en deux étapes, c'est quoi : https://experience.dropbox.com/fr-fr/re ... hat-is-2fa
La validation en deux étapes chez Google : https://www.malekal.com/activer-la-vali ... te-google/

OAuth2 n’est pas lié à la validation en deux étapes. C'est une alternative. C'est un processus plus sécurisé de connexion que le mot de passe normal. Je l'utilise avec mes comptes Gmail et Yahoo (sans utiliser la validation en deux étapes).
Gmail, et Yahoo, acceptent oAuth2, comme alternative au mot de passe d'application.
Les anciens logiciels de messagerie ne proposent pas oAuth2. Dans ce cas, il faut nécessairement activer la validation en deux étapes, et utiliser un mot de passe d'application dans ces vieux logiciels de messagerie.

NB
En cas de changement du mot de passe normal, le mot de passe d'application est annulé, et il faut recréer un nouveau mot de passe d'application sur le site du fournisseur.

A+

[firehawkx]

Oh! En effet je n'avais pas bien compris la nuance entre les 2!

Je comprends très bien le 2FA, mais c'est Oauth2 que je pensait être associé au 2 Factor...

Puisque mon compte Gmail (2FA) me demandait de me connecter par OAuth2 et par la même occasion de valider en 2 étapes, j'étais persuadé que les 2 étaient reliés... puisque quand on tente de connecter un compte thunderbird à un Gmail qui utilise 2FA, ils te forcent à utiliser OAuth2 (et a valider le 2FA sur une page web que thunderbird ouvre directement lors de la création du compte)