Pour connecter une boîte Gmail Google Workspace en IMAP avec un outil de migration, un ancien client mail ou un logiciel qui ne gère pas correctement l'authentification Google, il faut souvent utiliser un mot de passe d'application. Ce mot de passe n'est disponible que si la validation en deux étapes est activée sur le compte.
À retenir
Un administrateur Google Workspace ne peut pas générer un mot de passe d'application à la place d'un utilisateur. Il peut encadrer la politique de sécurité, vérifier l'état de la validation en deux étapes, activer ou bloquer l'IMAP et révoquer des mots de passe d'application existants, mais le code doit être créé depuis le compte de l'utilisateur concerné.
Qu'est-ce qu'un mot de passe d'application Google ?
Un mot de passe d'application est un code généré par Google pour autoriser une application précise à accéder au compte. Il remplace le mot de passe habituel dans les logiciels qui demandent simplement un identifiant et un mot de passe, par exemple en IMAP ou en SMTP.
Ce n'est pas une méthode à privilégier pour les applications modernes : quand c'est possible, utilisez plutôt la connexion Google avec OAuth. Le mot de passe d'application reste utile pour certains outils de migration, scripts IMAP, scanners, copieurs multifonctions ou anciens clients de messagerie.
Prérequis avant de commencer
- La validation en deux étapes doit être activée sur le compte Google Workspace.
- L'accès IMAP doit être autorisé par l'administrateur Google Workspace et activé dans Gmail si nécessaire.
- Le compte ne doit pas être sous Protection avancée et ne doit pas être limité à une validation en deux étapes uniquement par clé de sécurité.
Si le menu "Mots de passe d'application" n'apparaît pas
Les causes les plus fréquentes sont : la validation en deux étapes n'est pas encore activée, l'organisation bloque cette option, le compte utilise la Protection avancée, ou la méthode 2FA autorisée est trop restrictive.
Étape 1 : activer la validation en deux étapes
Depuis le compte utilisateur concerné :
- Ouvrez myaccount.google.com/security
- Connectez-vous avec l'adresse Google Workspace concernée
- Dans la section Comment vous connecter à Google, cliquez sur Validation en deux étapes
- Suivez l'assistant pour configurer une méthode de validation : application Google Authenticator, notification Google, SMS ou autre méthode autorisée par l'organisation
- Terminez l'activation et vérifiez que la validation en deux étapes est bien indiquée comme active
Si l'organisation impose déjà la validation en deux étapes, cette étape peut être déjà faite. Dans ce cas, passez directement à la génération du mot de passe d'application.
Étape 2 : générer le mot de passe d'application
Accéder directement aux mots de passe d'application
Ouvrez myaccount.google.com/apppasswords avec le compte Google Workspace concerné.
Utiliser le chemin manuel si besoin
Si le lien direct ne fonctionne pas, ouvrez myaccount.google.com/security, puis dans Comment vous connecter à Google, cliquez sur Mots de passe d'application. Google peut redemander le mot de passe du compte.
Nommer l'accès
Indiquez un nom clair, par exemple Migration IMAP, Thunderbird, Outlook ou Imapsync.
Générer et copier le code
Cliquez sur Créer ou Générer, puis copiez le mot de passe affiché par Google. Il s'agit généralement d'un code de 16 caractères.
Conseil
Copiez le mot de passe immédiatement dans votre outil ou votre coffre de mots de passe. Google ne l'affichera plus ensuite. Si vous le perdez, révoquez l'ancien accès et générez-en un nouveau.
