Vous recevez un email affirmant une connexion à votre compte Microsoft « depuis Moscou » et vous invitant à cliquer sur un bouton bleu ? Voici comment déterminer en quelques minutes s’il s’agit d’une vraie alerte ou d’un hameçonnage, et comment sécuriser votre compte.
Vue d’ensemble de la question
Les notifications de sécurité Microsoft existent réellement : quand une connexion inhabituelle est détectée (nouvel appareil, nouvelle zone géographique, navigateur inconnu), vous pouvez recevoir une alerte. Mais des fraudeurs imitent ces messages pour voler vos identifiants. Un email qui prétend « Connexion depuis Moscou » et pousse à « cliquer sur un bouton bleu » peut être authentique ou un piège. La clé est de vérifier l’authenticité sans jamais cliquer sur le message.
Réponse & Solution
Vérifier l’authenticité sans cliquer sur l’email
- Vérifiez l’expéditeur : les vraies alertes sont envoyées par l’équipe « Microsoft account » depuis un domaine
microsoft.com(par exemple :account-security-noreply@accountprotection.microsoft.com). Si le domaine diffère (fautes, variantes, sous‑domaines exotiques, services d’emailing tiers), traitez l’email comme hameçonnage. - Ignorez tous les boutons et liens : n’utilisez aucun lien du message. Ouvrez votre navigateur et allez directement sur le site Microsoft.
- Méfiez‑vous de l’usurpation d’affichage : le nom affiché (« Microsoft account ») peut être truqué. Selon votre client de messagerie, affichez l’adresse complète et, si besoin, les en‑têtes pour vérifier le domaine réel.
| Élément | Légitime | Suspect |
|---|---|---|
| Domaine de l’expéditeur | ...@accountprotection.microsoft.com, ...@microsoft.com | @micros0ft.com, @microsoft-security.com, @outlook-security-alert.net, etc. |
| Orthographe & mise en page | Langue correcte, identité visuelle cohérente | Fautes, logos pixelisés, urgences excessives |
| Appel à l’action | Invite à vérifier l’activité, pas à « confirmer vos identifiants » | Demande immédiate de mot de passe, de code 2FA, ou de paiement |
| Liens | Domaines Microsoft, mais ne cliquez pas | Liens raccourcis (bit.ly, tinyurl), domaines inconnus |
Exemples utiles (présentés à titre indicatif, à ne pas cliquer depuis un email) :
Adresse expéditeur légitime fréquente :
account-security-noreply@accountprotection.microsoft.com
Chemins directs (à saisir manuellement dans votre navigateur) :
account.microsoft.com → Sécurité → Activité récente
account.microsoft.com/security → Options de sécurité avancées
account.live.com/acsr (récupération si vous êtes bloqué) Confirmer la réalité de la connexion
- Dans votre navigateur, saisissez
account.live.com/activity(ou viaaccount.microsoft.com> Sécurité > Activité récente). - Identifiez toute connexion réussie que vous ne reconnaissez pas : appareil, système, navigateur, heure approximative, pays.
- Gardez en tête :
- Les tentatives échouées depuis divers pays sont courantes (bots) et ne signifient pas forcément une compromission.
- La géolocalisation IP est approximative : VPN, réseaux mobiles et proxys peuvent afficher une ville/pays inattendus.
- Un voyage, un nouvel appareil ou une réinstallation du navigateur peuvent déclencher des alertes légitimes.
Si vous voyez une activité suspecte réussie
Agissez immédiatement :
- Dans Activité récente, marquez l’événement « Ce n’était pas moi » et suivez l’assistant de sécurisation.
- Changez votre mot de passe (long, unique, généré par un gestionnaire).
- Activez la vérification en deux étapes (2FA) via
account.microsoft.com/security> Options de sécurité avancées. Privilégiez une application d’authentification et/ou une clé de sécurité. - Vérifiez vos infos de sécurité (téléphone, email de secours) et supprimez toute information inconnue.
- Révoquez les appareils de confiance que vous n’identifiez pas, puis reconnectez‑vous uniquement sur les vôtres.
- Dans Outlook.com, vérifiez l’absence de règles de transfert/redirection et de règles de boîte aux lettres suspectes.
