Votre compte Microsoft se bloque après des tentatives d’intrusion ? Ce guide opérationnel vous montre comment reprendre la main, durcir la sécurité (MFA, connexion sans mot de passe, alias) et déjouer les arnaques au « faux support Microsoft ».
Sécuriser un compte Microsoft ciblé par des tentatives d’intrusion répétées
Problème
Des connexions échouées à répétition entraînent des blocages automatiques ; vous devez sans cesse réinitialiser votre mot de passe. Ce symptôme indique qu’une adresse de connexion est connue d’un attaquant (ou exposée dans une fuite) et qu’elle est soumise à des essais automatisés (attaque par force brute ou bourrage d’identifiants). La solution n’est pas de « changer de mot de passe encore et encore », mais de changer de modèle d’authentification, de réduire la surface d’attaque et de rendre vos informations de récupération résilientes.
Plan d’action rapide
- Activer l’authentification multifacteur (MFA) via le portail Sécurité du compte : application Microsoft Authenticator recommandée.
- Passer au “sans mot de passe” (passwordless) : approbation dans Authenticator, clé de sécurité FIDO2, ou Windows Hello.
- Créer un nouvel alias principal puis retirer l’autorisation de connexion des anciens alias (sans les supprimer s’ils sont @outlook.com/@hotmail.com).
- Révoquer les sessions ouvertes et les accès d’applications : déconnecter tous les appareils et supprimer les connexions d’apps obsolètes.
- Vérifier l’activité de connexion, marquer « Ce n’était pas moi » si nécessaire, et activer les alertes.
- Assainir vos appareils (Windows Update, analyse antivirus complète) et utiliser un réseau fiable.
Tableau de mesures et bonnes pratiques
| Mesure | Pourquoi | Comment faire |
|---|---|---|
| Activer l’authentification multifacteur (MFA) | Ajoute une étape que l’attaquant ne possède pas (code, notification push ou clé physique). | Portail Sécurité → Options de sécurité avancées : ajouter l’application Microsoft Authenticator (puis, si besoin, SMS comme secours). |
| Passer au « sans mot de passe » | Supprime la cible principale des attaques par force brute et des fuites d’identifiants. | Dans Microsoft Authenticator, activer Connexion sans mot de passe ou enregistrer une clé de sécurité FIDO2. Windows Hello est aussi compatible sur vos appareils Windows. |
| Renforcer et renouveler le mot de passe | Réduit le risque résiduel si vous conservez un mot de passe. | Au moins 12–16 caractères, unique, généré et stocké avec un gestionnaire. Éviter les modèles réutilisés ou proches. |
| Vérifier/ajouter plusieurs méthodes de récupération | Empêche une perte d’accès si un facteur MFA devient indisponible. | Ajouter un numéro de téléphone, un courriel alternatif, et imprimer/archiver le code de récupération hors ligne. |
| Créer un nouvel alias principal | Cache l’adresse ciblée par l’attaquant et réduit les tentatives sur l’identifiant connu. | Ajouter un alias, le définir comme principal, puis retirer l’autorisation de connexion des anciens alias (ne pas supprimer un alias de domaine Microsoft si vous l’utilisez pour recevoir du courrier). |
| Contrôler l’historique des connexions | Détecte les adresses IP, plages horaires ou appareils suspects et permet de réagir vite. | Portail Sécurité → Activité de connexion : marquer « ce n’était pas moi », exiger un changement d’info, bloquer si proposé. |
| Protéger les appareils | Évite la capture de vos codes/MFA par un logiciel espion ou un cheval de Troie. | Mises à jour système, pilotes et navigateur ; antivirus à jour ; analyse complète et, si besoin, analyse hors ligne. |
| Activer les alertes de sécurité | Vous prévient instantanément d’une tentative inconnue. | Notifications par e‑mail et via l’appli Authenticator pour les connexions nouvelles, mots de passe modifiés, activités inhabituelles. |
| Utiliser un réseau fiable | Réduit le risque d’interception ou d’injection de contenu malveillant. | Éviter le Wi‑Fi public ou utiliser un VPN fiable ; chez vous, activer WPA2/WPA3, désactiver WPS, et changer le mot de passe administrateur du routeur. |
Astuce : si vous activez le « sans mot de passe », conservez au moins deux méthodes de secours (par exemple Authenticator sur deux appareils + téléphone/SMS + code de récupération imprimé). La redondance vous protège des pannes et pertes de téléphone.
