Vous avez activé la 2FA et changé le mot de passe, mais des connexions « réussies » continuent d’apparaître depuis l’étranger ? Voici un plan d’action concret, pas à pas, pour neutraliser durablement les intrusions et reprendre la main sur votre compte Microsoft.
Vue d’ensemble de la question
Quand un compte Microsoft affiche encore des connexions abouties malgré un nouveau mot de passe et l’authentification multifacteur, la cause est rarement un « piratage magique ». Dans la majorité des cas, un ou plusieurs mécanismes contournent votre nouveau mot de passe : sessions persistantes non révoquées, jetons OAuth accordés à des applications, mots de passe d’application oubliés, règles de transfert malicieuses, connexion via protocoles hérités (POP/IMAP sans OAuth), ou encore hameçonnage qui a piégé l’utilisateur pour approuver une demande de connexion.
La solution consiste à renforcer les méthodes d’authentification, isoler l’identifiant exposé, révoquer les accès existants, bloquer les anciens protocoles, assainir vos appareils et surveiller l’activité avec discipline.
Réponse et solutions proposées
| Objectif | Mesures concrètes |
|---|---|
| Consolider l’authentification | Utiliser la double authentification via l’application Microsoft Authenticator (plus sûre que le SMS) avec validation par numéro. Passer au sans mot de passe si possible : Windows Hello, clé de sécurité FIDO2 ou Passkey. Générer et ranger hors ligne des codes de récupération 2FA. |
| Isoler l’identifiant compromis | Créer un alias Outlook.com neuf et le définir comme identifiant principal. Important : sur les comptes Microsoft grand public, tout alias peut servir à se connecter. Si votre adresse est largement exposée, envisagez de supprimer l’ancien alias (avec précautions) ou de migrer vers un identifiant inédit. |
| Vérifier et révoquer les accès déjà accordés | Se déconnecter de toutes les sessions dans Paramètres > Sécurité. Examiner les applications et services connectés (OAuth) et révoquer tout accès inconnu. Supprimer tous les mots de passe d’application hérités, s’ils existent. |
| Bloquer les vecteurs d’attaque courants | Désactiver le POP et éviter l’IMAP non‑OAuth ; privilégier Exchange/Outlook moderne. Contrôler qu’aucune règle de transfert ni réponse automatique douteuse n’a été ajoutée dans Outlook.com. |
| Renforcer l’hygiène numérique | Employer un mot de passe robuste et unique via un gestionnaire. Mettre à jour l’OS, le navigateur et l’antivirus, puis lancer un scan complet sur chaque appareil utilisé pour se connecter. |
| Surveiller et réagir | Activer les alertes de sécurité pour toute connexion inhabituelle. Consulter l’historique des activités régulièrement et signaler toute connexion non reconnue. |
Ce qu’il faut comprendre avant d’agir
| Symptôme | Cause fréquente | Remède prioritaire |
|---|---|---|
| Connexions « réussies » depuis d’autres pays | Session/cookie actif, jeton OAuth valide, consentement à une app, ou géolocalisation trompeuse (VPN, nœuds réseau) | Se déconnecter partout, révoquer OAuth, renforcer 2FA, vérifier règles boîte mail |
| Demandes 2FA qui apparaissent à l’improviste | Mot de passe exposé et attaque par force brute ou « password spray » | Changer immédiatement le mot de passe, activer Authenticator avec validation par numéro |
| Mails manquants ou réponses automatiques inconnues | Règles de transfert/filtres malveillants | Supprimer les règles suspectes, couper l’éventuel transfert |
| Connexion malgré 2FA | Jeton OAuth déjà accordé, mot de passe d’app, session non révoquée | Révoquer applications et mots de passe d’app, se déconnecter partout |
Plan d’action rapide
- Depuis un appareil sain, connectez‑vous au tableau de bord de sécurité Microsoft.
- Se déconnecter de toutes les sessions (cela invalide les cookies/restes de session).
- Changer le mot de passe : long, unique, géré par un gestionnaire. Évitez la réutilisation.
- Activer/renforcer la 2FA : Microsoft Authenticator avec nombre à saisir (anti‑approbation accidentelle). Générez des codes de secours.
- Passer au sans mot de passe si disponible : Windows Hello, clé FIDO2/Passkey. Enregistrez au moins deux méthodes physiques distinctes.
- Révoquer toutes les applications et services connectés non essentiels ; supprimez tous les mots de passe d’application.
- Outlook.com : paramétrer Courrier > Règles, Transfert, Réponses automatiques, Adresses de confiance. Supprimer tout ce qui est suspect.
