Caméras IP & Outlook : réparer l’envoi SMTP après la fin de Basic AUTH

Depuis fin septembre 2024, des milliers de caméras IP qui s’appuyaient sur smtp.office365.com pour envoyer des alertes de détection via Outlook se sont soudainement tues. La raison ? Microsoft a coupé l’« authentification de base » au profit d’OAuth 2.0. Voici un guide complet pour rétablir vos notifications.

Les caméras n’envoient plus d’alertes : comprendre la panne

Symptômes les plus fréquents

• Messages d’erreur du type : 550 5.7.3 Authentication unsuccessful ou 535 5.7.3 Authentication unsuccessful (Invalid credentials).
• Absence totale d’e‑mails alors que la connexion Internet, le stockage sur carte SD et la détection de mouvement fonctionnent.
• Envoi manuel qui reste possible depuis outlook.com ou l’application mobile Outlook.
• Aucune mention explicite de blocage dans l’interface d’administration Microsoft, car l’alerte est générée côté appareil.

Pourquoi Outlook.com a changé les règles

L’authentification de base transmet le couple login + mot de passe à chaque connexion ; c’est un festival pour les attaques par force brute, phishing et « spray » de mots de passe. Microsoft avait déjà supprimé ce mode sur Microsoft 365 Entreprise dès 2022, puis a étendu le blocage aux comptes Outlook.com grand public à la fin 2024. L’accès SMTP impose désormais la négociation d’un jeton OAuth 2.0 (AUTH XOAUTH2) : un ticket limité dans le temps (60 minutes par défaut) qui n’inclut plus le mot de passe.

Tableau synthétique des solutions

Axe de résolution	Détails	Avantages / Limites
Mettre à jour le firmware ou l’application	Contacter le fabricant (Reolink, HiLook, TP‑Link, Foscam, etc.) et demander une version supportant SMTP AUTH XOAUTH2 ou Microsoft Graph.	Solution pérenne et sécurisée ; rares mises à jour pour les modèles d’entrée de gamme.
Changer de fournisseur de messagerie	Basculer vers un compte qui accepte encore l’authentification de base : Yahoo Mail (mot de passe d’application), Gmail (mot de passe d’application pour comptes existants), e‑mails de FAI ou domaines privés.	Rapide à implémenter ; risque que ces services abandonnent aussi Basic AUTH d’ici 12‑24 mois.
Intercaler un relais « Basic → OAuth »	Utiliser un service tel que sendas.email ou un proxy auto‑hébergé (gmail‑to‑outlook‑relay). Une seule autorisation OAuth dans votre navigateur, puis le relais fournit des identifiants SMTP « classiques » que la caméra sait utiliser.	Restaure la configuration sans toucher à l’appareil ; ajoute un tiers → débit et confidentialité à surveiller.
Louer un domaine + SMTP dédié	Enregistrer un domaine (~25 €/an) et activer la messagerie incluse ou un service transactionnel (Mailgun, Postmark, AWS SES, etc.).	Contrôle total et grande pérennité ; nécessite réglages DNS (SPF, DKIM) et gestion des quotas.
Contournements hors e‑mail	Stockage FTP/Cloud, notifications push de l’appli mobile, enregistreur NVR ou Home Assistant pour relayer les alertes.	Parfois déjà inclus ; fonctions limitées sur les anciens modèles.

Guide détaillé solution par solution

1. Mise à jour firmware : le chemin « officiel »

Avant tout, notez le modèle exact et la version actuelle du micrologiciel (firmware). Visitez le site du constructeur :

1. Recherche de version : vérifiez les release notes ; un libellé « SMTP OAuth2 » ou « Microsoft 365 Graph » indique la compatibilité.
2. Plan de secours : si aucun firmware n’est listé, ouvrez un ticket de support et joignez une capture d’écran de l’erreur SMTP.
3. Procédure de flash : connectez l’alimentation sur onduleur ; évitez de flasher en Wi‑Fi pour réduire le risque de corruption.
4. Test : réinitialisez les paramètres SMTP et déclenchez une détection manuelle pour valider.

Conseil : Profitez de la mise à jour pour créer un mot de passe administrateur unique et désactiver UPnP afin de réduire la surface d’attaque.

2. Changer (temporairement) de fournisseur e‑mail

Si votre priorité est la rapidité plutôt que la pérennité, ouvrir un nouveau compte Yahoo est souvent l’option la plus simple. Procédez ainsi :

1. Activez la vérification en deux étapes sur le compte Yahoo.
2. Dans « Sécurité du compte », générez un mot de passe d’application.
3. Configurez la caméra avec le serveur smtp.mail.yahoo.com, port 465 (SSL) ou 587 (STARTTLS), en renseignant ce mot de passe dédié.
4. Lancez un test ; la plupart des caméras déclarent « Test email succeeded » en quelques secondes.

Attention : Gmail permet encore les mots de passe d’application, mais uniquement si l’authentification à deux facteurs est active et si le compte a été créé avant l’interdiction de « Less Secure Apps ». Ce filet de sécurité risque de disparaître sans préavis.

3. Mettre un relais SMTP intermédiaire

3.1  Principe

Le relais joue l’interprète : côté caméra, on conserve l’authentification de base ; côté Microsoft, le relais présente un jeton OAuth2 régulièrement rafraîchi. Ainsi, aucune modification n’est nécessaire dans l’interface souvent sommaire de l’appareil.

