MENU
  1. Accueil
  2. MS Office
  3. Outlook
  4. Outlook/Hotmail : arrêter les tentatives de connexion non autorisées (2FA, alias principal, FIDO2)

Outlook/Hotmail : arrêter les tentatives de connexion non autorisées (2FA, alias principal, FIDO2)

Outlook

Des alertes de connexion Microsoft sans fin, des codes que vous n’avez pas demandés et des e‑mails d’extorsion ? Voici un guide précis pour bloquer l’accès à votre compte Outlook/Hotmail, réduire les tentatives et éviter les blocages intempestifs.

Sommaire

Tentatives répétées de connexion non autorisée à un compte Microsoft (Outlook/Hotmail)

Vue d’ensemble de la question

De plus en plus d’utilisateurs observent des tentatives de connexion infructueuses en continu (parfois 24/7), souvent depuis des adresses IP géolocalisées partout dans le monde—indicateur typique de VPN/proxy. S’ajoutent des codes de vérification non sollicités, des verrouillages après trop d’essais et des courriels d’extorsion (« sextorsion ») prétendant avoir piraté les appareils. Les questions reviennent : à qui signaler, comment stopper ou limiter ces tentatives, Microsoft Authenticator suffit‑il, peut‑on restreindre par pays, que faire des adresses IP, et comment éviter les blocages à répétition ?

Voici un plan d’action priorisé, des réponses concrètes, et des réglages avancés pour protéger efficacement votre compte Microsoft personnel (Outlook/Hotmail).

Diagnostic rapide

SymptômeCe que ça signifieRéaction immédiate
Codes de vérification reçus sans action de votre partQuelqu’un tente d’ouvrir une session avec votre identifiantIgnorez, ne validez rien. Vérifiez l’Activité récente et sécurisez le compte
Alertes d’approbation Authenticator à répétitionMFA bombing : l’attaquant espère un « Appuyer sur Approuver » par fatigueRefusez systématiquement, changez le mot de passe, renforcez MFA (clé FIDO2/passkey)
Compte verrouillé après trop d’essaisAttaques par essais distribués sur votre adresse publiqueProcédure « Sécuriser mon compte », puis stratégie d’alias principal (voir plus bas)
Courriels de « sextorsion »Phishing/usurpation d’adresse, souvent du spam automatiséNe payez pas, signalez comme hameçonnage, conservez si besoin comme preuve

Réponse & Solutions

A. Mesures immédiates (si vous recevez des alertes ou codes non sollicités)

  1. Ignorez tout code que vous n’avez pas explicitement demandé. Ne cliquez sur aucun lien ambigu dans des messages inattendus.
  2. Vérifiez l’Activité récente de votre compte Microsoft : pour chaque événement suspect, cliquez sur « Ce n’était pas moi » puis « Sécuriser mon compte ». L’outil vous fera changer le mot de passe et réviser vos paramètres de sécurité.
  3. Changez le mot de passe immédiatement :
    • Long (≥ 16 caractères), unique, imprononçable de préférence (généré par un gestionnaire de mots de passe).
    • Évitez les variantes d’anciens mots de passe. N’utilisez jamais ce mot de passe ailleurs.
  4. Assainissez les sessions et accès :
    • Revoyez Méthodes de connexion : supprimez les anciennes méthodes, ré-enregistrez vos appareils de confiance si nécessaire.
    • Dans Outlook sur le Web, fermez les sessions ouvertes si possible (menu Compte/Profil > Déconnexion sur les autres sessions lorsque disponible).
    • Dans chaque service (Outlook, OneDrive, Xbox, etc.), vérifiez les appareils connectés et retirez ceux que vous ne reconnaissez pas.
  5. Mettez à jour les infos de récupération :
    • Adresse e‑mail secondaire et numéro de téléphone actuels et sous votre contrôle.
    • Retirez toute info obsolète (anciens numéros, boîtes inactives).

Bon réflexe : si l’alerte Authenticator apparaît alors que vous n’essayez pas de vous connecter, refusez et changez le mot de passe immédiatement. C’est souvent un test de votre vigilance.

