Depuis mai 2022, Google a définitivement bloqué l’accès à Gmail par nom d’utilisateur et mot de passe simple pour les applications tierces — une décision qui a cassé silencieusement des milliers de configurations email en France du jour au lendemain. La CNIL elle-même recommande depuis 2023 l’authentification forte pour tous les services professionnels, et ce changement Google s’inscrit dans cette logique. Les mots de passe d’application sont la solution de repli prévue pour les logiciels qui ne peuvent pas utiliser OAuth, mais Google lui-même les qualifie d’« inutiles dans la plupart des cas ». Ce guide explique précisément quand vous en avez encore besoin en 2026, comment en générer un en moins de deux minutes, et comment faire le ménage dans ceux que vous n’utilisez plus.
Qu’est-ce qu’un mot de passe d’application Gmail ?
Un mot de passe d’application Gmail est un code de 16 caractères qui permet à une application ou un appareil spécifique d’accéder à votre compte Google sans avoir besoin de votre vrai mot de passe Google. Il ne fonctionne que si la validation en deux étapes (2SV) est déjà active — Google ne vous montrera pas la page des mots de passe d’application autrement. Une fois généré, le code n’est affiché qu’une seule fois ; vous le copiez directement dans le champ mot de passe de l’application.
Le concept remonte à l’époque où la plupart des logiciels de messagerie géraient l’authentification avec un simple échange nom d’utilisateur + mot de passe via IMAP ou SMTP. Ce modèle pose un problème fondamental : vous confiez vos vraies identifiants Google à une application tierce, ce qui signifie que si cette application est compromise, l’ensemble de votre compte Google est exposé. Les mots de passe d’application ont été introduits comme atténuation partielle — un jeton limité qui n’accorde l’accès que via IMAP/SMTP, pas un accès complet au compte.
Google décrit les mots de passe d’application ainsi sur sa page d’assistance : « Un mot de passe d’application est un code de 16 chiffres qui donne à une application ou un appareil moins sécurisé l’autorisation d’accéder à votre compte Google. » La formulation « moins sécurisé » est délibérée et honnête — les mots de passe d’application sont une couche de compatibilité pour les systèmes anciens, pas une approche recommandée.
Un détail critique qui échappe à beaucoup d’utilisateurs : les mots de passe d’application ne sont disponibles que si vous utilisez la validation en deux étapes standard (SMS, application d’authentification ou clé de sécurité physique). Si vous êtes inscrit au Programme de Protection Avancée de Google, les mots de passe d’application sont complètement désactivés. Si votre administrateur Google Workspace a restreint la création de mots de passe d’application au niveau du domaine, la page renverra une erreur ou ne se chargera tout simplement pas.
En avez-vous vraiment besoin en 2026 ?
Pour la grande majorité des utilisateurs Gmail en 2026 : non. Les clients de messagerie modernes, les applications mobiles et la plupart des logiciels de bureau prennent en charge OAuth 2.0 — le flux « Se connecter avec Google » qui émet un jeton limité sans jamais toucher à votre mot de passe. Vous avez besoin d’un mot de passe d’application uniquement si vous utilisez un logiciel qui ne peut pas compléter un flux OAuth.
Voici le tableau pratique :
Vous n’avez PAS besoin d’un mot de passe d’application si vous utilisez :
- Gmail dans un navigateur
- L’application officielle Gmail sur iOS ou Android
- Mailbird (OAuth pour Gmail pris en charge depuis 2020)
- Thunderbird 115 et versions ultérieures (bascule sur OAuth par défaut)
- Outlook 2016 et ultérieur avec une configuration d’authentification moderne
- Apple Mail sur macOS Ventura et ultérieur
- Tout client email qui affiche une popup navigateur « Se connecter avec Google » lors de la configuration du compte
Vous avez probablement besoin d’un mot de passe d’application si vous utilisez :
- Scripts Python utilisant
smtplibavecsmtp.gmail.com:587 - Outils d’automatisation anciens (anciens nœuds Zapier email, versions anciennes de n8n, wrappers bash
sendmailpersonnalisés) - Thunderbird avant la version 115 sans migration OAuth manuelle
- Imprimantes ou scanners avec fonction « numériser vers email » via SMTP
- Périphériques NAS avec notification email Gmail
- Très anciennes versions d’Outlook (2010 et antérieures) sans support OAuth
- Logiciels CRM ou ERP qui codent en dur l’authentification SMTP
Le paramètre « Applications moins sécurisées » — qui permettait auparavant à ces vieilles applications de contourner la 2SV entièrement — a été définitivement supprimé par Google en mai 2022. Les mots de passe d’application sont devenus la seule voie non-OAuth après cela.
