Votre compte Microsoft réclame un nouveau mot de passe presque chaque semaine ? Cette situation est souvent le symptôme d’un problème sous-jacent (réauthentifications forcées, tentatives d’intrusion, appareil infecté). Voici un guide complet pour diagnostiquer, corriger et prévenir le retour du problème.
Vue d’ensemble de la situation
Dans les cas observés, les utilisateurs constatent :
- Des demandes de changement de mot de passe quasi hebdomadaires.
- Des blocages temporaires de compte pour « trop nombreuses tentatives ».
- Des alertes de sécurité et la suspicion qu’un tiers tente d’accéder au compte.
Ces signaux ne sont pas « normaux ». Ils indiquent le plus souvent : (a) une activité suspecte depuis un appareil ou un réseau, (b) un mot de passe compromis utilisé par des robots de « credential stuffing », (c) une application ou un navigateur qui réessaie un ancien mot de passe en boucle, ou (d) un logiciel malveillant réinstallé à chaque redémarrage.
Résumé opérationnel : ce qu’il faut faire tout de suite
- Isoler l’ordinateur : déconnectez le Wi‑Fi/ethernet et stoppez les synchronisations (OneDrive, Outlook, Teams).
- Analyser l’appareil : lancez un scan antivirus/antimalware complet et, si possible, une analyse hors‑ligne.
- Changer le mot de passe depuis un appareil sain : choisissez un mot de passe unique et robuste.
- Activer la MFA (Microsoft Authenticator, SMS, ou clé FIDO2) et révoquer les sessions.
- Examiner l’activité de connexion et supprimer les applications ou règles douteuses (notamment dans la messagerie).
Tableau de diagnostic et d’actions
| Axe d’investigation | Actions proposées | Résultat attendu | Durée estimée | Difficulté |
|---|---|---|---|---|
| Vérifier la sécurité de l’ordinateur | • Lancer immédiatement un antivirus/antimalware complet. • Si disponible, exécuter une analyse hors ligne (redémarrage requis). • Supprimer toute menace détectée, puis redémarrer et recontrôler. | Élimine les malwares qui déclenchent des alertes et des réauthentifications forcées. | 30–90 min | Facile à intermédiaire |
| Contrôler l’activité du compte Microsoft | • Se connecter à account.microsoft.com → Sécurité → Examiner l’activité de connexion. • Rechercher des connexions depuis des adresses IP, appareils ou pays inhabituels. • Marquer « Ce n’était pas moi » et appliquer les recommandations proposées. | Identifie et bloque les tentatives d’intrusion. Permet de corriger rapidement les paramètres à risque. | 10–20 min | Facile |
| Nettoyer le navigateur | • Vider le cache et les cookies. • Désactiver/supprimer les extensions inconnues. • Se déconnecter puis se reconnecter au compte dans le navigateur. | Évite les boucles d’authentification causées par des cookies corrompus ou des extensions malveillantes. | 10–15 min | Facile |
| Contexte professionnel ou scolaire | • Si l’appareil ou le compte est géré : vérifier la stratégie de mot de passe auprès de l’administrateur. • Examiner les règles de conformité, la synchronisation MDM/Intune et les profils de sécurité. | Clarifie si une politique interne impose des changements rapprochés. | Varie | Intermédiaire |
| Activer une authentification plus forte | • Installer Microsoft Authenticator et activer la vérification en deux étapes. • Ajouter une méthode de secours (SMS, e‑mail secondaire, clé de sécurité FIDO2). • Envisager le passwordless (Windows Hello, clé FIDO2). | Réduit la dépendance au mot de passe et bloque mieux les accès non autorisés. | 10–20 min | Facile |
| Contacter le support | • Parcours : Contact Support → Microsoft 365 → Gérer la sécurité du compte → Chat with a Support agent. | Assistance avancée si les étapes précédentes échouent. | Selon file | Facile |
Symptômes fréquents et causes probables
| Symptôme | Cause probable | Correctif rapide |
|---|---|---|
| Demandes de réinitialisation hebdomadaires | Attaques automatisées (listes de mots de passe compromis), application qui réessaie un ancien mot de passe, ou malware sur l’appareil | Changer le mot de passe depuis un appareil sain, activer MFA, scanner l’ordinateur |
| Blocage « Trop nombreuses tentatives » | Un service (client mail, smartphone, console, application) continue d’utiliser l’ancien mot de passe | Mettre à jour le mot de passe sur tous les appareils, déconnecter/révoquer les sessions |
| Notifications de connexions depuis un pays inconnu | Intrusion ou VPN/proxy mal configuré | Marquer « Ce n’était pas moi », forcer le changement du mot de passe, vérifier les paramètres proxy/VPN |
| Boîte de réception vide ou règles bizarres | Règle de transfert malveillante dans la messagerie | Supprimer la règle, changer le mot de passe, activer MFA |
Procédure détaillée pas à pas
Isoler et sécuriser avant toute action
- Déconnectez l’ordinateur d’Internet pour stopper d’éventuelles communications malveillantes.