Tutoriels détaillés
Activer l’authentification multifacteur avec Microsoft Authenticator
- Sur un ordinateur fiable, ouvrez le portail Compte Microsoft → Sécurité → Options de sécurité avancées.
- Dans Méthodes de connexion ou Méthodes de vérification, choisissez Ajouter une méthode → Application d’authentification.
- Installez Microsoft Authenticator sur votre téléphone, ouvrez‑la puis scannez le QR affiché.
- Effectuez un test de notification push ; notez le code de récupération du compte et rangez‑le hors ligne.
- Conservez SMS et e‑mail comme méthodes de secours, mais privilégiez l’application pour les validations quotidiennes.
Passer à la connexion sans mot de passe (passwordless)
- Dans les Options de sécurité avancées, localisez Connexion sans mot de passe.
- Activez l’approbation depuis Microsoft Authenticator : désormais, vous validez une notification au lieu de taper un mot de passe.
- Optionnel : enregistrez une clé FIDO2 (USB/NFC). Suivez l’assistant pour l’associer à un PIN de clé.
- Sur Windows 10/11, activez Windows Hello (PIN, empreinte, reconnaissance faciale) pour un déverrouillage rapide et local.
Comparatif rapide
- Authenticator (push/code) : pratique, gratuit, fonctionne hors ligne avec codes temporaires.
- Clé FIDO2 : très robuste contre le phishing, idéal en déplacement, nécessite l’achat d’une clé physique.
- Windows Hello : excellent sur PC quotidien, combine sécurité matérielle et confort.
- SMS : utile en secours, mais plus exposé (SIM swap, interception). À éviter comme facteur principal.
Créer un alias principal et masquer l’identifiant ciblé
- Dans Votre info ou Gérer la façon dont vous vous connectez, cliquez sur Ajouter un alias et créez une nouvelle adresse (ou associez une adresse existante).
- Définissez cet alias comme principal. C’est désormais lui l’identifiant de connexion affiché.
- Pour chaque ancien alias, désactivez Autoriser la connexion. Astuce : gardez l’ancien alias uniquement pour recevoir du courrier, sans l’autoriser pour se connecter.
- Informez vos contacts fiables du nouvel alias si nécessaire, mais ne publiez pas cette adresse sur des formulaires publics.
Révoquer les sessions et les accès d’applications
- Dans Appareils et Activité de connexion, déconnectez‑vous de tous les appareils ou de ceux que vous ne reconnaissez pas.
- Dans Applications et services connectés, supprimez les entrées obsolètes (anciens téléphones, clients mail IMAP/POP, outils tiers non indispensables).
- Si vous utilisiez des mots de passe d’application (rare côté grand public), révoquez‑les et recréez‑les au besoin.
Contrôler l’activité de connexion et réagir
- Ouvrez l’onglet Activité de connexion. Parcourez les connexions récentes : pays, heure, application, adresse IP.
- Pour une activité inconnue : cliquez sur Ce n’était pas moi, suivez l’assistant (vérification MFA, changement d’info), et exigez une reconnexion sur tous les appareils.
- En cas de rafale d’essais d’IP d’un même pays que vous n’utilisez jamais, renforcez encore (alias principal, FIDO2) et gardez les alertes actives.
Protéger vos appareils et votre réseau
- Windows Update et pilotes à jour, navigateur actualisé.
- Windows Defender (ou autre antivirus) : analyse complète puis, si doute persistant, analyse hors ligne.
- Nettoyez les extensions de navigateur inutiles et désinstallez les logiciels inconnus.
- Routeur maison : changez le mot de passe admin, activez WPA2/WPA3, désactivez WPS, mettez à jour le firmware.
Identifier et gérer les faux « employés Microsoft »
Problème
Un individu vous appelle, dit « venir de Microsoft », donne un identifiant à 4 chiffres et propose de « supprimer les pirates » en prenant la main sur votre PC. C’est un schéma d’arnaque au support technique.