- Analysez vos appareils (antivirus/antimalware) si vous avez ouvert des pièces jointes ou exécuté des fichiers.
| Action prioritaire | Où la réaliser | Pourquoi c’est critique |
|---|---|---|
| Marquer « Ce n’était pas moi » | Activité récente du compte | Force la révision de sécurité et invalide les sessions suspectes |
| Changer le mot de passe | Compte Microsoft > Sécurité | Coupe l’accès même si l’attaquant connaît l’ancien mot de passe |
| Activer 2FA (appli/clé) | Options de sécurité avancées | Empêche la réutilisation de mot de passe seul |
| Nettoyer règles Outlook | Paramètres Outlook > Règles & Transferts | Évite la surveillance silencieuse et le détournement de mails |
| Révoquer appareils inconnu | Appareils/Connexions de confiance | Met fin à des sessions actives non autorisées |
Signaler le message suspect
- Outlook.com (web) : sélectionnez le message > Signalement > Hameçonnage (ou Courrier indésirable > Hameçonnage).
- Applications Outlook : utilisez le bouton Report Message / Phishing si disponible ; sinon, marquez comme indésirable.
- Évitez de transférer l’email à des services non officiels : le signaler depuis Outlook enrichit directement les protections.
Contacter Microsoft
- Pour un compte Microsoft grand public (MSA), la voie la plus efficace reste la procédure automatique (Activité récente → « Ce n’était pas moi ») et le Centre de sécurité (
account.microsoft.com/security). - Si vous êtes bloqué hors du compte, utilisez l’outil de récupération :
account.live.com/acsr. - En pratique, il n’existe pas de vérification « au cas par cas » par téléphone d’un email précis : Microsoft s’appuie sur ces flux de sécurité.
- Compte professionnel/école (Entra ID/« Azure AD ») : contactez immédiatement votre équipe IT interne, les procédures diffèrent (MFA, blocages conditionnels, réinitialisation pilotée).
Prévention (à garder en place)
- 2FA activée (application d’authentification ou clé de sécurité FIDO2), et mots de passe uniques via un gestionnaire.
- Alertes de sécurité actives et revue périodique de l’activité récente.
- Méfiance systématique envers les emails d’urgence, les pièces jointes inattendues et les formulaires demandant vos identifiants.
- Évitez d’approuver à l’aveugle les « notifications push » de l’application d’authentification (risque de fatigue MFA).
- Conservez une adresse de secours et un numéro de téléphone à jour pour la récupération.
Scénarios rapides : que faire selon votre cas
| Scénario | Risque | Actions immédiates |
|---|---|---|
| Vous avez cliqué sur le « bouton bleu » mais n’avez rien saisi | Faible à modéré (tracking, cookies) | Fermez l’onglet, videz le cache/navigateur, analysez votre poste si un fichier a été téléchargé par surprise |
| Vous avez saisi votre mot de passe sur un faux site | Élevé (compromission des identifiants) | Changez immédiatement le mot de passe depuis account.microsoft.com, déconnectez toutes les sessions, activez 2FA, vérifiez les règles Outlook |
| Vous avez approuvé une demande dans Microsoft Authenticator sans être à l’origine de la connexion | Critique (prise de contrôle) | Révoquez les sessions, changez le mot de passe, réinscrivez l’Authenticator, revalidez vos infos de sécurité, passez en revue les appareils |
| Vous avez ouvert une pièce jointe suspecte | Élevé (malware) | Déconnectez le poste du réseau si possible, lancez une analyse complète, changez les mots de passe depuis un appareil sûr |
Comment lire un en‑tête de message en 60 secondes
Pour les utilisateurs avancés :
- Affichez les détails du message (en‑têtes) depuis votre client de messagerie.
- Repérez Return‑Path et From : doivent pointer vers un domaine Microsoft si l’alerte est légitime.
- Regardez les lignes Received : une chaîne incohérente de serveurs anonymes est suspecte.
- Indicateurs SPF, DKIM, DMARC : un échec global (fail) pour le domaine Microsoft annoncé est un signal d’alarme.
Si vous avez un doute : ne cliquez pas et passez par account.microsoft.com directement.
Microsoft Account (MSA) vs Compte professionnel/école
Deux mondes coexistent :
- MSA (grand public) : adresses @outlook.com, @hotmail.com, etc. Gestion via
account.microsoft.com, « Activité récente », 2FA, récupérationaccount.live.com/acsr. - Compte professionnel/école (Entra ID) : géré par l’entreprise/établissement (politiques MFA, accès conditionnel, réinitialisation via l’IT). Si l’alerte concerne un compte pro, contactez votre support interne.
