Mot de passe d’application Gmail, Outlook, iCloud : comment le générer en 2026
Quand un client de messagerie ancien (Thunderbird, Outlook desktop, mail iPhone tiers) refuse votre mot de passe Google, Microsoft ou Apple, c’est presque toujours la même cause : la double authentification est active et le service exige désormais un mot de passe d’application. Voici comment en générer un proprement, sans casser votre 2FA, pour Gmail, Outlook et iCloud.
Pourquoi un mot de passe d’application existe
Lorsque vous activez la 2FA sur Gmail, Outlook ou iCloud, votre mot de passe principal n’est plus suffisant pour les apps qui ne savent pas afficher de fenêtre de validation (logiciels SMTP/IMAP, scripts, vieux clients mail). Le service génère alors un code à 16 caractères dédié à cette app, qu’on peut révoquer sans toucher au mot de passe principal. Chaque code = une app. Si l’app est compromise, vous révoquez son code, point.
Pour comprendre pourquoi la 2FA reste obligatoire avant tout app password, voir notre guide d’activation 2FA.
Gmail (Google) — Générer un mot de passe d’application
Étape 1 — Activer la 2FA si ce n’est pas déjà fait
Allez sur myaccount.google.com/security. Section Connexion à Google, vérifiez que Validation en deux étapes est sur Activée. Sinon, activez-la (clé de sécurité physique ou Authenticator recommandés, pas SMS).
Étape 2 — Ouvrir la page App Passwords
Toujours connecté, ouvrez myaccount.google.com/apppasswords. Si la page redirige vers la page Sécurité, c’est que la 2FA n’est pas active : retour étape 1.
Étape 3 — Nommer l’app et générer
Dans Nom de l’application, tapez quelque chose d’identifiable plus tard (ex. Thunderbird PC bureau, Mail iPhone perso). Cliquez Créer.
Google affiche un code de 16 caractères sous la forme xxxx xxxx xxxx xxxx. Copiez-le immédiatement : il ne sera plus affiché.
Étape 4 — Coller dans le client mail
Dans Thunderbird, Outlook desktop, Apple Mail ou autre, à l’endroit où il demande votre mot de passe Gmail, collez le code de 16 caractères (avec ou sans les espaces, les deux fonctionnent). Le serveur SMTP/IMAP est smtp.gmail.com (port 465 SSL ou 587 STARTTLS) et imap.gmail.com (port 993 SSL).
Étape 5 — Tester l’envoi/réception
Envoyez-vous un mail à vous-même depuis le client. Si tout passe, l’app password est validé. Sinon, vérifiez que IMAP est activé dans les paramètres Gmail web (Paramètres → Transfert et POP/IMAP → IMAP activé).
Outlook / Microsoft 365 — Générer un mot de passe d’application
Étape 1 — Activer la vérification en 2 étapes
Allez sur account.microsoft.com/security → Options de sécurité avancées. Activez Vérification en deux étapes si ce n’est pas fait.
Étape 2 — Créer un mot de passe d’application
Sur la même page, descendez jusqu’à Mots de passe d’application → Créer un mot de passe d’application. Microsoft génère un code à 16 caractères.
Différence importante avec Google : Microsoft ne vous demande pas de nommer chaque code. Vous obtenez un code générique qui fonctionnera pour n’importe quel client.
Étape 3 — Coller dans le client mail
Dans Thunderbird ou autre, mettez ce code 16 caractères en lieu et place du mot de passe Outlook. Serveurs : smtp.office365.com (port 587 STARTTLS) et outlook.office365.com (port 993 SSL).
Étape 4 — Cas spécial Office desktop
Office desktop moderne (Outlook 2019/2021/365) gère nativement la 2FA via OAuth, donc ne nécessite pas d’app password. Vous n’aurez besoin d’un app password que pour des clients tiers ou anciens.
iCloud (Apple) — Générer un mot de passe spécifique
Étape 1 — Vérifier que vous avez la 2FA Apple
Allez sur appleid.apple.com, section Sign-In and Security. La 2FA Apple est obligatoire pour générer un app password. Si elle n’est pas active, activez-la (Apple force la migration depuis 2024).
Étape 2 — Cliquer sur App-Specific Passwords
Sur la même page, sous Sign-In and Security, cliquez App-Specific Passwords → + Generate an app-specific password.
Étape 3 — Donner un nom
Apple demande un label (ex. Thunderbird Mac, Calendrier desktop Linux). C’est ce label qui apparaît dans la liste des app passwords actifs et que vous pourrez révoquer.
Apple génère un code au format xxxx-xxxx-xxxx-xxxx. Copiez-le immédiatement.
Étape 4 — Coller dans le client
Dans Thunderbird ou tout client IMAP/CalDAV/CardDAV, collez le code (avec les tirets, ils sont obligatoires côté Apple). Serveurs : smtp.mail.me.com (port 587 STARTTLS) et imap.mail.me.com (port 993 SSL).
Si vous n’utilisez pas le bon mot de passe
Le code de 16 caractères généré par Google/Microsoft/Apple n’est pas votre mot de passe principal. C’est un code dédié, à usage unique et révocable. Mais comme tout code, il faut le stocker en sécurité sinon vous le perdrez à la première réinstallation. Stockez-le dans Bitwarden (champ Notes du compte concerné) plutôt qu’en clair dans un fichier ou un mail.
Si vous n’avez pas encore de mot de passe maître Bitwarden assez fort, générez une passphrase Diceware côté client (5-6 mots, calcul d’entropie en direct, zéro upload). Pour la mémoriser, voir la méthode 7 jours.
Révoquer un mot de passe d’application
Si vous perdez l’appareil, ou si vous arrêtez d’utiliser un client mail, révoquez le code :
- Google :
myaccount.google.com/apppasswords→ poubelle à côté de l’entrée correspondante - Microsoft : page sécurité avancée → liste des app passwords → Supprimer
- Apple :
appleid.apple.com→ App-Specific Passwords → X à côté du label
Une révocation est instantanée : le client mail concerné sera déconnecté à la prochaine synchro et redemandera un mot de passe.
Rappel sécurité 2026
Trois règles simples qui évitent 90 % des incidents avec les app passwords :
- Un code = une app. Ne réutilisez pas le même code sur plusieurs clients. Si vous avez Thunderbird PC + Mail iPhone, générez deux codes distincts.
- Nommez explicitement. Un label clair (
Thunderbird-PC-bureau-2026) vous fait gagner 5 secondes le jour où vous voulez révoquer. - Stockez chez Bitwarden, pas en clair. Le code 16 caractères n’a aucune valeur protectrice s’il traîne dans un Notes ouvert ou un mail.
Pour aller plus loin sur la robustesse de votre mot de passe maître Bitwarden, lisez créer un mot de passe maître Bitwarden incassable en 2026.