Comment créer un mot de passe d’application Gmail (étape par étape)
Créer un mot de passe d’application Gmail prend moins de deux minutes. Vous allez sur myaccount.google.com/apppasswords, nommez l’application, cliquez sur Créer, copiez le code de 16 caractères et le collez dans le champ mot de passe de l’application. La validation en deux étapes doit être active avant que cette page soit accessible.
Prérequis avant de commencer :
- La validation en deux étapes doit être activée. Si ce n’est pas le cas, activez-la d’abord sur myaccount.google.com/signinoptions/two-step-verification. Le guide complet est disponible dans notre article sur la configuration de la double authentification Gmail.
- Vous ne devez pas être inscrit au Programme de Protection Avancée (les mots de passe d’application sont désactivés pour ces comptes).
- Si vous utilisez Google Workspace (compte d’entreprise ou scolaire), votre administrateur doit autoriser la création de mots de passe d’application.
Étape 1 — Ouvrir la page des mots de passe d’application
Rendez-vous sur myaccount.google.com/apppasswords. Vous pourriez être invité à vous connecter ou confirmer votre mot de passe. Si la page affiche une erreur indiquant que les mots de passe d’application ne sont pas disponibles, vérifiez les prérequis ci-dessus.
Étape 2 — Nommer l’application
Vous verrez un champ texte intitulé « Nom de l’application ». Tapez quelque chose de descriptif — Thunderbird bureau, Script Python factures, Imprimante Brother. Ce libellé sert uniquement à votre référence ; Google ne l’utilise pas pour les décisions d’accès. Un nom précis est important quand vous devez révoquer le bon mot de passe six mois plus tard.
Étape 3 — Cliquer sur Créer
Google génère un code de 16 caractères affiché en quatre groupes de quatre lettres. C’est le mot de passe d’application. Il ressemble à : abcd efgh ijkl mnop.
Étape 4 — Copier et utiliser immédiatement
C’est la seule fois que vous verrez ce code exact. Copiez-le maintenant. Lorsque vous le collez dans le client de messagerie ou le script, supprimez les espaces — l’application a besoin des 16 caractères bruts. Dans Thunderbird, par exemple, collez-le dans le champ « Mot de passe » lors de la configuration du compte IMAP ; dans un script Python smtplib, assignez-le à la variable password.
Étape 5 — Fermer la boîte de dialogue
Une fois la boîte de dialogue fermée, le mot de passe complet disparaît de l’interface Google. Ce qui reste, c’est le libellé que vous avez choisi à l’Étape 2, visible sur la page de gestion des mots de passe d’application. Si vous perdez le code, vous ne pouvez pas le récupérer — vous en générez un nouveau et mettez à jour l’application.
Cas où vous en avez encore besoin
Les mots de passe d’application restent nécessaires pour tout logiciel qui s’authentifie via IMAP ou SMTP avec un nom d’utilisateur et un mot de passe, sans prendre en charge le flux de redirection navigateur OAuth. Les cas les plus courants en 2026 sont les scripts anciens, les vieux clients de bureau, et les appareils matériels.
Scripts Python / développement
Le cas d’usage le plus fréquent. Un script utilisant smtplib.SMTP_SSL('smtp.gmail.com', 465) suivi de server.login(email, password) échouera avec un mot de passe Google standard et la 2SV activée. Remplacez password par le mot de passe d’application de 16 caractères et ça fonctionne. Si vous voulez éviter les mots de passe d’application dans vos scripts sur le long terme, regardez du côté de l’API Gmail avec un compte de service ou un flux OAuth 2.0.
Imprimantes et scanners avec numérisation vers email
Brother, HP, Ricoh, Canon — pratiquement tout périphérique de bureau avec une fonction SMTP d’envoi email utilise une authentification basique. Il n’y a pas de popup navigateur sur une imprimante, donc OAuth est impossible. Les mots de passe d’application sont la solution correcte ici : créez-en un intitulé Imprimante HP bureau, entrez l’adresse Gmail et le mot de passe d’application dans les paramètres SMTP de l’imprimante.