Signes qui ne trompent pas
- Appel non sollicité évoquant « des virus détectés » ou « des essais de piratage ».
- Pression temporelle (« agissez maintenant !») et dramatisation.
- Demande d’installation d’outils d’accès à distance, achat de cartes cadeaux, ou paiement immédiat.
- Proposition de vous lire un « identifiant interne » comme preuve. Invalide.
Rappel essentiel : Microsoft ne contacte pas spontanément les particuliers pour « dépanner » la sécurité ou demander des paiements/accès à distance. Ne communiquez jamais mot de passe, codes MFA, coordonnées bancaires, ni partage d’écran non sollicité.
Réflexes à adopter
- Raccrochez poliment. Ne confirmez ni votre adresse e‑mail ni votre numéro.
- Vérifiez uniquement via les canaux officiels : portail de support, application ou rappel planifié depuis votre compte.
- Signalez l’appel via le formulaire dédié aux arnaques de support et auprès des autorités locales compétentes.
- Bloquez le numéro et activez la détection d’appels/SMS indésirables sur votre téléphone.
Si vous avez déjà coopéré
- Déconnectez immédiatement l’appareil d’Internet (Wi‑Fi et câble).
- Analyse antivirus/antimalware complète puis, si une prise de contrôle est suspectée, envisagez la réinitialisation de l’ordinateur (avec sauvegarde préalable des fichiers sains).
- Depuis un appareil sain, changez les mots de passe (en priorité : compte Microsoft, messagerie principale, banque) et activez MFA partout.
- Vérifiez les règles de boîte mail (redirections auto, règles de suppression), les appareils connectés et les connexions d’applications.
- Surveillez vos comptes financiers : activez les alertes, opposez les moyens de paiement compromis.
Scripts utiles pour dire non
- « Je ne donne jamais d’accès à distance. Je contacterai le support depuis mon compte par moi‑même. Au revoir. »
- « Je ne partage jamais de codes MFA ni d’informations bancaires par téléphone. »
Informations complémentaires utiles
Gestionnaire de mots de passe : pourquoi et comment
Un gestionnaire génère des secrets longs et uniques, remplit automatiquement les champs de connexion, et vous alerte si un identifiant fuite dans une base compromise. Pour votre compte Microsoft, créez une entrée unique (pas de réutilisation), et ajoutez une note sécurisée pour le code de récupération. Activez l’option qui repère les mots de passe faibles/réutilisés et programmez une revue trimestrielle.
Notifications de nouvelles connexions
Activez les alertes de sécurité du compte Microsoft. Paramétrez‑les pour recevoir un e‑mail et une notification dans Authenticator en cas de connexion depuis un nouvel appareil, d’un changement de mot de passe ou de détection d’activité inhabituelle. Ces signaux gagnent en pertinence si vous vérifiez régulièrement l’historique et marquez précisément ce qui est légitime ou non.
Code de récupération MFA
Imprimez votre code de récupération du compte et conservez‑le dans un coffre (ou un dépôt chiffré hors ligne). Ce code est votre parachute si vous perdez tous vos appareils MFA. Ne le stockez pas dans votre messagerie principale ou vos notes non chiffrées.
Apprendre à reconnaître phishing et smishing
- Regardez l’expéditeur réel, l’URL finale et le domaine. Méfiez‑vous des domaines proches d’« outlook », « office » ou « microsoft » mais altérés.
- Un vrai message ne vous demandera pas vos codes MFA ni un paiement urgent pour « débloquer » votre compte.
- Évitez de cliquer : ouvrez vous‑même votre compte depuis un favori enregistré.
Check‑list imprimable
- [ ] MFA activé (Authenticator) + méthode(s) de secours.
- [ ] Connexion sans mot de passe activée, testée sur au moins deux appareils.
- [ ] Nouvel alias principal défini ; anciens alias conservés pour la réception mais non autorisés pour la connexion.
- [ ] Sessions et apps connectées révoquées.
- [ ] Alertes de sécurité configurées.
- [ ] Historique de connexion vérifié, événements suspects marqués.
- [ ] Appareils et routeur mis à jour ; analyse antivirus complète réalisée.
- [ ] Code de récupération imprimé et rangé hors ligne.
