Désactiver la connexion par code e‑mail sur un compte Microsoft : 2FA renforcée avec Authenticator, passkeys et clés FIDO2

Vous voulez empêcher les codes envoyés par e‑mail d’ouvrir la porte de votre compte Microsoft, tout en préservant une double authentification solide. Voici comment retirer totalement l’e‑mail des méthodes de connexion et basculer vers des facteurs réellement robustes.

Vue d’ensemble

Le « code reçu par e‑mail » n’est qu’une méthode parmi d’autres pour prouver votre identité. Elle est pratique, mais vulnérable : si la boîte de réception est compromise, l’attaquant obtient la même capacité que vous. La solution n’est pas de désactiver la double authentification, mais de remplacer l’e‑mail par des facteurs résistants au hameçonnage comme Microsoft Authenticator en approbation par notification et les clés de sécurité compatibles FIDO ou une passkey via Windows Hello. Une fois ces méthodes en place, vous pouvez supprimer l’e‑mail des méthodes autorisées et, si besoin, interdire la connexion avec l’ancien alias.

Réponse et solution rapides

• Conserver la double authentification, retirer l’e‑mail des méthodes de vérification et de connexion.
• Ajouter Microsoft Authenticator (approbation par notification avec validation de numéro) et au moins une clé de sécurité ou une passkey basée sur Windows Hello.
• Activer la connexion sans mot de passe pour éliminer le couple mot de passe + code e‑mail, cible privilégiée du hameçonnage.
• Limiter les préférences de connexion afin que seules les méthodes fortes restent utilisables.

Sécuriser immédiatement le compte

1. Changer le mot de passe : créez une phrase longue et unique (gestionnaire de mots de passe recommandé).
2. Vérifier l’activité récente : dans la section de sécurité du compte Microsoft, ouvrez « Activité récente ». Pour toute action non reconnue, choisissez « Ce n’était pas moi » puis suivez l’assistant de sécurisation.
3. Examiner les appareils et les sessions : déconnectez tout appareil ou session inconnue. Profitez‑en pour révoquer les sessions anciennes, navigateurs publics ou machines partagées.

Remplacer l’e‑mail par des facteurs forts

Ce qu’il faut configurer

• Microsoft Authenticator ajouté comme méthode principale avec approbation par notification et saisie du numéro affiché.
• Clé de sécurité compatible FIDO (par exemple YubiKey, Feitian) et/ou passkey via Windows Hello. Ces facteurs sont résistants au hameçonnage.
• Deux méthodes fortes minimum avant de supprimer l’e‑mail, afin d’éviter un verrouillage accidentel.

Chemin dans l’interface

Depuis la page Sécurité du compte Microsoft, ouvrez Options de sécurité avancées puis Méthodes de connexion et de vérification. C’est là que vous ajoutez ou supprimez des méthodes (application, clé de sécurité, téléphone, e‑mail, etc.) et que vous définissez les préférences de connexion.

Activer la connexion sans mot de passe

La connexion sans mot de passe repose sur l’approbation dans Microsoft Authenticator ou sur une passkey. Elle supprime la saisie du mot de passe et rend caduque la demande d’un code e‑mail dans la plupart des scénarios.

1. Dans Options de sécurité avancées, recherchez la section dédiée à la connexion sans mot de passe.
2. Associez l’application Authenticator au compte si ce n’est pas déjà fait : scannez le code, validez une demande de connexion d’essai.
3. Enregistrez une passkey basée sur Windows Hello ou ajoutez une clé de sécurité. Suivez l’assistant : insertion de la clé, création du code PIN de la clé, enregistrement du compte.
4. Activez la connexion sans mot de passe. Dès lors, vous approuvez les demandes dans l’application ou utilisez votre passkey, sans mot de passe.

Désactiver et supprimer l’e‑mail comme méthode

Lorsque vos méthodes fortes sont prêtes, retirez l’e‑mail des méthodes de vérification et empêchez son usage en connexion.

1. Dans Méthodes de connexion et de vérification, repérez la carte E‑mail et choisissez Supprimer ou Désactiver selon l’option proposée.
2. Vérifiez la section Préférences de connexion : décochez l’e‑mail et le message texte si vous souhaitez limiter la surface d’attaque. Laissez activés Authenticator, clé de sécurité et Windows Hello.
3. Conservez éventuellement une adresse de secours uniquement pour les alertes de sécurité (canal de notification), mais non autorisée pour la vérification en deux étapes.