Configurations Thunderbird et Outlook anciennes
Thunderbird 115 a basculé son authentification Gmail par défaut sur OAuth, mais les comptes configurés sous des versions antérieures peuvent encore utiliser IMAP avec un mot de passe stocké. Si Thunderbird vous redemande votre mot de passe après un changement Google, et que le prompt est pour un mot de passe et non un flux OAuth, vous avez une configuration d’authentification ancienne. Options : re-configurez le compte Gmail dans Thunderbird 115+ (déclenche OAuth), ou générez un mot de passe d’application et collez-le dans le prompt.
NAS et serveurs domestiques
Synology, QNAP et appareils similaires incluent souvent une fonction de « notification email » qui nécessite des identifiants SMTP. Créez un mot de passe d’application dédié portant le nom de l’appareil. Traitez-le comme tout identifiant : si l’appareil est mis au rebut, révoquez le mot de passe le jour même.
Pourquoi la plupart des clients modernes n’en ont plus besoin
Les clients de messagerie modernes s’authentifient via OAuth 2.0, qui ouvre une fenêtre navigateur pour le flux « Se connecter avec Google » au lieu de demander un mot de passe. Google émet un jeton d’accès limité à l’application — aucun mot de passe n’est jamais partagé, et le jeton peut être révoqué depuis votre compte Google sans affecter votre mot de passe Google.
Cette transition s’est faite progressivement entre 2016 et 2022. Gmail a bloqué les Applications moins sécurisées (IMAP/SMTP basique avec votre vrai mot de passe) en mai 2022, poussant chaque client restant à adopter OAuth ou à s’appuyer sur les mots de passe d’application.
Mailbird, par exemple, gère la configuration Gmail entièrement via OAuth. Quand vous ajoutez un compte Gmail dans Mailbird, l’application ouvre votre navigateur par défaut sur accounts.google.com, vous approuvez les permissions, et c’est terminé — aucun mot de passe n’entre dans le stockage de Mailbird. L’accès est limité à la lecture/écriture/envoi d’email, pas à l’intégralité de votre compte Google.
C’est matériellement plus sécurisé qu’un mot de passe d’application. Un mot de passe d’application, une fois généré, n’a pas de date d’expiration et pas de restriction de portée au-delà d’IMAP/SMTP. Un jeton OAuth est limité, révocable, et lié à une application approuvée spécifique.
Essayer Mailbird gratuitementSi vous utilisez actuellement un client de messagerie ancien qui nécessite un mot de passe d’application pour Gmail et que vous passez beaucoup de temps dans votre boîte mail, passer à un client avec un support OAuth natif vaut le coût de migration. L’amélioration sécuritaire est réelle. Consultez notre guide des meilleurs clients email pour Windows 2026 pour une comparaison des principales options.
Sécurité : mots de passe d’application vs OAuth
Les mots de passe d’application sont plus sûrs que de partager votre vrai mot de passe Google avec une application tierce, mais nettement moins sécurisés qu’OAuth. Un mot de passe d’application accorde un accès IMAP/SMTP persistant sans expiration, sans restriction de portée au-delà de l’email, et sans invalidation automatique si votre comportement change. Les jetons OAuth sont limités, expirent, et sont révocables par application.
Ce qu’un mot de passe d’application peut et ne peut pas faire :
Un mot de passe d’application de 16 caractères permet au détenteur de s’authentifier via IMAP (lire les emails, gérer les dossiers) et SMTP (envoyer des emails en votre nom). Il n’accorde pas l’accès à votre Google Drive, Calendar, Contacts ou paramètres de compte. Il ne peut pas être utilisé pour se connecter directement à google.com.
Ce contre quoi il ne protège pas : la persistance. Si un script ou une application qui détient votre mot de passe d’application est compromis, l’attaquant a un accès lecture/envoi continu à votre Gmail jusqu’à ce que vous révoquez le mot de passe spécifique. Il n’y a pas d’expiration automatique.
Un déclencheur de révocation automatique existe cependant : lorsque vous changez le mot de passe de votre compte Google, tous les mots de passe d’application existants sont invalidés. C’est une mesure d’urgence utile — si vous suspectez une compromission, changez votre mot de passe Google et tous les mots de passe d’application deviennent immédiatement inutilisables.