B. Authentification forte : empêcher l’accès même si les tentatives continuent

Les attaques ne peuvent pas être empêchées côté réseau utilisateur (les robots essaieront toujours), mais vous pouvez rendre l’accès impossible sans votre validation :

  • Activez la vérification en deux étapes (2FA/MFA) et enregistrez plusieurs méthodes : Microsoft Authenticator et au moins une méthode de secours (clé de sécurité FIDO2/passkey ou code TOTP dans un gestionnaire de mots de passe).
  • Désactivez les SMS/voix comme méthode principale si possible ; gardez‑les éventuellement en secours ultime.
  • Activez la connexion sans mot de passe (passwordless) si disponible sur votre compte : Authenticator, clé de sécurité ou passkey ouvrent la session sans saisir de mot de passe.

À savoir : Authenticator n’empêche pas quelqu’un d’essayer, mais bloque l’accès tant que vous n’approuvez pas. Si vous recevez des demandes d’approbation inattendues, refusez et signalez‑les.

Quelle méthode MFA choisir ?

MéthodeRésistance au phishingAvantagesLimites
Clé de sécurité FIDO2 / PasskeyTrès élevéePas de code à saisir ; protège même contre les sites de phishing ; rapideNécessite une clé physique ou un appareil compatible ; prévoir 2 clés (principal + secours)
Microsoft Authenticator (notification)Élevée (mais vulnérable au « MFA bombing » si l’on approuve par erreur)Pratique, multi‑appareils, peut fonctionner passwordlessDépend du téléphone et des notifications ; attention aux demandes d’approbation abusives
Application TOTP (codes à 6 chiffres)MoyenneHors ligne, compatible multi‑servicesPhishing possible via sites miroirs ; rotation régulière des codes
SMS / Appel vocalFaible à moyenneDisponible sur tout téléphoneRisque de détournement de carte SIM, délais de réception, coûts éventuels

Conseils de configuration

  • Enregistrez au moins deux méthodes : par exemple clé FIDO2 + Authenticator (et conservez les codes de récupération).
  • Conservez une clé de secours hors site (coffre ou lieu sûr), testée au moins une fois.
  • Si vous changez de téléphone, transférez Authenticator avant réinitialisation et testez la connexion.

C. Réduire fortement le bruit… et les blocages

Le problème n° 1 est souvent la visibilité publique de votre identifiant (adresse Outlook/Hotmail). Des robots la testent en boucle ; cela mène à des verrouillages même si les tentatives échouent. La meilleure stratégie consiste à changer d’identifiant de connexion tout en gardant votre adresse historique pour recevoir le courrier.

Stratégie « alias principal »

  1. Créez un véritable alias Microsoft (nouvelle adresse @outlook.com ou adresse existante sous votre contrôle) et évitez d’utiliser une adresse déjà publique.
  2. Définissez cet alias comme alias principal (identifiant de connexion par défaut).
  3. Désactivez la connexion sur l’ancienne adresse dans les préférences de connexion : l’ancienne continue à recevoir des e‑mails, mais personne (vous compris) ne peut s’en servir pour se connecter. Les attaques visant l’ancienne adresse renverront « compte inexistant », ce qui fait chuter les tentatives et donc les blocages.

Important : l’adresse avec +tag (ex. prenom.nom+secure@outlook.com) n’est pas un alias de connexion Microsoft. Pour modifier l’identifiant, il faut ajouter un alias réel dans les paramètres du compte, puis le définir principal et désactiver la connexion sur l’ancien.

Bonnes pratiques d’« hygiène d’identifiant »

  • N’exposez pas votre nouvel alias principal sur des sites publics ; utilisez des adresses dédiées pour les newsletters/inscriptions.
  • Activez 2FA sur tous les services où votre ancienne adresse sert d’identifiant.
  • Surveillez vos fuites de données personnelles et remplacez toute adresse trop « bruitée » par un alias propre.

D. Courriels d’extorsion (« Vous avez été piraté », rançon en crypto, mention de « Pegasus »)

Ces messages sont des escroqueries souvent automatisées : ils menacent d’exposer des vidéos privées, prétendent connaître un ancien mot de passe (provenant parfois d’une vieille fuite) et exigent une rançon en crypto‑monnaie. Ils usurpent parfois l’adresse de l’expéditeur.