- Préparez un appareil sain (PC, Mac, smartphone non suspect) pour gérer les actions de compte.
- Faites une sauvegarde des données critiques (documents, photos) avant nettoyage.
Analyser l’ordinateur
Sur Windows, ouvrez Sécurité Windows → Protection contre les virus et menaces → Options d’analyse → lancez une analyse complète. Si une menace est détectée et supprimée, redémarrez. En cas de suspicion forte, utilisez l’analyse hors ligne pour neutraliser les menaces persistantes. Répétez l’analyse jusqu’à obtenir un état sain.
Contrôles complémentaires utiles :
- Programmes au démarrage : via le Gestionnaire des tâches → Onglet Démarrage, désactivez les entrées inconnues.
- Tâches planifiées : Planificateur de tâches, examinez les tâches récentes et supprimez toute tâche suspecte.
- Extensions de navigateur : désinstallez celles que vous n’avez pas choisies.
- Proxy/DNS : dans les paramètres réseau, vérifiez qu’aucun proxy inattendu n’est activé.
Changer le mot de passe depuis un appareil sain
À partir d’un appareil non compromis, accédez à account.microsoft.com → Sécurité → Changer mon mot de passe. Choisissez un mot de passe :
- Unique (jamais réutilisé ailleurs) et robuste (12 caractères minimum, mélange de lettres, chiffres, symboles).
- Facile à retenir avec une phrase de passe : par exemple, quatre ou cinq mots aléatoires séparés par des signes.
Si vous utilisez un gestionnaire de mots de passe, enregistrez la nouvelle entrée et mettez à jour les appareils.
Activer une authentification forte
Installez Microsoft Authenticator sur votre smartphone et associez‑le à votre compte. Ajoutez une méthode de secours (SMS, e‑mail secondaire fiable, clé FIDO2). Lorsque c’est possible, envisagez le mode sans mot de passe (Windows Hello ou clé de sécurité) pour réduire la surface d’attaque.
Révoquer les sessions et valider les appareils
- Dans account.microsoft.com → Sécurité → Options de sécurité avancées, déconnectez toutes les sessions et invalidez les appareils inconnus.
- Sur chaque appareil légitime (PC, téléphone, Xbox, Outlook), reconnectez‑vous en saisissant le nouveau mot de passe et validez via MFA.
- Supprimez les applications tierces que vous n’utilisez plus et vérifiez les autorisations d’accès.
Examiner l’activité de connexion
Dans la rubrique Examiner l’activité, inspectez les connexions des 30 derniers jours : heure, adresse IP, emplacement, type d’appareil, application. Pour chaque événement inconnu, signalez « Ce n’était pas moi » et suivez l’assistant de sécurisation (changement de mot de passe, révocation, etc.).
Contrôler la messagerie et les règles
Dans votre Outlook.com (ou Exchange Online si compte pro/école) :
- Vérifiez l’absence de règles de transfert ou de suppression automatiques que vous n’auriez pas créées.
- Inspectez les dossiers Éléments envoyés et Éléments supprimés pour repérer une activité non reconnue.
- Désactivez IMAP/POP si vous n’en avez pas besoin afin d’éviter l’utilisation de protocoles hérités.
Mettre à jour les appareils et les applications
Appliquez les mises à jour Windows/macOS, les correctifs du navigateur (Edge/Chrome/Firefox), Office et Microsoft 365, ainsi que les définitions antivirus. Cela corrige des failles exploitées par les malwares et stabilise l’authentification.
Nettoyer le navigateur et les informations d’identification
- Effacer le cache et les cookies : dans le navigateur, partez des paramètres de confidentialité et supprimez les cookies et données de site.
- Gestionnaire d’identifiants Windows : supprimez les anciens identifiants Microsoft/Office obsolètes pour forcer une nouvelle authentification.
- Extensions : conservez uniquement les extensions nécessaires et de sources fiables.
Cas d’un compte géré par une organisation
Si votre compte est fourni par votre entreprise/école, des politiques de sécurité (durée de vie du mot de passe, MFA obligatoire, réauthentification périodique) peuvent expliquer la fréquence des changements. Vérifiez avec l’administrateur la politique appliquée, la conformité de votre appareil et les apps approuvées.
Étude de cas : la cause réelle était un malware récurrent
Dans un scénario type, l’analyse a révélé un virus récurrent qui réinfectait l’ordinateur chaque semaine via une tâche planifiée et une extension de navigateur « renifleuse » de mots de passe. Ce malware tentait régulièrement des connexions au compte Microsoft, déclenchant des alertes, des blocages pour tentatives multiples et, in fine, des réinitialisations forcées.
Résolution :
- Analyse hors ligne Microsoft Defender, suppression de la menace et de sa persistance (tâche planifiée, clé de registre, extension).
- Changement du mot de passe depuis un second appareil sain, activation de la MFA.
- Révocation de toutes les sessions et nettoyage des cookies/identifiants.
Résultat : les réinitialisations hebdomadaires ont cessé immédiatement. L’activité de connexion est redevenue normale.
Bonnes pratiques à maintenir
- Mettre à jour régulièrement : système, navigateur, antivirus et applications.