Hygiène sécurité pratique :
- Créez un mot de passe d’application par cas d’usage, ne le réutilisez jamais entre plusieurs applications
- Utilisez un libellé descriptif (pas juste « Email ») pour pouvoir révoquer précisément
- Consultez la liste des mots de passe d’application sur myaccount.google.com/apppasswords chaque trimestre
- Quand vous mettez au rebut un script, un appareil ou un client, révoquez son mot de passe d’application le jour même
- Ne stockez jamais un mot de passe d’application en clair — utilisez des variables d’environnement, un gestionnaire de secrets, ou le trousseau de votre système d’exploitation
Comment révoquer un mot de passe d’application Gmail
Pour révoquer un mot de passe d’application Gmail, allez sur myaccount.google.com/apppasswords, trouvez l’entrée par le libellé que vous lui avez donné, et cliquez sur l’icône de révocation (corbeille). La révocation est immédiate — l’application utilisant ce mot de passe échouera à s’authentifier à sa prochaine tentative.
La page de révocation liste tous les mots de passe d’application actifs par le nom que vous leur avez donné à la création, ainsi que la date approximative de création. Si vous les avez libellés clairement, cette page est facile à auditer.
Ce qui se passe après la révocation :
L’application ou le script qui détenait le mot de passe recevra un échec d’authentification lors de sa prochaine tentative de connexion. Dans Thunderbird, cela se manifeste par un prompt de mot de passe. Dans un script Python, cela lève une smtplib.SMTPAuthenticationError. La correction consiste à générer un nouveau mot de passe d’application et mettre à jour la configuration de l’application.
Révocation en masse :
Il n’y a pas de bouton « révoquer tout » en un clic sur la page des mots de passe d’application. La révocation en masse la plus rapide est de changer votre mot de passe de compte Google — cela invalide immédiatement chaque mot de passe d’application pour votre compte. Toutes les applications utilisant des mots de passe d’application devront être reconfigurées avec de nouveaux. Utilisez cette option nucléaire uniquement si vous suspectez une compromission de compte ou effectuez une remise à zéro sécurité complète.
Dépannage : le mot de passe d’application ne fonctionne pas
Les raisons les plus courantes pour lesquelles un mot de passe d’application échoue : le code a été copié avec des espaces (collez les 16 caractères bruts, sans espaces), la validation en deux étapes a été désactivée après la génération du mot de passe (les mots de passe d’application sont supprimés quand la 2SV est désactivée), ou le mot de passe Google a été modifié (tous les mots de passe d’application sont automatiquement révoqués lors d’un changement de mot de passe).
Parcourez cette liste de vérification avant de générer un nouveau mot de passe d’application :
1. Espaces dans le code
Google affiche le code de 16 caractères sous la forme abcd efgh ijkl mnop. Certains champs de mot de passe acceptent ce format ; d’autres rejettent les espaces. En cas de doute, saisissez les 16 caractères sans espaces : abcdefghijklmnop.
2. La validation en deux étapes a été désactivée Si la 2SV est désactivée sur le compte — même brièvement — tous les mots de passe d’application sont supprimés. Réactiver la 2SV ne les restaure pas. Générez de nouveaux mots de passe d’application après avoir réactivé la 2SV.
3. Le mot de passe Google a récemment été modifié Changer votre mot de passe de compte Google révoque automatiquement tous les mots de passe d’application. C’est documenté sur la page d’assistance de Google. Générez un nouveau mot de passe d’application après tout changement de mot de passe.
4. Mauvais compte Si vous gérez plusieurs comptes Google, vérifiez que le mot de passe d’application appartient au même compte que celui que l’application essaie d’authentifier. Les mots de passe d’application sont spécifiques à un compte.
5. L’application utilise le mauvais type d’authentification
Certains clients email ont un paramètre pour le type d’authentification : Mot de passe normal, OAuth2, Kerberos, etc. Pour les mots de passe d’application, sélectionnez Mot de passe normal (ou équivalent). Sélectionner OAuth2 en utilisant un mot de passe d’application échouera.
6. Restriction administrateur Workspace Si votre compte est un compte Google Workspace (école, employeur), l’administrateur peut restreindre ou désactiver la création de mots de passe d’application. Si la page des mots de passe d’application affiche une erreur quand vous êtes connecté, contactez votre administrateur Workspace.
7. Programme de Protection Avancée Les comptes inscrits au Programme de Protection Avancée ne peuvent pas créer de mots de passe d’application. C’est une restriction stricte par conception — les utilisateurs de la Protection Avancée sont censés n’utiliser que des applications approuvées par Google.
Alexis Dollé, expert email depuis plus de 10 ans. Fondateur d’Email Tools. Je teste chaque client de messagerie et outil moi-même, puis j’en parle comme je l’expliquerais à un ami — sans jargon marketing, sans classements sponsorisés, chaque affirmation sourcée.