  • Ne répondez pas, ne payez pas. Marquez le message comme Hameçonnage dans Outlook.
  • Vérifiez vos règles : Paramètres > Courrier > Règles et Transfert. Supprimez toute règle ou renvoi inconnu. Contrôlez aussi les autorisations « Envoyer en tant que ».
  • Conservez les preuves si vous souhaitez signaler aux autorités (particulièrement en cas de menaces personnalisées).

E. Limites et idées reçues

  • Blocage d’IP / restriction par pays : non disponible pour les comptes personnels Microsoft. Ces contrôles existent pour les comptes professionnels/éducatifs (politiques d’accès conditionnel), pas pour Outlook/Hotmail personnels.
  • Microsoft ne peut pas empêcher des tentatives distribuées via VPN/proxies. En revanche, l’infrastructure durcit l’authentification et surveille les anomalies côté service.
  • Changer un caractère de l’adresse n’aide pas si l’ancienne reste utilisable pour la connexion. D’où l’importance de la stratégie alias principal + désactivation de la connexion sur l’ancienne.
FonctionCompte Microsoft personnel (Outlook/Hotmail)Compte pro/éducatif (Microsoft 365)
Blocage par pays/IPNonOui (accès conditionnel)
Règles de risque de connexionNonOui (politiques Entra ID)
Passwordless/PasskeysSouvent disponibleOui (paramétrable par l’admin)
App passwords (applications anciennes)Parfois disponibles, à éviterContrôlés par l’admin, souvent interdits

F. Si vous pensez que le compte ou des services liés ont été compromis

  1. Terminez la procédure « Sécuriser mon compte » côté Microsoft (activité récente > Ce n’était pas moi > Sécuriser).
  2. Analysez vos appareils : mises à jour système et navigateurs, antivirus/anti‑malware complets, vérification des extensions et profils de navigateur.
  3. Réinitialisez les mots de passe des services critiques (banques, messageries, réseaux sociaux) et révoquez les sessions/applications connectées (paramètres de sécurité de chaque service).
  4. Vérifiez les redirections d’e‑mail, les règles et les autorisations d’envoi (« envoyer en tant que ») dans Outlook.
  5. Activez 2FA partout et évitez la réutilisation de mots de passe.
  6. Contrôlez les appareils mobile : écran verrouillé, chiffrement, biométrie activée, sauvegardes chiffrées, suppression des profils inconnus.

G. Réponses rapides aux questions récurrentes

  • « Authenticator arrêtera‑t‑il un bot ? » → Il empêchera l’accès sans votre approbation, mais ne stoppera pas les tentatives.
  • « Peut‑on bloquer définitivement les attaquants ou leurs IP ? »Pas au niveau d’un compte personnel. Utilisez alias principal + 2FA/clé FIDO2.
  • « Peut‑on restreindre aux connexions de mon pays ? »Non pour les comptes personnels.
  • « Que faire d’une IP source ? » → Marquez l’activité comme non autorisée. Les signalements d’IP à des FAI sont rarement utiles sur des attaques distribuées.

Mode d’emploi pas‑à‑pas

1) Activer et durcir l’authentification

  1. Ouvrez les paramètres de Sécurité du compte Microsoft et activez la vérification en deux étapes.
  2. Ajoutez Microsoft Authenticator : scannez le QR code et validez une première connexion.
  3. Ajoutez une clé de sécurité FIDO2 ou passkey : enregistrez deux clés si possible (principal + secours).
  4. Ajoutez une méthode de secours TOTP dans un gestionnaire de mots de passe (protégé par un mot de passe maître long et une 2FA).
  5. Désactivez les méthodes faibles (SMS/voix) si vous disposez d’alternatives robustes. Conservez des codes de récupération hors ligne.

2) Changer d’identifiant sans perdre vos mails

  1. Allez dans Votre info > Gérer la façon dont vous vous connectez à Microsoft.
  2. Ajoutez un alias : choisissez une nouvelle adresse @outlook.com ou utilisez une adresse existante (sous votre contrôle) que vous ne diffusez pas publiquement.
  3. Définissez l’alias comme principal (il devient votre identifiant de connexion).
  4. Désactivez « peut se connecter » pour l’ancienne adresse, afin qu’elle reçoive toujours les e‑mails mais ne serve plus à se connecter.