3.2  Tutoriel express avec sendas.email

1. Créez un compte gratuit (limite 50 e‑mails/jour).
2. Lors de la configuration, reliez votre boîte Outlook.com : la fenêtre Microsoft apparaît, vous acceptez la délégation d’envoi (.send).
3. Le tableau de bord affiche un hôte SMTP (p. ex. basic.smtp.sendas.email) et un mot de passe unique.
4. Saisissez ces informations dans la caméra, port 587 (STARTTLS).
5. Testez l’envoi ; la photo de détection doit arriver dans votre boîte « Éléments envoyés ».

3.3  Auto‑héberger son proxy (Node.js)

// Exemple minimal : proxy Basic → Graph
const { SMTPServer } = require('smtp-server');
const { simpleParser } = require('mailparser');
const graph = require('./graphClient'); // client OAuth préparé

new SMTPServer({
authOptional: false,
onAuth(auth, session, callback) {
// Validez l’utilisateur/mot de passe localement
callback(null, { user: auth.username });
},
onData(stream, \_session, callback) {
simpleParser(stream, {}, async (err, email) => {
if (err) return callback(err);
await graph.sendMessage(email); // envoi via Graph API
callback();
});
}
}).listen(2525);

Installez sur un Raspberry Pi derrière votre box, créez une redirection de port interne si nécessaire et limitez l’accès par pare‑feu.

4. Passer à son propre domaine + SMTP dédié

Cette approche est la plus robuste pour les installateurs gérant plusieurs sites :

1. Enregistrement de domaine : un .fr ou .com se trouve entre 8 et 15 €/an ; certains bureaux d’enregistrement (gandi.net, o2switch) incluent 5‑10 boîtes + SMTP.
2. Activer SPF et DKIM : ajoutez dans la zone DNS le champ TXT "v=spf1 include:spf.maildomain.tld ~all" et la clé DKIM fournie.
3. Définir un sous‑domaine SMTP : par exemple smtp.videosurvotre.fr ; configurez le port 587 et STARTTLS.
4. Tester avec un client mail pour valider la délivrabilité (mail‑tester, MX Toolbox).
5. Configurer les caméras et documenter les quotas : Mailgun gratuit → 200 e‑mails/jour, AWS SES → 62 000/mois en sandbox.

5. Contournements hors e‑mail

Certaines situations imposent de s’affranchir totalement du mail :

• FTP/FTPS : la caméra pousse l’image sur un NAS ; un script local envoie alors une notification push.
• Cloud propriétaire : Reolink Cloud, Hik‑Connect ; l’alerte arrive directement sur smartphone.
• Home Assistant : intégration ONVIF, détection d’événement, service notify.mobile_app.
• NVR ou DVR hybride : l’enregistreur concentre les flux et gère lui‑même l’alerte via un serveur SMTP compatible OAuth.

Bonnes pratiques pour éviter un nouveau blocage

• Limiter la cadence : délai de 30 s entre deux alertes, sensibilité de mouvement ajustée.
• Contrôler les quotas : Yahoo limite à 500 e‑mails/jour ; Mailgun 200 en gratuit, 10 000 en plan premier.
• Journaliser : redirigez les logs de la caméra sur un syslog local pour diagnostiquer plus vite.
• Surveiller les annonces fabricants : abonnez‑vous aux newsletters firmware.
• Sécuriser les relais : accès par adresse IP ou authentification forte, chiffrement des disques si VM.

Tests et validation pas à pas

1. Définir une adresse e‑mail distincte pour la réception (« destinataire ») afin de séparer l’alerte des tests.
2. Lancer un test e‑mail depuis l’interface caméra.
3. Surveiller la boîte d’envoi : si l’e‑mail apparaît côté Outlook, le jeton OAuth est accepté.
4. Forcer une détection de mouvement (passage devant le capteur) et vérifier la réception dans la minute.
5. Consigner la date, l’heure, la taille de la pièce jointe et l’ID de message ; cela aide en cas de litige avec le support.

FAQ rapide

Q : Puis‑je réactiver Basic AUTH dans Outlook ?
R : Non, Microsoft ne propose plus de réactivation pour les comptes Outlook.com. Les locataires Microsoft 365 Entreprise gardaient une option temporaire via PowerShell, mais elle a disparu.

Q : Que se passe‑t‑il si j’utilise plusieurs caméras avec le même compte ?
R : L’API Graph impose un plafond de 10 000 e‑mails/jour par boîte. Au‑delà, passez à un domaine dédié ou segmentez vos caméras par lot.

Q : Mon relais peut‑il signer DKIM à ma place ?
R : Oui, la plupart injectent l’entête DKIM‑Signature en temps réel. Vérifiez cependant que votre domaine dispose du CNAME correspondant.

Perspectives à 18‑24 mois

Les fabricants de vidéosurveillance vont devoir généraliser OAuth 2.0, S/MIME ou carrément se détourner de l’e‑mail au profit de webhooks HTTPS ou MQTT TLS. D’ici 2026, la majorité des FAI auront désactivé Basic AUTH. Les solutions 2 et 3 couvrent l’urgence, la 4 prépare l’avenir si vous gérez plusieurs sites ou un parc de caméras évolutif.

Checklist finale

• Mise à jour caméra disponible ? Oui → flasher et activer OAuth 2.0.
• Sinon, choisir : relais SMTP, compte alternatif ou domaine dédié.
• Tester et journaliser chaque étape.
• Mettre à jour la documentation client/site.
• Programmer une revue trimestrielle des quotas et journaux.

Conclusion

La fin de l’authentification de base sur Outlook.com bouleverse les petits équipements qui comptaient sur une connexion SMTP « à l’ancienne ». En appliquant l’une des stratégies décrites — de la simple bascule vers Yahoo Mail jusqu’au déploiement d’un proxy OAuth maison — vous retrouverez des alertes fiables et préparerez votre infrastructure aux exigences de sécurité modernes.