LinkedInQuestions fréquentes
Qu’est-ce qu’un mot de passe d’application Gmail ?
Un mot de passe d’application Gmail est un code de 16 caractères qui permet à une ancienne application ou un appareil d’accéder à votre compte Google sans utiliser votre vrai mot de passe Google. Il ne fonctionne que si la validation en deux étapes est déjà activée. Google lui-même précise que ces mots de passe sont inutiles dans la plupart des cas — les applications modernes utilisent OAuth à la place.
Où créer un mot de passe d’application Gmail ?
Rendez-vous sur myaccount.google.com/apppasswords en étant connecté à votre compte Google. La validation en deux étapes doit déjà être active. Si la page n’apparaît pas, votre compte utilise soit Google Workspace avec des restrictions administrateur, soit la validation en deux étapes n’est pas activée, soit vous êtes inscrit au Programme de Protection Avancée.
A-t-on encore besoin des mots de passe d’application en 2026 ?
Pour la majorité des utilisateurs : non. Les clients de messagerie modernes comme Mailbird, Thunderbird 115+ et Outlook 2016+ prennent tous en charge OAuth et se connectent à Gmail sans mot de passe d’application. Vous en avez encore besoin si vous utilisez des scripts anciens, des outils d’automatisation, des logiciels IMAP/SMTP anciens, ou des appareils incapables de compléter un flux OAuth.
Que sont devenus les « applications moins sécurisées » de Gmail ?
Google a définitivement supprimé le paramètre « Applications moins sécurisées » en mai 2022, mettant fin à l’accès par nom d’utilisateur/mot de passe simple pour les applications tierces. Les mots de passe d’application (qui nécessitent la validation en deux étapes) sont devenus la seule alternative non-OAuth pour les applications anciennes. Depuis janvier 2025, Gmail a également supprimé le bouton d’activation/désactivation de l’IMAP — l’IMAP est désormais toujours activé.
Les mots de passe d’application Gmail sont-ils sécurisés ?
Ils sont plus sûrs que de partager votre vrai mot de passe Google, mais moins sécurisés qu’OAuth. Un mot de passe d’application contourne la validation en deux étapes pour l’application qui le détient. S’il fuite, un attaquant a un accès continu à votre Gmail jusqu’à révocation. Limitez-les au strict nécessaire — un par cas d’usage, révocation immédiate quand ce n’est plus utile.
Que faire si mon mot de passe d’application Gmail ne fonctionne plus ?
Vérifiez d’abord que vous avez copié les 16 caractères sans espaces. Ensuite, confirmez que la validation en deux étapes est toujours active. Si vous avez récemment changé votre mot de passe Google, le mot de passe d’application a été automatiquement révoqué — générez-en un nouveau. Vérifiez aussi que l’application utilise bien le mot de passe d’application, pas votre vrai mot de passe Google.
Sources et références
- Aide Google — Se connecter avec des mots de passe d’application. Décrit les mots de passe d’application comme « un code de 16 chiffres », confirme l’exigence de validation en deux étapes, note la révocation automatique lors du changement de mot de passe. Consulté le 2026-05-18. support.google.com/accounts/answer/185833
- Aide Gmail — Consulter les messages Gmail sur d’autres clients de messagerie via IMAP. Confirme que Gmail « ne prend plus en charge les applications ou appareils tiers qui requièrent le partage de votre nom d’utilisateur et mot de passe Google », note le changement de janvier 2025 supprimant le bouton IMAP. Consulté le 2026-05-18. support.google.com/mail/answer/7126229
- Email Tools — Guide de configuration de la double authentification Gmail. Procédure complète pour activer la validation en deux étapes, prérequis à la création des mots de passe d’application. email-tools.me/posts/gmail-two-factor-authentication-setup/
- Email Tools — Meilleurs clients email pour Windows 2026. Présente les clients OAuth-natifs comme alternatives aux configurations nécessitant des mots de passe d’application. email-tools.me/posts/best-email-clients-windows-2026/
À lire aussi : Configuration de la double authentification Gmail — activez la 2SV, prérequis pour créer des mots de passe d’application. Meilleurs clients email pour Windows 2026 — clients OAuth-natifs qui éliminent le besoin de mots de passe d’application. Guide de configuration IMAP Mailbird — configuration Gmail via OAuth dans Mailbird.