3) Nettoyer les accès Outlook/Hotmail

  • Règles : supprimez celles que vous n’avez pas créées.
  • Transfert : désactivez tout renvoi non reconnu.
  • Signatures et réponses automatiques : vérifiez qu’elles n’ont pas été modifiées.
  • Autorisations d’envoi : retirez tout délégué inconnu.

4) Stopper le « MFA bombing »

  • Ne validez jamais une demande que vous n’avez pas initiée.
  • En cas de rafale de notifications : activez le mode Avion, changez le mot de passe, réévaluez vos méthodes MFA, et passez à une clé FIDO2/passkey comme méthode principale.

5) Mot de passe : formules fiables

  • Utilisez un gestionnaire de mots de passe et générez 20–30 caractères aléatoires (lettres, chiffres, symboles).
  • À défaut, composez une passphrase longue : 5–6 mots inattendus + ponctuation.
  • Renouvelez immédiatement après suspicion et jamais à la suite d’une fuite publique avec une simple variante.

Prévenir plutôt que guérir : configuration cible « sereine »

  • Passwordless actif (si disponible) + clé FIDO2 principale et clé de secours.
  • Authenticator comme méthode additionnelle (réservée aux connexions légitimes).
  • Alias principal propre (identifiant privé) + ancienne adresse laissée en réception seule.
  • Gestionnaire de mots de passe pour générer et stocker des secrets uniques.
  • Infos de récupération tenues à jour et non publiques.
  • App passwords évités autant que possible (n’activez que si vous devez maintenir une vieille appli, puis supprimez‑les).

Tableau récapitulatif des réglages conseillés

ComposantRéglage recommandéBut
IdentifiantAlias principal dédié, ancien alias désactivé pour la connexionCasser la visibilité publique et réduire le bruit
2FA/MFAClé FIDO2/passkey + Authenticator + TOTP secoursBloquer l’accès sans votre contrôle
Mot de passe≥ 16 caractères, unique, généré, stockéRésister aux attaques de dictionnaire et réutilisation
Règles/TransfertsAudit régulier, suppression de toute règle suspecteEmpêcher l’exfiltration silencieuse
AppareilsMis à jour, antivirus, verrouillage, biométrieRéduire la surface d’attaque locale

Scénarios concrets & solutions rapides

Scénario 1 : « Je reçois des codes par e‑mail/SMS 10 fois par jour »

Action : ignorez les codes, marquez l’activité comme « non autorisée », changez le mot de passe, activez 2FA, puis mettez en place l’alias principal pour que l’ancienne adresse ne soit plus un identifiant valide. La fréquence des tentatives chute généralement en quelques jours.

Scénario 2 : « On me bombe de notifications Authenticator »

Action : refusez tout. Basculez votre méthode principale sur clé FIDO2/passkey et renforcez le mot de passe. Songez à momentanément désactiver les notifications push sur l’app pour couper le bruit (vous pourrez toujours saisir une passkey/clé de sécurité).

Scénario 3 : « Mon compte a été verrouillé »

Action : suivez la procédure de récupération. Une fois réouvert : 2FA, passwordless si possible, alias principal propre, audit des règles/transferts, et rotation des mots de passe des services critiques liés à cette adresse.

Scénario 4 : « Je reçois un e‑mail menaçant de divulguer des vidéos »

Action : ne payez pas. Signalez comme hameçonnage. Conservez en preuve si les menaces sont personnalisées. Vérifiez vos règles et transferts. Changez le mot de passe et activez 2FA si ce n’est pas déjà fait.

Questions pratiques

Comment savoir si une activité est vraiment moi ?

  • Heure et fuseau : une heure incohérente est un signal d’alarme.
  • Appareil/OS/Navigateur : différent de vos usages ? Suspect.
  • Localisation/IP : une ville lointaine, ou des locations changeant sans cesse (typique des VPN/proxies), doivent être marquées « non autorisées ».

Dois‑je garder les SMS ?

Gardez éventuellement le SMS en dernier recours, mais préférez une clé FIDO2 et Authenticator. Désactivez le SMS comme méthode par défaut si vous avez mieux.

Que faire des adresses IP sources ?

