Vous voyez « Unusual activity detected » dans votre compte Microsoft ? Voici, en termes clairs, ce que cela signifie, comment vérifier si un accès a réellement eu lieu, et un plan d’action concret pour sécuriser Outlook, OneDrive et vos applications sans perdre de temps.
Activité inhabituelle détectée : qu’est‑ce que cela signifie ?
Vue d’ensemble du problème
Quand un événement apparaît dans Sécurité > Activité récente avec le libellé Session type: Unusual activity detected, Microsoft a détecté une tentative de connexion qui sort de vos habitudes (appareil, IP, localisation, empreinte du navigateur). Cette alerte se déclenche typiquement quand :
- Le mot de passe saisi est correct (ou récupéré par l’attaquant),
- mais le contexte de connexion est inhabituel (nouveau pays, VPN, navigateur ou OS inconnu, décalage horaire improbable, adresse IP signalée, etc.).
Autrement dit : l’identifiant et le mot de passe étaient probablement valides ; la question est de savoir si l’accès a été bloqué par la seconde étape (si vous avez 2FA) ou accordé.
Accès réellement obtenu ?
| Configuration du compte | Conséquence probable |
|---|---|
| Sans validation en deux étapes (2FA) | L’intrus a eu un accès complet à la boîte aux lettres, à OneDrive, aux apps Office en ligne, aux mots de passe synchronisés dans Edge/Chrome, etc. |
| Avec 2FA activée | Deux cas : • Code/notification non validé → tentative bloquée. • Code/notification validé (vol de téléphone, SIM swap, adresse secondaire compromise, fatigue aux notifications, etc.) → accès complet. Astuce : dans Activité récente, un événement marqué « Requête refusée » est bloqué ; s’il est « Réussi », l’accès a abouti. |
Important : si l’alerte coïncide avec un déplacement ou un VPN que vous utilisez, il peut s’agir de vous. Vérifiez néanmoins chaque événement (date/heure, IP, appareil) et appliquez les mesures ci‑dessous si un doute subsiste.
Que faire immédiatement ?
- Changer immédiatement le mot de passe (déjà fait, bravo). Utilisez une phrase de passe longue (≥ 16 caractères), unique et générée par un gestionnaire de mots de passe. Évitez la réutilisation partout.
- Activer la validation en deux étapes (2FA) avec Microsoft Authenticator ou, mieux, une clé de sécurité FIDO2 (sans code à saisir, résistance au phishing). Désactivez l’authentification par SMS quand c’est possible ; préférez les notifications push/numéro à faire correspondre ou FIDO2.
- Se déconnecter de toutes les sessions : dans votre compte Microsoft > Sécurité > Accès sans mot de passe / Sessions (ou équivalent) > Se déconnecter partout. Cela invalide les cookies et tokens actifs, y compris sur les applications mobiles et clients de messagerie.
- Passer en revue les règles malveillantes (classique des compromissions) :
- Outlook (Web) : Paramètres > Courrier > Règles ; supprimez toute règle inconnue (ex. marquer comme lu, déplacer vers Archivage, transférer à une adresse externe).
- Transfert/Redirection : Paramètres > Courrier > Transfert ; la redirection automatique doit être désactivée sauf besoin explicite.
- OneDrive/SharePoint : vérifiez les liens de partage récents et les permissions accordées à des comptes externes.
- Teams : contrôlez les connecteurs et bots ajoutés récemment.
- Révoquer les appareils de confiance et supprimer ceux que vous ne reconnaissez pas : Appareils > Appareils connectés > Supprimer. Pour un PC/phone inconnu, supprimez‑le et changez le mot de passe à nouveau si l’événement est récent.
- Analyser l’ordinateur et le téléphone avec un antivirus à jour (y compris PUA/Adware). Sur mobile, désinstallez les apps inconnues, et vérifiez les profils MDM ou VPN non désirés.
- Activer les alertes de connexion suspecte : dans Sécurité > Alerte d’activité inhabituelle, activez les notifications e‑mail et via Authenticator. Configurez aussi les codes de récupération hors ligne.
- Réinitialiser la synchronisation des mots de passe navigateurs si Edge/Chrome étaient connectés :
- Edge : Profil > Synchronisation > Réinitialiser. Supprime les données dans le nuage et force une resynchronisation saine.
- Chrome : Paramètres > Vous et Google > Synchronisation > Réinitialiser la synchronisation. Changez le mot de passe du compte associé si nécessaire.
- Vérifier les applications tierces connectées : Sécurité > Apps et services ayant accès. Révoquez les autorisations que vous n’utilisez plus (OAuth), notamment celles qui peuvent lire ou envoyer vos e‑mails.
