Votre boîte de réception affiche soudain un message d’alerte « Microsoft Support » vous demandant de prouver que vous êtes bien le propriétaire d’un compte verrouillé ; avant de cliquer ou de transmettre des informations sensibles, prenez cinq minutes pour vérifier que vous échangez réellement avec Microsoft et non avec un pirate.
Vue d’ensemble de la question
Lorsqu’un compte Microsoft est bloqué, le titulaire reçoit généralement une notification indiquant un verrouillage temporaire pour activité suspecte, connexion inhabituelle ou non‑respect des conditions d’utilisation. Dans de nombreux cas, un courriel signé « Microsoft Support » envoyé depuis l’adresse @accountprotection.microsoft.com vous invite :
- à remplir le formulaire de récupération en ligne accessible à l’URL
https://account.live.com/acsr; - puis à répondre au courriel en joignant un document récapitulatif : coordonnées, alias, dossiers Outlook importants, adresses IP antérieures, ID Xbox, etc.
La seconde étape, très détaillée, peut paraître intrusive. Faut‑il s’en méfier ? Est‑il prudent de livrer toutes ces informations ? La réponse courte est oui : ce courriel est authentique. Toutefois, il convient de respecter une méthode précise afin de rétablir l’accès au compte sans compromettre votre sécurité.
Pourquoi Microsoft verrouille un compte ?
Microsoft applique des algorithmes de détection de risque (« Smart Lockout ») qui comparent chaque connexion :
- à votre géolocalisation habituelle ;
- aux appareils et navigateurs précédemment utilisés ;
- au nombre d’échecs de mot de passe ou de tentatives 2FA.
Si une divergence est jugée critique (login depuis un pays jamais visité, adresse IP associée à un proxy ou un botnet, comportement anormal), le service bloque l’accès pour protéger l’identité et les données. Vous devez alors prouver votre légitimité via le formulaire ACSR (Account Self‑Service Recovery) ou via une authentification multifacteur si elle est déjà configurée.
Réponse & Solution
Courriel authentique : le domaine accountprotection.microsoft.com est un domaine officiel que Microsoft réserve à ses communications de sécurité (verrouillage, récupération, vérification d’adresse). Son certificat DKIM confirme la signature des messages sortants et empêche l’usurpation. De plus, aucun prestataire externe n’envoie de mails via ce domaine.
Procédure recommandée pas à pas
- Accéder au formulaire ACSR : ouvrez un nouvel onglet et saisissez
https://account.live.com/acsr. Ne passez jamais par un lien intégré dans le courriel ; tapez l’adresse vous‑même ou utilisez un signet. - Renseigner les champs : indiquez le compte bloqué (adresse Outlook, Hotmail, Live, MSN, ou compte professionnel associé à Microsoft 365) et une adresse de contact à laquelle Microsoft pourra vous joindre. Utilisez la même que celle citée dans le courriel afin de faciliter le rapprochement.
- Apporter le maximum de détails :
- précisez vos anciens mots de passe (même approximatifs) ;
- indiquez vos sujets de ligne d’objet récents ou noms de dossiers personnalisés dans Outlook ;
- fournissez le dernier code Xbox ou l’ID gamertag si c’est un compte associé à une console ;
- ajoutez les quatre derniers chiffres des cartes de paiement enregistrées dans le Microsoft Store, le cas échéant.
- Soumettre la requête : un message de confirmation affiche un numéro de suivi à neuf chiffres (ex. 123 456 789). Copiez‑le soigneusement ; il constituera la référence à communiquer dans toute correspondance.
- Répondre au courriel initial : en retour de courriel (toujours à l’adresse accountprotection.microsoft.com), joignez un document (Word, PDF ou texte brut) contenant :
- votre numéro de suivi ;
- le fuseau horaire et la ville d’où vous vous connectez habituellement ;
- les premières et dernières connexions réussies connues (dates approximatives) ;
- la liste des appareils sur lesquels le compte est configuré (PC, mobile, console) ;
- les noms de trois contacts récents dans votre boîte de réception ;
- vos alias, si le compte en possède plusieurs (ex. adresse .outlook.fr secondaire) ;
- tout service tiers associé (GitHub, Skype, Visual Studio, etc.).
- Attendre la décision automatique : la plupart des demandes sont traitées entre 15 minutes et 24 heures. Vous recevrez soit :
- un lien de réinitialisation du mot de passe (succès) ;
- ou un courriel indiquant « Nous n’avons pas pu vérifier votre identité », accompagné de suggestions pour soumettre une nouvelle demande.
- En cas d’échec répété :
- révisez vos réponses et tentez de nouvelles informations pertinentes (dossiers ignorés, détails de facturation, anciennes adresses IP) ;
- limitez‑vous à deux essais par 24 h ; au‑delà, le système peut geler vos tentatives ;
- si l’A2F (application d’authentification, SMS ou clé FIDO2) est activée mais inaccessible (téléphone perdu, clé cassée), passez par support.microsoft.com → Autres produits → Gérer la sécurité du compte → Chat avec un agent. Préparez vos preuves d’achat (facture Xbox, licence Office, etc.).
