Vous voyez « MailerApp connected to the Microsoft account », l’appli revient après révocation et votre compte se verrouille ? Voici un plan d’action complet pour bloquer définitivement l’accès, nettoyer les jetons OAuth, renforcer l’authentification et sécuriser Outlook/Microsoft 365 sans laisser de porte dérobée.
Vue d’ensemble de la question
Le message « New app(s) have access to your data – MailerApp connected to the Microsoft account » indique qu’une application a obtenu (ou regagné) le droit d’accéder à vos données via OAuth (e‑mail, contacts, calendrier, fichiers…). Même après une révocation manuelle, l’accès peut réapparaître si : 1) vos identifiants restent compromis, 2) un jeton refresh n’a pas été invalidé partout, 3) vous consentez de nouveau sans le vouloir (hameçonnage) ou 4) un appareil infecté réintroduit la session. L’objectif est donc double : couper le cycle de ré‑autorisation et durcir l’authentification pour qu’aucune appli inconnue ne puisse reprendre pied.
Réponse et solutions
Réinitialiser immédiatement les informations d’identification
- Depuis account.microsoft.com › Security › Password security, changez le mot de passe.
- Choisissez un mot de passe unique, long (au moins 12 caractères), mêlant lettres, chiffres et symboles. Utilisez un gestionnaire de mots de passe pour éviter la réutilisation.
- Ne réactivez jamais l’ancien mot de passe, même temporairement.
Activer la vérification en deux étapes
- Ouvrez Security › Advanced security options et activez Two‑step verification.
- Privilégiez Microsoft Authenticator (notifications, nombre à valider) plutôt que les SMS, vulnérables à l’usurpation de SIM.
- Générer et conserver des codes de secours hors ligne (imprimés, coffre‑fort de mots de passe chiffré).
- Si vous possédez une clé FIDO2/Passkey, enregistrez‑la comme facteur fort (Windows Hello, clé matérielle).
Contrôler et révoquer les autorisations OAuth
- Dans account.live.com/consent/Manage (compte personnel) ou myaccount.microsoft.com › Privacy › Apps and services (compte professionnel/école), supprimez MailerApp et toute application inconnue.
- Si l’application réapparaît, considérez que le mot de passe a fui, que des jetons sont valides sur un autre appareil ou que vous avez reconfirmé le consentement via un lien d’hameçonnage. D’où les étapes précédentes et suivantes.
Mettre fin à toutes les sessions actives
- Dans Security › Sign‑in activity, cliquez Sign out everywhere pour invalider tous les jetons.
- Répétez après chaque changement de sécurité : nouveau mot de passe, 2FA, passkeys.
- Dans account.microsoft.com › Devices, retirez les appareils inconnus ou obsolètes.
Renforcer les informations de récupération
- Ajoutez plusieurs méthodes fiables : e‑mail secondaire, numéro de téléphone, codes de secours, clé de sécurité FIDO2/passkey.
- Vérifiez que l’adresse de récupération n’appartient pas à un compte à risque.
Vérifier l’intégrité de vos appareils
- Analyse complète avec un antivirus à jour sur tous vos appareils (PC, Mac, Android, iOS). Recherchez keyloggers, chevaux de Troie, extensions de navigateur suspectes.
- Mettre à jour l’OS et le navigateur, supprimer les extensions inconnues, réinitialiser les navigateurs si nécessaire.
- Sur Windows, vérifiez Applications › Démarrage et les tâches planifiées pour débusquer un relanceur malveillant.
Éviter toute ré‑autorisation involontaire
- Ne cliquez jamais sur des boutons « Connect your account »/« Authorize app » si vous n’êtes pas à l’origine de la demande.
- Vérifiez l’URL d’authentification : authentifiez‑vous uniquement sur un domaine Microsoft.
- Méfiez‑vous des pages qui demandent d’« autoriser l’accès aux messages » alors que vous vouliez seulement consulter un document ou suivre un colis.
Activer la connexion sans mot de passe
- Microsoft permet la connexion via passkeys (Windows Hello, clés FIDO2) remplaçant le mot de passe.
- Une fois activée, même un mot de passe divulgué ne suffit plus à se connecter.
Comprendre pourquoi l’application revient
OAuth sépare le mot de passe des jetons (access/refresh). Révoquer l’application coupe un jeton, mais si l’attaquant conserve le mot de passe (ou un appareil où la session est ouverte), il peut réconsentir et obtenir de nouveaux jetons. De plus, des jetons refresh stockés sur un autre appareil peuvent redemander des jetons d’accès tant qu’ils ne sont pas invalidés par Sign out everywhere. C’est pourquoi il faut cumuler : mot de passe nouveau, 2FA, révocation OAuth, déconnexion globale, nettoyage des appareils.