FAQ pratique
Pourquoi mon compte se bloque‑t‑il si souvent ?
Parce que votre identifiant de connexion est connu d’outils automatisés qui testent des mots de passe. Microsoft protège en déclenchant des blocages temporaires. La vraie réponse est de rendre l’identifiant moins exposé (alias principal) et l’authentification phishing‑résistante (Authenticator/FIDO2).
Le SMS en MFA est‑il suffisant ?
Correct en secours, mais vulnérable au détournement de SIM et à l’interception. Préférez l’application Authenticator (push ou code à usage unique) et/ou une clé FIDO2.
Dois‑je changer totalement d’adresse e‑mail ?
Souvent non. Créer un nouvel alias principal et désactiver la connexion sur l’ancien suffit ; l’ancien peut rester pour recevoir des messages. Informez progressivement vos contacts et services essentiels.
Qu’est‑ce qu’une clé de sécurité FIDO2 ?
Un petit dispositif USB/NFC/Bluetooth qui réalise une authentification forte matérielle. Elle résiste très bien au phishing, car aucune donnée réutilisable (comme un mot de passe) n’est transmise.
Puis‑je supprimer un ancien alias @outlook.com ?
Évitez de supprimer un alias de domaine Microsoft que vous utilisez encore pour recevoir des e‑mails ; désactivez plutôt la connexion avec cet alias, ce qui réduit l’attaque sans perdre la réception.
Que faire si je n’ai pas mon téléphone ?
Utilisez votre code de récupération, une méthode de secours (e‑mail secondaire, SMS) ou une clé FIDO2 de rechange. Planifiez ces options avant le besoin.
Compte Microsoft grand public vs compte professionnel/éducation
Un compte Microsoft grand public (Outlook.com, Xbox, OneDrive) n’est pas géré comme un compte professionnel/éducation (Microsoft 365/Entra ID). Les étapes ici visent le grand public ; en entreprise, rapprochez‑vous de l’administrateur (politiques MFA, accès conditionnel, etc.).
Erreurs fréquentes à éviter
- Conserver l’ancien identifiant comme identifiant de connexion alors qu’il est la cible de l’attaquant.
- Activer MFA mais laisser le mot de passe réutilisé ailleurs : les règles de boîte mail peuvent alors être compromises.
- N’avoir qu’une seule méthode MFA : perte de téléphone = perte d’accès.
- Ignorer les « petites » alertes d’activité : elles précèdent souvent un incident.
- Accepter un partage d’écran non sollicité sous la pression d’un soi‑disant support.
Annexe : pas‑à‑pas condensés
Connexion sans mot de passe avec Authenticator
- Ajouter Authenticator comme méthode MFA.
- Dans les options de sécurité, activer Connexion sans mot de passe.
- Tester une connexion depuis un navigateur privé : vous recevez une notification à approuver.
Ajout d’un alias et bascule en principal
- Créer un nouvel alias.
- Le définir comme alias principal.
- Ouvrir chaque ancien alias → Retirer l’autorisation de connexion.
Révoquer les sessions et les apps connectées
- Déconnecter tous les appareils non reconnus.
- Supprimer les applications et services hérités.
- Regénérer les mots de passe d’application si vous en avez réellement besoin.
Modèle de fiche de récupération (à imprimer)
Compte : Microsoft (Outlook/OneDrive/Xbox) Alias principal : ___________________________ Alias de réception (connexion désactivée) : ___________________________ Méthodes MFA : Authenticator (téléphone perso), Clé FIDO2 (marque/modèle), SMS secours Code de récupération : ___________________________ Emplacement de stockage hors ligne : ___________________________ Date de vérification la plus récente : ____ / ____ / ______
Conclusion
En combinant MFA, connexion sans mot de passe, alias principal et révocation proactive des sessions, vous neutralisez presque toutes les attaques par force brute. Ajoutez des appareils sains, des alertes bien réglées et une hygiène numérique (gestionnaire de mots de passe, vigilance face au phishing) pour revenir à un usage serein, sans blocages à répétition. Enfin, gardez en tête qu’aucun « employé Microsoft » ne vous appellera pour vous demander accès, paiement ou codes : vous seul initiez la demande d’aide via les canaux officiels.