FAQ pratique
Pourquoi l’alerte mentionne‑t‑elle « Moscou » alors que je suis en France ?
Les adresses IP peuvent être géolocalisées de façon approximative ; VPN, proxys d’opérateur mobile ou itinérance peuvent indiquer un autre pays.
Un vrai email Microsoft peut‑il contenir un « bouton bleu » ?
Oui, mais ne le cliquez pas depuis le message. Allez toujours vérifier via account.microsoft.com.
Le message connaît mon prénom : c’est donc fiable ?
Non. Les fraudeurs peuvent récupérer votre nom via des fuites de données ou votre signature d’email.
J’ai reçu des dizaines d’alertes de connexion échouée : suis‑je piraté ?
Pas forcément. Des robots testent des mots de passe communs. Si aucune connexion réussie inconnue n’apparaît dans l’Activité récente, renforcez votre mot de passe et activez la 2FA.
Dois‑je prévenir mes contacts ?
Uniquement si votre boîte a envoyé du spam depuis votre compte ou si des règles de transfert ont été posées ; sinon, sécurisez d’abord votre compte.
Bonnes pratiques complémentaires
- Gestionnaire de mots de passe : créez des mots de passe longs et uniques, évitez la réutilisation entre services.
- Passkeys/clé de sécurité : envisagez une clé FIDO2 pour un accès plus résistant au phishing.
- Navigation prudente : tapez les adresses à la main ou via vos favoris, méfiez‑vous des liens dans les emails/SMS.
- Formation : sensibilisez les proches/collègues au repérage des signaux faibles (urgence, menaces, demandes d’informations sensibles).
Modèle de message (pour alerter un collègue/parent)
J’ai reçu un email prétendant signaler une connexion à mon compte Microsoft depuis l’étranger. Je ne clique pas sur le message. Je vais sur
account.microsoft.com> Sécurité > Activité récente pour vérifier. S’il y a une connexion inconnue réussie, je marque « Ce n’était pas moi », je change mon mot de passe et j’active la 2FA.
Checklist minute
- Domaines de l’expéditeur en
microsoft.com? Sinon, phishing. - Ne pas cliquer sur le message ; ouvrir le navigateur et aller directement sur
account.microsoft.com. - Vérifier l’Activité récente : connexions réussies inconnues ?
- Si oui : « Ce n’était pas moi », changer le mot de passe, activer 2FA, nettoyer les règles Outlook, vérifier infos de sécurité.
- Signaler le message comme Hameçonnage dans Outlook.
Conclusion rapide
Dans le cas décrit, l’adresse n’était pas en microsoft.com : considérer l’email comme phishing était la bonne décision. La vérification via l’Activité récente, le changement de mot de passe et l’activation d’options de sécurité supplémentaires (2FA, clés de sécurité, nettoyage des règles de messagerie) constituent la réponse adéquate. En cas de doute, abstenez‑vous de cliquer et passez toujours par account.microsoft.com depuis votre navigateur.
Annexe : différences visibles entre une vraie alerte et une imitation
| Caractéristique | Vraie alerte Microsoft | Imitation fréquente |
|---|---|---|
| Ton & langage | Sobre, factuel, sans menaces irréalistes | Urgence extrême, menace de fermeture immédiate du compte |
| Demande d’informations | Jamais de demande directe de mot de passe par email | Demande de « vérification » des identifiants dans un formulaire |
| Graphismes | Identité cohérente, images nettes | Logos flous, couleurs incohérentes, fautes |
| Liens (ne pas cliquer) | Pointent vers des domaines Microsoft | Raccourcis, domaines imitant Microsoft, redirections multiples |
| Adresse de réponse | no-reply ou automatisée | Adresse personnelle générique demandant une réponse |
Guide express pour Outlook : où vérifier quoi ?
- Activité récente :
account.live.com/activity(via navigateur). - Mot de passe & 2FA :
account.microsoft.com/security> Options avancées. - Règles de boîte : Paramètres Outlook > Règles & Transferts, supprimez toute règle inconnue (copie/transfert/suppression automatique).
- Appareils de confiance : revue des appareils connectés et révocation des sessions suspectes.
Astuce : créez dans votre gestionnaire de mots de passe une fiche « Microsoft » avec les liens directs à saisir, les étapes de vérification et les points de contrôle (règles Outlook, 2FA, appareils). Le jour où un email alarmant arrive, vous suivez la procédure sans réfléchir aux liens du message.