Depuis le 16 septembre 2024, Microsoft refuse toute connexion Outlook.com/Hotmail/Live/MSN utilisant encore l’authentification par mot de passe simple ; seuls les clients capables de négocier OAuth 2 (Modern Auth) peuvent désormais synchroniser vos messages.
Contexte : pourquoi Microsoft tourne la page de la « Basic Auth » ?
La méthode traditionnelle d’identification « Basic Authentication » transmet un identifiant et un mot‑de‑passe en clair (ou, au mieux, encodés en Base 64 dans une requête TLS). Cela la rend vulnérable :
- Attaques par hameçonnage (phishing) : un jeton statique volé reste utilisable jusqu’au prochain changement de mot de passe.
- Impossibilité de MFA : la validation multifacteur ne peut pas s’intercaler dans le flux Basic Auth.
- Difficulté de révocation granulaire : impossible de couper l’accès d’un appareil compromis sans réinitialiser votre mot de passe global.
OAuth 2 inverse ce paradigme : le mot de passe n’est plus confié au client, mais saisi dans la page Microsoft (ou un navigateur embarqué) qui délivre un jeton d’accès limité dans le temps. Ce jeton peut être révoqué, nécessite MFA si activé et ne révèle jamais votre secret principal. Après plusieurs années d’avertissements, la bascule est désormais imposée côté Outlook.com pour protéger 400 millions de boîtes aux lettres grand public.
Applications et environnements concernés
| Type de client | Fonctionne après le 16 septembre 2024 ? | Mesures nécessaires |
|---|---|---|
| Nouveau “Outlook for Windows” (One Outlook) | Oui | Aucune action. |
| Outlook pour Windows « classique » version ≥ 11601.10000 (Microsoft 365 ou Outlook 2021) | Oui | Contrôler que le compte est Microsoft Exchange, pas POP/IMAP. |
| Outlook 2013, 2016 MSI, 2019 LTSC, 2016 non‑abonnement, toute version < 11601.10000 | Non | Mettre à niveau vers Microsoft 365 / Outlook 2021, utiliser le webmail ou un client IMAP/POP compatible OAuth 2. |
| Clients mobiles modernes (Outlook iOS/Android, Apple Mail iOS ≥ 15, Gmail Android option Exchange) | Oui | Supprimer puis ré‑ajouter le compte en choisissant Outlook.com / Exchange. |
| Clients mobiles/mail anciens (Android ≤ 6, Apple Mail iOS < 15) | Peu probable | Passer par Outlook web ou installer l’appli Outlook officielle. |
| Connexion via navigateur (outlook.live.com) | Oui | Aucune action ; utilisez un navigateur à jour. |
Repérer les symptômes d’une configuration obsolète
| Symptôme | Interprétation | Correctif recommandé |
|---|---|---|
| Boucle infinie demandant le mot de passe | Le client insiste sur Basic Auth | Recréez le compte en Exchange/OAuth 2 ou mettez Outlook à jour (≥ 11601.10000). |
| Fenêtre sollicitant un code MFA ou validation Microsoft Authenticator | OAuth 2 est déjà actif | Aucune action : comportement nominal. |
| Compte configuré en IMAP ou POP | Incompatible sans OAuth 2 | Recréez le profil en Exchange, ou migrez vers Thunderbird 78+, Apple Mail 14+… |
| Erreurs Android/iOS après la date limite | Application ou OS trop ancien | Installez Outlook Android/iOS ou passez par le navigateur web. |
Checklist : vérifier son poste Windows
- Dans Outlook Fichier > Compte Office, confirmez que la version est ≥ 11601.10000. Sinon, lancez Windows Update ou installez Microsoft 365 / Outlook 2021.
- Dans Fichier > Paramètres du compte > Courrier, vérifiez que le Type du compte = « Microsoft Exchange (Microsoft 365) ». Si « IMAP » ou « POP », supprimez le compte puis laissez l’assistant le recréer automatiquement.
- Ouvrez la boîte de dialogue Identité. La présence d’un logo Microsoft et d’une mention « Se connecter avec votre compte Microsoft » confirme OAuth 2.
- Activez éventuellement MFA pour renforcer la sécurité ; vous recevrez alors une notification sur Microsoft Authenticator à chaque nouvel appareil.
Checklist : reconfigurer un appareil mobile
- Supprimez le compte Outlook/Hotmail existant dans votre application.
- Cliquez sur Ajouter un compte > Outlook.com (ou « Exchange > Outlook.com » selon l’application).
- Entrez votre adresse, laissez la redirection vous amener sur la page d’authentification Microsoft, puis validez la demande de consentement OAuth 2.
- Assurez‑vous qu’une demande MFA ou qu’une fenêtre Microsoft s’affiche : c’est le signe que la nouvelle méthode est bien utilisée.
- Patientez le temps de la première synchronisation (quelques minutes pour réindexer vos dossiers).
Questions fréquentes
Outlook « v1.xxx » gratuit sous Windows 10 fonctionnera‑t‑il ?
Oui. C’est la nouvelle application One Outlook distribuée dans le Microsoft Store ; elle parle déjà OAuth 2.