Astuce : si l’interface refuse de supprimer la dernière méthode faible, c’est qu’il vous manque une deuxième méthode forte. Ajoutez une seconde clé physique ou une passkey sur un autre appareil avant de réessayer.

Changer d’alias de connexion si nécessaire

Si votre adresse principale a fuité ou est ciblée par des tentatives répétées, changez d’alias.

1. Créez un nouvel alias Outlook et définissez‑le comme alias principal.
2. Dans Préférences de connexion, interdisez la connexion avec l’ancien alias (décochez « Autoriser la connexion »).
3. Prévoyez un plan de transition : mise à jour sur les appareils et services où l’ancien alias était utilisé.

Tableau comparatif des méthodes

Méthode	Résistance au hameçonnage	Dépend d’une boîte mail	Fonctionne hors ligne	Risque de verrouillage	Recommandation
Code par e‑mail	Faible	Oui	Non	Moyen	À retirer
Message texte	Faible à moyen	Non	Partiel	Moyen	À éviter si possible
Application Authenticator avec notification	Élevée	Non	Non	Faible	À privilégier
Code TOTP dans l’application	Élevée	Non	Oui	Faible	Très bon secours
Clé de sécurité compatible FIDO	Très élevée	Non	Oui	Très faible	Idéal
Passkey via Windows Hello	Très élevée	Non	Oui	Très faible	Idéal

Plan de migration en douceur

1. Ajouter Microsoft Authenticator et réaliser un test d’approbation.
2. Enregistrer une clé de sécurité physique et, si possible, une passkey sur l’ordinateur principal.
3. Dupliquer le facteur fort : seconde clé physique conservée dans un lieu sûr.
4. Désactiver e‑mail et message texte dans les préférences de connexion.
5. Supprimer la méthode e‑mail des méthodes de vérification.
6. Vérifier la connexion depuis un autre navigateur ou un appareil neuf pour confirmer le résultat.

Cas particuliers et solutions

• Console de jeu et services associés : assurez‑vous qu’au moins une méthode forte est présente sur vous avant de retirer l’e‑mail, sinon vous risquez de bloquer la connexion sur les services multimédias.
• Applications anciennes : certains clients ne gèrent pas les approbations modernes. Utilisez le navigateur ou une application officielle à jour. Évitez les mots de passe d’application sauf contrainte exceptionnelle.
• Changement d’alias : après avoir défini un nouvel alias principal, mettez à jour les sessions sur Windows, la boutique d’applications et la messagerie. Prévoyez une période de coexistence courte.
• Adresse de secours : conservez une adresse distincte pour les alertes de sécurité, mais non autorisée comme méthode de vérification. Sécurisez aussi cette boîte mail avec une double authentification solide.
• Compte de travail ou scolaire : pour un environnement géré par une organisation, les règles sont fixées par l’administrateur. Les étapes ci‑dessus s’appliquent surtout aux comptes personnels.

Procédure guidée pas à pas

Ajout de l’application Authenticator

1. Dans l’espace Sécurité, ouvrez Options de sécurité avancées puis Méthodes de connexion et de vérification.
2. Cliquez sur Ajouter une méthode → Application d’authentification.
3. Ouvrez l’application sur votre téléphone, ajoutez un compte Microsoft et scannez le code présenté.
4. Validez l’approbation de test et activez la validation de numéro si proposée.

Enregistrement d’une clé de sécurité

1. Dans la même page, choisissez Ajouter une méthode → Clé de sécurité.
2. Insérez la clé, choisissez le type matériel et suivez les instructions pour créer le code PIN de la clé.
3. Attribuez un nom clair à la clé (par exemple « Clé porte‑clé »).
4. Répétez l’opération pour une seconde clé conservée à domicile.

Création d’une passkey via Windows Hello

1. Dans Ajouter une méthode, sélectionnez Passkey via Windows Hello ou méthode équivalente.
2. Confirmez par votre visage, empreinte ou code PIN Windows.
3. Testez la connexion sur le navigateur : la passkey vous identifie sans mot de passe ni code e‑mail.