- Désactiver POP dans Courrier > Synchroniser le courrier > POP. Évitez l’IMAP si le client ne supporte pas OAuth.
- Vérifier l’activité récente et signaler « Ce n’était pas moi » pour les événements inconnus.
- Scanner vos appareils (Windows Defender/Microsoft Defender ou solution équivalente), mettre à jour OS et navigateurs, supprimer les extensions douteuses.
Procédure détaillée
Consolider l’authentification
- Microsoft Authenticator : activez les notifications de connexion avec validation par numéro. Évitez le SMS comme méthode principale ; conservez‑le seulement comme secours. Ajoutez aussi un code TOTP (application d’authentification) si vous souhaitez une redondance hors ligne.
- Passer au sans mot de passe : enregistrez Windows Hello (visage/empreinte/Pin local) et une clé FIDO2 ou une Passkey. Le but est de rendre inutilisable un mot de passe même s’il fuit.
- Codes de récupération : imprimez ou stockez‑les hors ligne (coffre‑fort chiffré). Ne les conservez jamais dans la même boîte mail.
Isoler l’identifiant exposé
Créer un nouvel alias Outlook.com et le mettre en principal réduit les attaques par password spray qui ciblent d’anciennes adresses. Attention : pour les comptes personnels, tous les alias restent utilisables pour la connexion. Si votre adresse historique est publique, deux options existent :
- Option A : supprimer l’ancien alias (irréversible à court terme, l’adresse peut devenir indisponible). À envisager seulement si vous pouvez communiquer une nouvelle adresse à vos contacts et services.
- Option B : conserver l’ancien alias mais renforcer fortement l’authentification et la surveillance. Vous pouvez dans ce cas créer une adresse de réception dédiée (liste de diffusion ou alias côté client) pour limiter l’exposition publique.
Pour les comptes professionnels Microsoft 365, l’UPN (nom d’utilisateur) est configurable et les administrateurs peuvent imposer des méthodes d’authentification plus strictes.
Révoquer les accès existants
- Se déconnecter partout : invalidez toutes les sessions et cookies. Cela coupe l’accès aux appareils déjà connectés.
- Applications et services connectés (OAuth) : ouvrez la section Applications ayant accès à votre compte et révoquez tout ce qui est inconnu ou non essentiel. En cas de doute, supprimez ; vous réautoriserez plus tard si nécessaire.
- Mots de passe d’application : si vous en aviez généré pour d’anciens clients ne supportant pas la 2FA, supprimez‑les tous. Remplacez ces clients par des apps compatibles OAuth/Modern Auth.
- Appareils : contrôlez la liste des appareils associés à votre compte Microsoft et retirez ceux que vous ne reconnaissez pas.
Bloquer les protocoles hérités
- POP : désactivez Autoriser les appareils et applications à utiliser POP dans les paramètres Outlook.com. Le POP sans OAuth permet des contournements de la 2FA.
- IMAP : préférez IMAP avec OAuth uniquement. Si votre client mail ne supporte pas OAuth, abandonnez‑le au profit d’Outlook/Exchange ou d’un client moderne.
- Clients mobiles : utilisez l’application Outlook officielle, déjà compatible OAuth/Modern Auth.
Assainir les boîtes aux lettres
- Règles : dans Paramètres > Courrier > Règles, supprimez celles qui déplacent/masquent vos messages.
- Transfert : dans Paramètres > Courrier > Transfert, désactivez tout transfert vers une adresse que vous n’avez pas configurée.
- Réponses automatiques : vérifiez qu’aucune réponse automatique suspecte n’est active.
- Adresses autorisées/bloquées : passez en revue les listes pour retirer toute entrée inconnue.
Hygiène des appareils et du navigateur
- Mises à jour : Windows/macOS/iOS/Android et navigateurs doivent être à jour.
- Antivirus/EDR : exécutez un scan complet. Sur Windows, Microsoft Defender convient parfaitement.
- Navigateur : supprimez les extensions non essentielles, videz les cookies/cache des navigateurs utilisés pour Microsoft.
- Gestionnaire de mots de passe : stockez le nouveau mot de passe, activez la surveillance de fuites.
Surveillance continue
- Alertes de sécurité : activez les notifications pour nouvelles connexions, changements de mot de passe, ajouts de méthodes 2FA.
- Historique d’activité : vérifiez chaque semaine. Marquez « Ce n’était pas moi » quand nécessaire : cela aide Microsoft à affiner les signaux de risque.
- Journal maison : tenez un court journal des changements (date, action, appareil) pour tracer vos interventions.