Tableau de contrôle express
| Action | Où cliquer | Ce que vous devez voir | Pourquoi c’est critique |
|---|---|---|---|
| Déconnexion globale | Sécurité > Sessions | Bouton « Se déconnecter partout » | Coupe l’accès à tous les tokens volés |
| 2FA (Authenticator / FIDO2) | Sécurité > Options de connexion | App par défaut ou clé FIDO2 enregistrée | Neutralise l’effet d’un mot de passe connu |
| Règles Outlook | Outlook Web > Paramètres > Courrier > Règles | Absence de règles inconnues | Empêche l’exfiltration silencieuse |
| Transfert Outlook | Outlook Web > Paramètres > Courrier > Transfert | Transfert désactivé, ou contrôlé | Stoppe la redirection automatique vers l’attaquant |
| Appareils et sessions | Compte > Appareils | Seuls vos appareils connus | Supprime les accès persistants en votre nom |
| Apps tierces (OAuth) | Sécurité > Apps et services | Seules les apps nécessaires | Réduit la surface d’attaque et l’accès API |
Peut‑on obtenir le détail des actions de l’intrus ?
| Compte Microsoft grand public | Compte Microsoft 365 (entreprise/éducation) |
|---|---|
| Journaux internes limités : Activité récente liste la date, l’adresse IP, l’appareil et le statut « Réussi / Bloqué ». Pas de liste détaillée des fichiers ouverts, téléchargés ni des mots de passe exportés. | Les administrateurs ont des logs riches via Microsoft Purview / Unified Audit Log (rétention typique 90–180 jours) : opérations dans SharePoint/OneDrive, ouvertures/téléchargements, actions Exchange/Teams, etc. |
Demandes d’accès aux données (DSR/GDPR) : en Europe, vous pouvez soumettre une demande via le Portail de confidentialité Microsoft. Attendez‑vous à recevoir surtout des données vous concernant (profil, paramètres, historique de connexions), pas le détail complet des gestes de l’intrus ; les journaux de sécurité bruts ne sont généralement pas fournis au grand public.
Astuces pour reconstruire l’activité
- OneDrive > Récents : liste les fichiers ouverts/modifiés (pensez aussi aux Corbeilles OneDrive/SharePoint).
- Outlook : consultez Éléments envoyés, Corbeille, Règles et Transfert.
- Historique Edge/Chrome synchronisé : si la synchro était active, faites un inventaire, puis réinitialisez la synchronisation.
- Connexions récentes : nouveau pays/OS/navigateur = fort indicateur d’usage par autrui.
Pour les entreprises : activez l’audit unifié, configurez des alertes (accès impossible, nombreuses échecs 2FA, création de règles de boîte, exfiltration), et conservez les journaux au moins 180 jours.
Détection des manipulations dans Outlook/Exchange
La majorité des compromissions e‑mail suivent un « playbook » récurrent. Utilisez la check‑list ci‑dessous pour neutraliser l’attaque et retrouver la visibilité sur votre boîte.
| Ce qu’il faut vérifier | Symptômes typiques | Action corrective |
|---|---|---|
| Règles de boîte | Marquage auto « lu », déplacement vers Dossiers secondaires, suppression immédiate | Supprimez toute règle inconnue ; recréez vos règles légitimes si besoin |
| Transfert/Redirection | Copie systématique vers une adresse externe | Désactivez le transfert ; surveillez les envois sortants anormaux |
| Impersonation | Réponses à vos contacts depuis votre adresse, mais sans traces visibles | Changez mot de passe, 2FA, et informez vos contacts en cas d’e‑mails suspects |
| Clients IMAP/POP | Connexion persistante depuis un client inconnu | Révoquez les mots de passe d’applications ; désactivez IMAP/POP si inutile |
| Agenda et Teams | Invitations ajoutées, canaux/partages anormaux | Nettoyez les permissions et les membres, supprimez les partages non souhaités |
Cas particuliers et signaux d’alerte
- Fatigue aux notifications 2FA : si vous recevez des rafales de demandes de validation, ne validez jamais. Activez la fonctionnalité « numéro à faire correspondre » et exiger la géolocalisation approximative dans l’Authenticator.
- SIM swap ou téléphone volé : retirez immédiatement le numéro comme méthode 2FA, révoquez tous les appareils mobiles, passez à une clé FIDO2 et remplacez la SIM auprès de l’opérateur.
- PC partagé ou public : changez vos mots de passe depuis un appareil sûr, déconnectez toutes les sessions et videz les cookies/mots de passe enregistrés du navigateur public.
- VPN d’entreprise : une alerte peut provenir d’un exit node situé à l’étranger ; vérifiez la cohérence horaire et l’empreinte de l’appareil.
- Activité nocturne inhabituelle : si les connexions se produisent hors de vos plages horaires, envisagez des règles d’accès conditionnel (comptes pro) ou des alertes renforcées.
Bonnes pratiques de prévention
- Gestionnaire de mots de passe : créez des secrets uniques, longs et aléatoires. Désactivez la synchronisation native des mots de passe du navigateur si vous ne l’utilisez pas, ou sécurisez‑la par 2FA/phrase secrète.
- Surveillance régulière : consultez Activité récente mensuellement. Documentez vos appareils et IP habituelles pour repérer les anomalies.
- Limiter les applications tierces : auditez trimestriellement les autorisations OAuth. Supprimez ce qui n’est pas nécessaire ou trop large (lecture/écriture de mail, accès fichiers, envoyer des messages).