Paramètres IMAP et SMTP Gmail
Dans votre client mail ou votre outil de migration, utilisez l'adresse email complète comme identifiant et le mot de passe d'application comme mot de passe.
| Paramètre | Valeur |
|---|---|
| Serveur IMAP | imap.gmail.com |
| Port IMAP | 993 |
| Sécurité IMAP | SSL/TLS |
| Serveur SMTP | smtp.gmail.com |
| Port SMTP | 465 en SSL/TLS ou 587 en STARTTLS |
| Nom d'utilisateur | Adresse email complète |
| Mot de passe | Mot de passe d'application généré par Google |
Activer IMAP dans Gmail
Selon la configuration du domaine, l'utilisateur peut aussi devoir activer IMAP dans Gmail :
- Ouvrez Gmail avec le compte concerné
- Cliquez sur l'icône Paramètres, puis Voir tous les paramètres
- Allez dans l'onglet Transfert et POP/IMAP
- Dans la section Accès IMAP, sélectionnez Activer IMAP
- Cliquez sur Enregistrer les modifications
Si l'option est grisée ou absente, l'accès IMAP est probablement bloqué par une règle administrateur.
Ce que l'administrateur Google Workspace peut faire
Autoriser ou bloquer l'accès IMAP
Dans la console d'administration Google, l'administrateur peut gérer l'accès POP/IMAP pour l'organisation ou pour certaines unités organisationnelles. Le chemin peut évoluer, mais il se trouve généralement dans :
Console d'administration Google → Applications → Google Workspace → Gmail → Accès utilisateur final → Accès POP et IMAP
Encadrer la validation en deux étapes
L'administrateur peut imposer la validation en deux étapes, définir les méthodes autorisées et vérifier si un utilisateur l'a activée. En revanche, l'activation finale reste liée au compte utilisateur, car elle nécessite une méthode de second facteur personnelle.
Voir et révoquer les mots de passe d'application
Pour des raisons de sécurité, l'administrateur peut consulter les mots de passe d'application créés sur un compte et les révoquer si un appareil est perdu, si une migration est terminée ou si un accès semble suspect. Il ne peut pas récupérer le mot de passe en clair ni en créer un utilisable à la place de l'utilisateur.
| Action | Utilisateur | Administrateur |
|---|---|---|
| Activer sa validation en deux étapes | Oui | Peut l'imposer ou vérifier l'état |
| Créer un mot de passe d'application | Oui | Non, pas à la place de l'utilisateur |
| Activer ou bloquer IMAP pour l'organisation | Non | Oui |
| Révoquer un mot de passe d'application | Oui, pour son compte | Oui, depuis les paramètres de sécurité utilisateur |
Bonnes pratiques de sécurité
- Créer un mot de passe par usage – Un pour la migration, un pour Thunderbird, un pour un appareil spécifique.
- Nommer clairement chaque accès – Cela simplifie l'audit et la révocation.
- Révoquer après usage – Supprimez le mot de passe d'application dès qu'une migration IMAP est terminée.
- Ne jamais partager le code par email – Utilisez un coffre de mots de passe ou un canal sécurisé.
- Surveiller les alertes Google – Une connexion IMAP inhabituelle peut déclencher des notifications de sécurité.
Dépannage rapide
Le mot de passe est refusé
Le logiciel affiche "mot de passe incorrect" ou refuse la connexion IMAP.
Solution
Vérifiez que vous utilisez bien le mot de passe d'application, sans espaces ajoutés, et que l'identifiant est l'adresse email complète.
Le menu n'existe pas
Vous ne voyez pas "Mots de passe d'application" dans le compte Google.
Solution
Activez d'abord la validation en deux étapes. Si elle est déjà active, demandez à l'administrateur de vérifier les règles de sécurité du domaine et l'accès IMAP.
Conclusion
Pour accéder à une boîte Gmail Google Workspace en IMAP avec un mot de passe classique, la séquence est bien la suivante : activer la validation en deux étapes, puis générer un mot de passe d'application depuis le compte utilisateur. L'administrateur peut préparer le terrain et révoquer les accès, mais il ne peut pas créer ces mots de passe en masse pour tous les comptes.
Dans un contexte de migration email, prévoyez cette étape en amont avec chaque utilisateur concerné. Cela évite les blocages de dernière minute au moment de connecter l'outil IMAP.
Prêt à migrer vers Infomaniak ?
Contactez-nous pour un audit gratuit de 15 minutes. Nous analyserons votre situation et vous fournirons un devis personnalisé.
Demander un audit gratuit