Plan d’action express
- Changer le mot de passe immédiatement.
- Activer 2FA avec Microsoft Authenticator, générer des codes de secours.
- Révoquer toutes les applis inconnues dans la gestion des consentements.
- Cliquer Sign out everywhere.
- Scanner et mettre à jour tous les appareils, supprimer extensions/logiciels douteux.
- Vérifier dans Outlook : règles, transfert, comptes connectés.
- Envisager la connexion sans mot de passe avec passkeys.
Contrôles essentiels dans Outlook.com et Microsoft 365
Règles de boîte et transfert externe
- Outlook Web : Paramètres › Voir tous les paramètres d’Outlook › Courrier › Règles. Supprimez toute règle inconnue (suppression automatique, transfert vers une adresse externe, déplacement silencieux vers un dossier caché).
- Vérifiez Courrier › Transfert : désactivez le transfert sortant non autorisé.
- Vérifiez Courrier › Balayage/Sweep : supprimez les « nettoyages » automatiques suspects.
Comptes connectés et protocoles hérités
- Dans Courrier › Synchroniser le courrier › Comptes connectés, supprimez les comptes que vous n’avez pas ajoutés.
- Dans Synchroniser le courrier › POP et IMAP, désactivez POP si vous n’en avez pas besoin. Évitez de créer des mots de passe d’application sauf nécessité absolue.
Signaux d’alerte dans la boîte
- Messages lus automatiquement, éléments supprimés récurrents, dossiers inconnus, contenus déplacés sans action de votre part.
- Réponses « fantômes », envois depuis des appareils inconnus, alertes de connexion inhabituelles.
Spécificités selon le type de compte
| Type de compte | Où gérer 2FA et consentements | Particularités à connaître |
|---|---|---|
| Compte Microsoft personnel (MSA) | account.microsoft.com › Security et account.live.com/consent/Manage | POP désactivable. Vérifiez règles/renvoi dans Outlook.com. Passkeys via Windows Hello/clé FIDO2. |
| Compte professionnel/école (Microsoft 365) | myaccount.microsoft.com › Security info et Privacy › App permissions | Les administrateurs peuvent bloquer la « consentement utilisateur », imposer MFA et désactiver les protocoles hérités. |
Pour les administrateurs Microsoft 365
- Désactiver le consentement utilisateur ou exiger un processus d’approbation pour les applications qui demandent des accès sensibles.
- Imposer MFA à tous, avec numérotation anti‑mappage et refus des notifications poussé‑poussé.
- Désactiver les protocoles hérités (IMAP/POP/SMTP AUTH) si non nécessaires. Préférer OAuth moderne.
- Activer des règles de Conditionnal Access pour contraindre les connexions à des appareils conformes, des emplacements connus ou exiger des facteurs forts.
- Auditer les applications d’entreprise et les consentements locataires. Surveiller les connexions à risque élevé.
Checklist de nettoyage en profondeur
- Sur tous les appareils : antivirus à jour, analyses complètes, mises à jour OS et navigateur, suppression des extensions inconnues.
- Sur le compte Microsoft : nouveau mot de passe, 2FA activée, codes de secours stockés, passkeys configurées.
- Dans la gestion des consentements : retirer MailerApp et toute appli inconnue, vérifier la liste après déconnexion globale.
- Déconnexion : Sign out everywhere et suppression des appareils non reconnus.
- Outlook : purge des règles/renvois, revue des comptes connectés, désactivation de POP si inutile.
- Sur vos autres comptes : si le mot de passe était réutilisé, changez‑le aussi et activez 2FA partout.