- Sauvegardes indépendantes : conservez une copie hors ligne ou dans un second cloud des documents critiques. Testez la restauration.
- Formation et hygiène : sensibilisez aux attaques par hameçonnage, aux clones de pages de connexion, aux fichiers partagés piégés. Préférez FIDO2 et désactivez l’SMS 2FA quand possible.
- Isolation des sessions sensibles : pour des opérations critiques (banque, administration), utilisez un navigateur secondaire, profil dédié ou une session Windows Sandbox/VM.
- Durcissement des boîtes mail : refusez le transfert externe par défaut (comptes pro), désactivez IMAP/POP si non requis, activez l’anti‑usurpation (SPF/DKIM/DMARC côté domaine pour les entreprises).
Procédure guidée : de l’alerte au rétablissement complet
- Confirmer la réalité de l’accès : dans Activité récente, ouvrez l’événement « Unusual activity detected ». Notez la date/heure, l’IP, l’appareil, le navigateur et le statut (Réussi/Bloqué).
- Couper l’accès : « Se déconnecter partout ». Si vous utilisez des clients de messagerie locaux (Outlook, iOS Mail), ils demanderont de se reconnecter.
- Remettre des contrôles forts : activez 2FA (Authenticator/FIDO2), générez des codes de récupération et stockez‑les hors ligne.
- Nettoyer les artefacts : règles/routages Outlook, autorisations OneDrive/SharePoint, apps OAuth, appareils de confiance.
- Assainir les endpoints : scans antivirus complets. Mettez à jour Windows/Android/iOS et vos navigateurs. Réinitialisez la synchronisation des mots de passe si elle a pu fuiter.
- Informer si nécessaire : si des e‑mails sont partis à vos contacts, avertissez‑les. Changez les mots de passe des services où vous recycliez l’ancien mot de passe.
- Surveiller post‑incident : les 2–4 semaines suivantes, surveillez les tentatives de connexion et activez des alertes plus strictes.
FAQ
Pourquoi ai‑je reçu une alerte alors que c’était moi ?
Un changement d’adresse IP (fibre, 4G, voyage), l’usage d’un VPN, un nouveau navigateur ou une première connexion depuis un appareil suffisent. Validez que l’IP/la ville sont cohérentes, puis marquez l’activité comme « Moi » si proposé.
Quelle différence entre « Unusual activity detected » et « New sign‑in from… » ?
Les deux indiquent un contexte inhabituel. Le premier est un type de session spécifique soulignant une suspicion plus marquée (score de risque plus élevé). L’issue (Réussi/Bloqué) reste l’indicateur déterminant.
Je n’ai pas 2FA et l’événement est « Réussi ». Que risque‑je ?
Considérez que l’intrus a lu vos e‑mails, pu accéder à OneDrive, et potentiellement exporté les mots de passe du navigateur si la synchronisation était active. Appliquez tout le plan d’action ci‑dessus, puis changez les mots de passe des autres services où le même secret était utilisé.
Avec 2FA, est‑ce que je suis totalement protégé ?
La 2FA bloque la plupart des attaques, mais attention à l’approbation involontaire (fatigue aux notifications) et aux techniques de reverse proxy qui interceptent les cookies de session. Les clés FIDO2 offrent la meilleure protection contre le phishing.
Comment prouver un vol de données ?
Sur un compte grand public, vous n’aurez pas de journal détaillant « qui a ouvert quel fichier ». Reconstituez via OneDrive Récents, Outlook (Envoyés/Corbeille/Règles), et l’historique de navigation synchronisé. En entreprise, exploitez l’Audit unifié dans Purview.
En résumé
« Unusual activity detected » signifie qu’un mot de passe valide a été utilisé depuis un contexte jugé atypique. Sans 2FA, considérez l’accès comme réussi. Appliquez le confinement (changement de mot de passe, 2FA/FIDO2, révocation des sessions), inspectez OneDrive/Outlook (règles, redirections, partages), révoquez les apps et appareils inconnus, et surveillez vos journaux. Pour une traçabilité fine, seules les organisations sous Microsoft 365 disposent des logs détaillés via Purview.
Annexe : modèle d’auto‑audit (imprimable)
| Tâche | Statut | Notes |
|---|---|---|
| Mot de passe changé > 16 caractères (unique) | □ Fait / □ À faire | |
| 2FA activée (Authenticator ou FIDO2) | □ Fait / □ À faire | |
| Déconnexion de toutes les sessions | □ Fait / □ À faire | |
| Règles Outlook vérifiées et nettoyées | □ Fait / □ À faire | |
| Transfert/Redirection Outlook désactivé | □ Fait / □ À faire | |
| Apps tierces (OAuth) révoquées | □ Fait / □ À faire | |
| Appareils de confiance revus et épurés | □ Fait / □ À faire | |
| Antivirus exécuté (PC et mobile) | □ Fait / □ À faire | |
| Réinitialisation de la synchronisation Edge/Chrome | □ Fait / □ À faire | |
| OneDrive « Récents » et partages vérifiés | □ Fait / □ À faire | |
| Surveillance renforcée (4 semaines) | □ Fait / □ À faire |