Puis‑je consulter Outlook.live.com dans Chrome 106 sur un vieux Android 6 ?
À court terme, oui – si votre navigateur est encore supporté par Microsoft. Néanmoins, un appareil plus récent est conseillé : le moteur de rendu TLS d’Android 6 ne reçoit plus de correctifs.
La validation en deux étapes est‑elle obligatoire ?
Non, mais vivement recommandée. L’activation de MFA fournit un indicateur visuel clair qu’OAuth 2 est bien en place et bloque la plupart des vols de jetons.
Outlook 2013 affiche « Exchange » mais continue de demander le mot de passe ; pourquoi ?
Parce qu’il parle le vieux protocole MAPI over HTTP sans prise en charge OAuth 2. Seule la mise à niveau, le webmail ou un client tiers OAuth 2 règlera définitivement le problème.
Mon SMS de vérification n’arrive plus ou mon compte est bloqué
Rendez‑vous sur le formulaire de récupération de compte Microsoft (recherchez « acsr » dans votre navigateur) pour réenregistrer vos coordonnées. Attendez ensuite l’expiration du délai de sécurité avant de réessayer.
Comprendre la transition technique
Dans le passé, Outlook .com proposait de multiples points de terminaison :
outlook.office365.com:993pour IMAPsmtp-mail.outlook.com:587pour SMTPoutlook.office365.com/EWS/Exchange.asmxpour EWS
Depuis la bascule, ces services restent joignables, mais toute demande de grant_type=password sans jeton Azure AD est rejetée par l’erreur 535 5.7.3 Authentication unsuccessful. Les clients modernes ne dialoguent plus directement avec IMAP/SMTP : ils obtiennent d’abord un jeton auprès de login.microsoftonline.com (tenant grand public « consumers »), puis l’injectent dans l’en‑tête AUTH XOAUTH2. Ce mécanisme autorise :
- La rotation automatique du refresh token tous les 90 jours.
- La révocation immédiate depuis la page Sécurité du compte Microsoft.
- La vérification de la conformité (device compliance) sur les appareils gérés par Intune.
Scénarios d’entreprise : pièges courants et bonnes pratiques
Les environnements professionnels exploitant des postes hybrides (Azure AD + Active Directory on‑premises) ou des proxys d’inspection TLS doivent vérifier :
- Que les domaines
login.microsoftonline.com,.msidentity.cometaadcdn.msauth.netne sont pas interceptés ni réécrits ; sinon la réponse OAuth 2 échouera. - Que l’empaquetage Office inclut bien l’édition Semi‑Annual Enterprise Channel ≥ 2108, seule branche toujours patchée pour Outlook 2019 LTSC.
- Que les GPO
EnableADALetDisableBasicAuthsont respectivement forcées à1et0, afin d’interdire tout fallback Basic.
Pensez également à nettoyer les anciens profils dans le gestionnaire Identités Windows (Paramètres > Comptes > Identité de travail ou d’école) ; la présence de crédences obsolètes peut provoquer des boucles d’autodiscover.
Alternatives IMAP/POP compatibles OAuth 2
Si vous tenez absolument à garder un flux IMAP ou POP, la solution passe par un client à jour :
| Client | Version minimale | Activation OAuth 2 |
|---|---|---|
| Mozilla Thunderbird | 78 | Menu Paramètres du compte > Serveur, sélectionner « OAuth2 ». |
| Apple Mail macOS | Big Sur 11.0 | Sélection Outlook.com à l’ajout du compte (pas IMAP manuel). |
| Microsoft Mail (Windows 11) | Natif | Utilise déjà MSAL ; aucune config. |
| Gmail (Android) | 2022.10+ | Ajouter un Compte Exchange et Office 365. |
Mémo pour les administrateurs scolaires et associatifs
Les structures disposant d’anciens ordinateurs (Windows 7/8) ou d’équipements d’occasion doivent prioriser :
- La migration vers Windows 10/11 afin d’utiliser « Outlook for Windows » gratuit.
- L’abandon d’outils tiers (Mailbird, eM Client) non mis à jour depuis 2023.
- L’activation systématique du filtrage d’accès basé sur la localisation pour limiter le risque de prise de contrôle.
Un ordinateur impossible à mettre à jour peut quand même accéder à la messagerie depuis un navigateur moderne portable (Firefox ESR ou Edge Chromium) sans installer de client lourd.
Bonnes pratiques après la transition
- Supprimez les mots de passe d’application créés pour contourner le MFA : ils ne servent plus.
- Nettoyez les connexions obsolètes dans la page d’activité de sécurité du compte Microsoft.
- Adoptez la stratégie « mobile‑only MFA » (notification push plutôt que SMS) pour éviter l’interception par SIM‑swapping.
- Activez la mise à jour automatique d’Office ou des apps mobiles ; chaque nouvelle version améliore la gestion des refresh tokens et réduit les expirations inattendues.
Résumé opérationnel
Mettez à jour ou remplacez tout client Outlook/IMAP/POP qui n’utilise que le mot de passe simple ; depuis le 16 septembre 2024, seuls les clients compatibles OAuth 2 (Modern Auth) continuent à synchroniser votre courrier Outlook.com.