- Mot de passe robuste : 12 caractères minimum, unique, idéalement sous forme de phrase de passe.
- MFA partout : activez les notifications Authenticator et ajoutez une méthode de secours.
- Surveiller les alertes de sécurité Microsoft : e‑mail et application pour réagir vite.
- Sauvegardes régulières avant toute opération de nettoyage.
Plan d’action priorisé
| Fenêtre temporelle | Actions | Objectif |
|---|---|---|
| 0–20 minutes | Isoler l’appareil, lancer un premier scan antivirus, changer le mot de passe depuis un appareil sain | Couper l’attaque et reprendre le contrôle |
| 20–60 minutes | Activer MFA, révoquer sessions/appareils, vider cookies, supprimer extensions douteuses | Bloquer la réutilisation de l’ancien mot de passe et les accès non autorisés |
| 1–2 heures | Analyse hors‑ligne, suppression de la persistance, audit des règles Outlook, mise à jour des appareils | Assainir et durcir durablement |
Erreurs fréquentes à éviter
- Changer le mot de passe depuis l’appareil infecté : le nouveau mot de passe peut être intercepté.
- Oublier de révoquer les sessions/appareils : les jetons actifs restent valides un temps.
- Ignorer les règles de messagerie malveillantes : elles peuvent rediriger vos e‑mails vers un attaquant.
- Réutiliser le même mot de passe que sur d’autres services : cela annule vos efforts.
Check‑list rapide
- Scan complet + hors‑ligne si nécessaire
- Changement de mot de passe depuis un appareil sain
- Activation MFA + méthode de secours
- Révocation des sessions/appareils
- Nettoyage cookies/identifiants + extensions
- Audit des règles de messagerie
- Mises à jour OS, navigateur, antivirus, Office
FAQ
Puis‑je désactiver l’obligation de changer le mot de passe ?
Pour un compte personnel, Microsoft ne force pas un calendrier fixe de changement sauf en cas de détection de risque. La meilleure approche consiste à supprimer la cause (appareil infecté, applications qui réessaient l’ancien mot de passe, fuite de mot de passe) et à durcir l’authentification (MFA, passwordless). En environnement d’entreprise, la politique peut imposer un renouvellement : rapprochez‑vous de l’administrateur.
Comment savoir si l’e‑mail « Sécurité Microsoft » est légitime ?
Connectez‑vous directement à account.microsoft.com (sans cliquer sur l’e‑mail) et vérifiez l’activité récente. Si une action importante est requise, elle apparaîtra également dans votre tableau de bord de sécurité. En cas de doute, ne fournissez jamais de code MFA ni d’informations sensibles par e‑mail.
Que faire si j’ai perdu l’accès à Microsoft Authenticator ?
Utilisez une méthode de secours (SMS, e‑mail secondaire, codes de récupération) si vous les avez configurés. Sinon, suivez le processus de récupération de compte sur le portail Microsoft (questions de sécurité, délais d’attente) depuis un appareil connu.
Quid des vieilles applications mail (POP/IMAP) ?
Ces clients peuvent continuer à réessayer un ancien mot de passe et provoquer des blocages. Mettez‑les à jour, remplacez‑les par des clients modernes, ou désactivez POP/IMAP si vous n’en avez pas besoin. Vérifiez aussi les smartphones ou tablettes où l’ancien mot de passe pourrait être mémorisé.
Conseils avancés pour traquer une persistance de malware
- Tâches planifiées : supprimez celles qui pointent vers des dossiers temporaires, profils utilisateurs inhabituels ou scripts obscurs.
- Démarrage Windows : vérifiez les entrées de démarrage avec le Gestionnaire des tâches et les clés de registre usuelles (réservé aux utilisateurs avancés).
- Extensions navigateur : bannissez toute extension inconnue, surtout celles touchant à la sécurité ou au shopping.
- Paramètres proxy/hosts : restaurez la configuration par défaut si un proxy ou une redirection DNS apparaît sans raison.
Si, malgré tout, les réinitialisations persistent, envisagez une réinitialisation de l’ordinateur en conservant vos fichiers, puis réinstallez uniquement les logiciels nécessaires et fiables.
Conclusion
Des demandes hebdomadaires de réinitialisation du mot de passe Microsoft ne sont pas une fatalité : elles signalent un risque qu’il faut traiter à la source. La combinaison assainissement de l’appareil + mot de passe unique + MFA + révocation des sessions suffit dans la majorité des cas. Dans l’étude de cas présentée, l’élimination d’un malware récurrent a immédiatement mis fin au cycle de réinitialisations.
Informations complémentaires utiles
- Mettre à jour régulièrement : OS, navigateur, antivirus et applications.
- Mot de passe robuste : au moins 12 caractères, mélangeant majuscules, minuscules, chiffres et symboles ; éviter la réutilisation.
- Surveiller les notifications de sécurité Microsoft : activer les alertes par e‑mail et via Authenticator pour suivre les activités suspectes.
- Sauvegarder les données critiques avant tout nettoyage pour éviter une perte de fichiers.