Tableau de suivi des actions
| Action | État | Notes |
|---|---|---|
| Mot de passe changé | ☐ | |
| 2FA activée avec Authenticator | ☐ | Codes de secours imprimés ? |
| Passkeys/Windows Hello configurés | ☐ | |
| Applis inconnues révoquées | ☐ | Vérifier MailerApp |
| Sign out everywhere | ☐ | Re‑vérifier les sessions |
| Appareils nettoyés et mis à jour | ☐ | Extensions navigateur contrôlées |
| Outlook : règles et transfert | ☐ | Suppression des renvois externes |
Information complémentaire utile
| Étape | Fréquence recommandée | Pourquoi |
|---|---|---|
| Revue des apps autorisées | Tous les 3 – 6 mois | Les jetons OAuth n’expirent pas toujours rapidement : mieux vaut nettoyer les accès obsolètes. |
| Audit des connexions | Après usage sur un appareil public ou nouveau | Détecter tôt un accès suspect venu d’un lieu ou d’un OS inhabituel. |
| Mise à jour du mot de passe | Une fois par an (si unique et 2FA activée) | Suffisant car la 2FA bloque l’essentiel des détournements. |
| Sauvegarde des codes de secours | À chaque activation 2FA | Garantit un accès d’urgence sans procédure lourde de récupération. |
Erreurs fréquentes à éviter
- Se limiter à la révocation de l’appli : sans changement de mot de passe, 2FA et déconnexion globale, l’attaquant peut réapparaître.
- Réutiliser le mot de passe entre plusieurs services : le credential stuffing réactive la compromission.
- Conserver des numéros de téléphone obsolètes pour la récupération : vous risquez de perdre l’accès.
- Ignorer les règles/renvois d’Outlook : de nombreuses exfiltrations passent par là.
- Faire confiance aux codes par SMS comme unique 2FA : préférez Microsoft Authenticator ou une clé FIDO2.
Diagnostic : comment savoir si le compte est encore compromis
- Alertes répétées « Nouvelle application autorisée » malgré vos suppressions.
- Connexions réussies depuis des zones géographiques inhabituelles dans Sign‑in activity.
- Éléments envoyés sans action de votre part, ou réponses automatiques non configurées.
- Règles inconnues réapparaissant après suppression (indice d’une session active ailleurs).
Réaction : répétez le triptyque mot de passe neuf + 2FA + déconnexion globale, refaites l’audit des consentements et des règles Outlook, puis refaites un scan complet des appareils.
Approfondissement : bonnes pratiques durables
- Gestionnaire de mots de passe : activez la génération automatique, stockez les réponses aux questions de sécurité de manière chiffrée.
- Sensibilisation anti‑hameçonnage : méfiez‑vous des invitations à « Visualiser un fichier » ou « Réinitialiser un mot de passe » hors contexte.
- Segmentation des appareils : pas de comptes sensibles sur des machines partagées, sandboxez les extensions.
- Surveillance : consultez régulièrement Security › Sign‑in activity et la liste des Apps and services autorisées.
FAQ
Révoquer une application suffit‑il ?
Non. Sans changement de mot de passe, activation 2FA et déconnexion globale, un attaquant peut reconsentir et revenir.
Dois‑je supprimer mon compte ?
Dans la grande majorité des cas, non. Un nettoyage rigoureux et la 2FA suffisent. En cas d’abus grave, examinez un changement d’adresse @outlook.com secondaire et la redirection des contacts vers la nouvelle adresse.
Qu’est‑ce qu’un jeton OAuth ?
Un jeton est une « clé » temporaire permettant à une application d’accéder à vos données sans connaître votre mot de passe. Un refresh token peut en régénérer d’autres : d’où la nécessité de Sign out everywhere pour tous les invalider.
Les SMS sont‑ils suffisants pour la 2FA ?
Mieux que rien, mais préférez Microsoft Authenticator ou une clé FIDO2/Passkey, plus résistants aux détournements.
Comment éviter de cliquer sur un faux écran d’autorisation ?
Vérifiez l’URL, la barre d’adresse et le certificat. Aucune appli légitime ne vous presse d’accepter en urgence sous peine de perte de données. En cas de doute, refusez et passez par la navigation directe vers votre espace Microsoft.
Modèle de procédure rapide à réutiliser
- Changer le mot de passe, 2FA on, codes de secours imprimés, passkeys activées.
- Révoquer toutes les autorisations inconnues.
- Sign out everywhere et suppression des appareils non reconnus.
- Nettoyer les règles/renvois Outlook et désactiver POP si inutile.
- Scanner tous les appareils et supprimer les extensions douteuses.
- Surveiller pendant quelques jours Sign‑in activity et les autorisations.
Conclusion
La réapparition de « MailerApp » après révocation n’est pas une fatalité. En combinant mot de passe unique, 2FA robuste, révocation OAuth, déconnexion globale et assainissement des appareils, vous neutralisez la ré‑autorisation indésirable et verrouillez durablement votre compte Microsoft. Une routine d’audit périodique (applis autorisées, activités de connexion, règles de boîte) complète la protection et vous évite de retomber dans un cycle de verrouillages répétés.