Retrait de l’e‑mail et durcissement des préférences

1. Dans la liste des méthodes, supprimez l’e‑mail. S’il est requis pour les communications, laissez‑le uniquement comme contact, pas comme méthode.
2. Ouvrez Préférences de connexion et désactivez l’e‑mail et le message texte. Laissez uniquement Authenticator, clé de sécurité et Windows Hello.
3. Activez la connexion sans mot de passe si ce n’est pas encore fait.

Erreurs fréquentes et corrections

• Suppression trop tôt de l’e‑mail : si vous n’avez qu’une seule méthode forte enregistrée, l’interface peut refuser la suppression. Ajoutez une seconde méthode, puis recommencez.
• L’e‑mail réapparaît : vérifiez que vous ne l’avez pas ré‑ajouté lors d’un flux de récupération. Revenez dans Méthodes de connexion et de vérification et supprimez‑le.
• Perte du téléphone : utilisez votre clé de sécurité ou votre passkey de secours pour entrer, puis réinstallez l’application.
• Bascule sur un nouvel ordinateur : créez dès maintenant une passkey sur l’ordinateur principal et une seconde clé physique pour faciliter la transition.

Questions et réponses

Est‑il possible de bloquer complètement le code par e‑mail ?
Oui. Retirez l’e‑mail des Méthodes de connexion et de vérification et désactivez‑le dans les Préférences de connexion. Le compte continuera de recevoir des alertes si vous gardez l’adresse comme canal de notification, mais elle ne servira plus à se connecter ni à valider.

Faut‑il supprimer aussi le message texte ?
Recommandé. Le message texte partage des faiblesses avec l’e‑mail face au hameçonnage et à l’échange de carte SIM. Gardez plutôt application et clé de sécurité.

Un code généré dans l’application est‑il suffisant ?
C’est déjà bien meilleur que l’e‑mail. Pour un niveau supérieur, privilégiez l’approbation avec validation de numéro ou la passkey, qui résistent mieux au hameçonnage.

Windows Hello est‑il compatible ?
Oui. Une passkey basée sur Windows Hello permet d’ouvrir la session sur le web sans mot de passe, en utilisant votre visage, empreinte ou code PIN local.

Peut‑on revenir en arrière ?
À tout moment, vous pouvez réactiver ou ré‑ajouter l’e‑mail comme méthode. Inutile en pratique si vous avez deux facteurs forts opérationnels.

Que faire si toutes mes méthodes sont perdues ?
C’est la situation à éviter. Anticipez en enregistrant deux clés physiques et en maintenant au moins deux appareils capables d’approuver une connexion.

Bonnes pratiques complémentaires

• Protéger la boîte mail qui recevait les codes : mot de passe unique, double authentification robustes, et aucune redirection automatique suspecte.
• Surveiller les alertes de sécurité : traitez immédiatement toute demande d’approbation inattendue et changez votre mot de passe en cas de doute.
• Hygiène du navigateur : mettez à jour le navigateur, isolez les profils, désactivez les extensions non indispensables et évitez les appareils non fiables.
• Gestion des sessions : après les modifications, déconnectez les anciennes sessions pour forcer la nouvelle politique d’authentification.

Exemple de politique personnelle

Autorisé : application Authenticator avec validation de numéro, clé de sécurité compatible FIDO, passkey Windows Hello.
Interdit : code par e‑mail, message texte, questions secrètes.

Résumé à retenir

• Ne désactivez pas la double authentification : remplacez simplement l’e‑mail par des facteurs robustes.
• Ajoutez Authenticator et une clé de sécurité ou une passkey, puis retirez l’e‑mail des méthodes.
• Durcissez les préférences de connexion pour interdire toute connexion via e‑mail ou message texte.
• Activez la connexion sans mot de passe pour réduire les risques de hameçonnage et de réutilisation de mot de passe.
• Gardez toujours au moins deux méthodes fortes disponibles, idéalement sur des supports différents.

---

Action immédiate recommandée : ajoutez une clé de sécurité et activez la connexion sans mot de passe avant de supprimer l’e‑mail. Testez la connexion sur un navigateur vierge pour confirmer que l’e‑mail n’est plus proposé.