Cas des environnements professionnels
Pour les organisations sous Microsoft 365, l’administrateur peut bloquer les connexions suspectes en amont via des stratégies d’accès conditionnel :
- MFA obligatoire pour tous les utilisateurs, avec méthodes fortes (Authenticator, FIDO2).
- Blocage des protocoles hérités et authentification de base.
- Restrictions géographiques/IP : emplacements nommés, blocage des pays non nécessaires.
- Détection de déplacement impossible et signaux de risque avec Identity Protection.
- Accès par appareils conformes (gestion de la conformité via Intune).
Erreurs fréquentes à éviter
- Compter sur le SMS comme unique facteur : vulnérable au SIM‑swap.
- Conserver des mots de passe d’application « au cas où » : cela contourne votre MFA.
- Réutiliser le mot de passe sur d’autres sites : une fuite ailleurs compromet votre compte Microsoft.
- Ignorer les règles de boîte : un pirate peut lire vos mails et les cacher sans que vous vous en rendiez compte.
FAQ rapide
Pourquoi je vois des connexions depuis un autre pays alors que j’ai la 2FA ?
Soit une session/jeton pré‑existant n’a pas été révoqué, soit une app a reçu un consentement OAuth, soit la géolocalisation se base sur une sortie réseau distante. Révoquez les sessions et les accès OAuth, puis surveillez.
Un alias primaire suffit‑il à bloquer l’ancien identifiant ?
Pour les comptes personnels, non : en règle générale, tous les alias peuvent servir à se connecter. Pour empêcher l’usage d’une adresse exposée, il faut la supprimer de la liste d’alias ou migrer vers un identifiant inconnu.
Qu’est‑ce qu’un jeton OAuth ?
C’est une autorisation donnée à une application tierce d’accéder à votre compte sans votre mot de passe. Un jeton actif peut contourner un changement de mot de passe ; révoquez tout accès que vous ne reconnaissez pas.
Dois‑je réinitialiser mon PC ou mon téléphone ?
Pas nécessairement. Commencez par un scan complet et une mise à jour globale. En cas d’infection avérée, envisagez une réinstallation.
Checklist opérationnelle
| Action | Statut | Notes |
|---|---|---|
| Se déconnecter de toutes les sessions | ☐ | Depuis le tableau de bord Sécurité |
| Changer le mot de passe et le stocker dans un coffre | ☐ | Long, unique, généré |
| Activer Authenticator avec validation par numéro | ☐ | Méthode principale |
| Enregistrer FIDO2/Passkey et Windows Hello | ☐ | Deux méthodes physiques si possible |
| Révoquer apps OAuth et mots de passe d’app | ☐ | Supprimer tout ce qui est superflu |
| Désactiver POP, éviter IMAP non‑OAuth | ☐ | Privilégier Exchange/Outlook |
| Vérifier règles/transfert/réponses auto | ☐ | Outlook.com > Courrier |
| Scanner et mettre à jour tous les appareils | ☐ | PC et mobiles inclus |
| Activer les alertes et suivre l’activité | ☐ | Contrôle hebdomadaire |
Informations complémentaires utiles
- Tentatives inévitables : vous ne pouvez empêcher quelqu’un d’essayer de se connecter, mais vous pouvez rendre toute connexion réussie quasi impossible en combinant MFA forte, révoquation de sessions et blocage des protocoles hérités.
- Alias et sécurité : changer l’alias principal réduit l’exposition. Toutefois, pour les comptes personnels, les alias restent en général utilisables à la connexion ; pour neutraliser un identifiant connu, supprimez‑le ou migrez.
- Comptes professionnels : les administrateurs peuvent appliquer l’accès conditionnel (MFA obligatoire, blocage par pays/IP) et supprimer l’authentification héritée pour bloquer les connexions suspectes en amont.
- Usurpation via tokens OAuth : une application malveillante autorisée peut contourner le mot de passe. Révoquez systématiquement tout accès inconnu et limitez les consentements.
- Formation et sensibilisation : la majorité des compromissions provient d’un hameçonnage réussi. Apprenez à reconnaître les faux sites, les pièces jointes piégées et les demandes d’authentification inattendues.
Conclusion
La clé pour mettre fin aux connexions frauduleuses persistantes n’est pas un unique « super mot de passe », mais un paquet cohérent de mesures : authentification forte (Authenticator + FIDO2), révocation des accès existants (sessions, OAuth, mots de passe d’app), verrouillage des anciens protocoles, assainissement des boîtes aux lettres et surveillance régulière. En appliquant ce plan, vous neutralisez les portes dérobées les plus courantes et retrouvez une posture de sécurité résiliente.