Tableau récapitulatif : ce que Microsoft peut demander ou non
| Peut être demandé | Ne sera jamais demandé |
|---|---|
| Alias de messagerie secondaires | Mot de passe actuel ou complet |
| Nom de dossiers Outlook créés | Numéro complet de carte bancaire |
| Nom des jeux ou des apps achetés | Paiement pour débloquer le compte |
| Adresses IP ou lieux de connexion récents | Réponse à une pièce jointe exécutable |
| ID Xbox ou gamertag | Code de vérification par SMS à renvoyer par e‑mail |
Sécuriser son compte pour l’avenir
Une fois l’accès rétabli, profitez‑en pour renforcer la protection :
- Ajouter plusieurs méthodes de validation : e‑mail de secours, numéro mobile, application Authenticator, clé de sécurité matérielle conforme FIDO2.
- Activer l’A2F (double authentification) sur tous les services Microsoft 365, Xbox, OneDrive et Azure Dev Tools ; un simple mot de passe ne suffit plus.
- Superviser les activités récentes dans Paramètres › Sécurité › Activité de connexion : signalez immédiatement toute session inconnue.
- Mettre à jour les appareils de confiance : si vous vendez ou donnez un ordinateur, supprimez‑le d’account.microsoft.com/devices.
- Plan de secours hors ligne : imprimez un code de récupération depuis Microsoft Authenticator et conservez‑le dans un endroit sûr (coffre‑fort).
Questions fréquentes (FAQ)
Je n’ai plus accès à l’adresse de contact, que faire ?
Vous pouvez indiquer toute adresse tierce encore accessible lors du remplissage ACSR. Microsoft ne réactive jamais un compte sans preuve concrète ; préparez donc des informations de facturation ou des captures d’écran validant votre identité.
Combien de temps Microsoft conserve‑t‑il mes données ACSR ?
Les informations de récupération sont stockées de 30 à 60 jours dans un environnement chiffré, puis purgées conformément aux règles GDPR et CCPA.
Le support me demande de joindre ma pièce d’identité ; est‑ce normal ?
La vérification de pièce officielle est rare et concerne surtout les comptes professionnels ou éducatifs payants. Le fichier est transmis via un portail sécurisé TLS, jamais par courriel simple. Si vous recevez une telle requête, vérifiez impérativement le domaine et refusez toute pièce jointe non chiffrée.
Bonnes pratiques pour repérer un faux courriel de support
- Domaine exact : seuls microsoft.com, accountprotection.microsoft.com et support.microsoft.com sont légitimes. Méfiez‑vous de variantes comme micro‑soft.com ou microsoft‑support.help.
- Aucune menace : Microsoft n’utilise pas de formulations alarmistes type « Votre compte sera supprimé sous 12 h ».
- Aucune pièce jointe exécutable : un PDF, un TXT ou un DOCX peut être demandé, jamais un fichier .exe ou .js.
- Respect de la langue : les fautes grossières sont un signal d’alerte, même si les fraudeurs recourent de plus en plus à des traductions correctes.
Étapes détaillées pour remplir le formulaire ACSR
Le formulaire se compose de quatre sections :
- Informations de base : adresse concernée, adresse de contact, nom complet. Prenez garde aux majuscules/minuscules ; le système est sensible.
- Vérifications de sécurité : saisissez votre ancien mot de passe (ou un proche approximatif), puis copiez le texte du CAPTCHA.
- Détails supplémentaires : listez les dossiers ou contacts prioritaires (ex. « Projets_2025 », « Factures »). N’inventez rien ; chaque indice est recoupé avec les métadonnées de votre boîte.
- Récapitulatif : consultez la prévisualisation ; corrigez les fautes et validez.
À la fin, la page affiche soit un message « Merci » avec votre numéro de suivi, soit une erreur vous demandant de recommencer. N’hésitez pas à vous déconnecter/reconnecter entre deux soumissions pour actualiser les cookies de session.
Cas particuliers : authentification à deux facteurs perdue
La double authentification (A2F) protège efficacement, mais complique la récupération si vous perdez votre téléphone ou votre clé. Voici les options :
- Code de secours : si vous aviez imprimé ou sauvegardé les dix codes à usage unique proposés lors de l’activation, il suffit d’en saisir un.
- Appareils de confiance : un PC déjà connecté peut générer une fenêtre de validation « Autoriser cette action ». Cliquez et créez un nouvel appareil.
- Support « High‑Value Accounts » : pour les abonnements Microsoft 365 Business, les administrateurs peuvent initier une réinitialisation MFA via le portail Azure AD.
Conclusion
Le courriel envoyé depuis @accountprotection.microsoft.com est bien un message officiel de Microsoft. Pour récupérer un compte verrouillé :
- complétez avec soin le formulaire ACSR,
- répondez au courriel uniquement avec les données demandées,
- conservez votre numéro de suivi ;
- contactez le chat en direct si l’A2F vous bloque.
En appliquant ces consignes, vous maximisez vos chances de réactiver rapidement votre compte tout en évitant les pièges des campagnes d’hameçonnage.