Marquez l’activité comme non autorisée ; au‑delà, l’intérêt de remonter des IP à des FAI est faible pour des attaques distribuées via VPN. Concentrez‑vous sur la robustesse de l’authentification et la réduction de la visibilité de l’identifiant.

Les « app passwords » sont‑ils nécessaires ?

Uniquement pour d’anciennes applications qui ne supportent pas la 2FA moderne. Évitez‑les autant que possible ; sinon, créez‑les temporairement, pour une application identifiée, et supprimez‑les après usage.

Checklist express

  • Mot de passe long et unique
  • 2FA activée (Authenticator + méthode de secours)
  • Connexion sans mot de passe (si dispo) ou clé FIDO2/passkey
  • Alias principal nouveau + connexion désactivée sur l’ancienne adresse
  • Appareils de confiance et méthodes de connexion nettoyés
  • Règles/Transfert/Envoyer‑en‑tant‑que vérifiés dans Outlook
  • Sessions closes et applications tierces non reconnues révoquées
  • Appareils mis à jour et analysés
  • Signaler le phishing/les tentatives (dans Outlook)
  • Infos de récupération à jour

Message clé : on ne peut pas empêcher les tentatives automatisées, mais on peut rendre l’accès impossible (2FA/clé) et réduire drastiquement le bruit (alias principal + désactivation de la connexion sur l’adresse publique).

Annexes utiles

Glossaire éclair

  • 2FA/MFA : deuxième facteur d’authentification (application, clé, code).
  • FIDO2/Passkey : norme d’authentification forte résistant au phishing.
  • MFA bombing : bombardement de notifications pour pousser à l’approbation par fatigue.
  • Alias principal : identifiant de connexion par défaut du compte Microsoft.
  • Plus addressing : variante d’adresse e‑mail (+tag) utile pour filtrer le courrier mais pas pour changer l’identifiant de connexion.

Plan d’action en 24 heures (si vous avez peu de temps)

  1. Heure 0–1 : changer le mot de passe, activer 2FA, vérifier l’activité récente.
  2. Heure 1–3 : créer alias, le mettre en principal, désactiver la connexion de l’ancienne adresse.
  3. Heure 3–6 : audit Outlook (règles/transferts/autorisations), révoquer sessions inconnues.
  4. Heure 6–24 : enregistrer une clé FIDO2/passkey, mettre à jour infos de récupération, scanner les appareils et faire le tour des services critiques.

Erreurs fréquentes à éviter

  • Approuver par réflexe une notification MFA (risque de prise de contrôle immédiat).
  • Réutiliser un mot de passe « fort » sur plusieurs sites (une fuite ailleurs suffit).
  • Changer uniquement un caractère de l’adresse sans désactiver l’ancienne pour la connexion.
  • Conserver indéfiniment des « app passwords » inutilisés.
  • Publier votre alias principal (perte de l’avantage principal de la stratégie).

FAQ rapide (Outlook/Hotmail)

Q : « J’ai fait tout cela, mais les tentatives continuent‑elles ? »
R : Probablement oui, mais sans effet. Avec 2FA/clé FIDO2 et un alias principal, l’accès est bloqué et le volume baisse souvent fortement, surtout si l’ancienne adresse ne sert plus d’identifiant.

Q : « Dois‑je porter plainte ? »
R : En cas de menaces ou de pertes (financières, données), oui : conservez les messages, captures d’écran et journaux d’activité. Sinon, le signalement dans Outlook suffit généralement.

Q : « J’utilise des applis anciennes (IMAP/POP) ; que faire ? »
R : Privilégiez des clients modernes avec OAuth/2FA. Si app password nécessaire, créez‑le temporairement, limitez‑le à l’app concernée, puis supprimez‑le.

Conclusion

Les tentatives de connexion non autorisées sur Outlook/Hotmail sont un bruit de fond quasi permanent. Ce bruit n’est pas un piratage réussi : c’est la preuve que votre identifiant circule et qu’il est testé. En revanche, vous avez des leviers très efficaces : 2FA de qualité, passwordless/clé FIDO2, alias principal pour casser la surface d’attaque, et hygiène (mots de passe uniques, appareils à jour, règles Outlook propres). Avec ces mesures, vous reprenez le contrôle en rendant l’accès impossible et en faisant chuter le volume d’alertes.

Outlook
Sommaire