Vous voyez « Sélectionnez le numéro correct » lors de la connexion à Outlook/Hotmail ? Voici l’origine de cette vérification, son niveau de sécurité, comment la maîtriser, la désactiver si besoin et quelles alternatives choisir.
Pourquoi cette vérification apparaît‑elle ?
Depuis le passage accéléré aux connexions sans mot de passe, Microsoft propose une confirmation baptisée number matching (en français : sélection du numéro correct). Au lieu de saisir un mot de passe, vous autorisez la connexion depuis votre téléphone : le navigateur affiche un nombre aléatoire et l’application d’authentification (Microsoft Authenticator ou, dans certains cas, l’application Outlook Mobile configurée pour agir comme authentificateur) vous présente plusieurs chiffres. Vous validez en appuyant sur le bon.
Ce mécanisme remplace l’ancien « Valider/Refuser » par un défi léger : il empêche la validation par réflexe, réduit la fatigue MFA et complique l’abus de notifications. Pour les comptes Outlook/Hotmail (comptes personnels Microsoft), la disponibilité a été déployée progressivement à partir de début 2024. Sur les environnements professionnels/éducation, le number matching s’est généralisé plus tôt et est devenu la valeur par défaut dans Microsoft Authenticator.
Comment cela fonctionne, exactement ?
- Vous entrez votre adresse Outlook/Hotmail sur la page de connexion.
- Au lieu d’un champ « Mot de passe », la page affiche « Vérifiez que c’est bien vous » avec un nombre à saisir sur votre téléphone.
- Votre téléphone reçoit une notification de Microsoft Authenticator ou d’Outlook Mobile ; ouvrez‑la.
- Trois choix de chiffres s’affichent. Touchez le nombre identique à celui du navigateur. Selon vos réglages, vous devrez peut‑être confirmer par biométrie/PIN du téléphone.
- La session web se connecte ; si vous cochez « Rester connecté », l’étape ne reviendra pas à chaque visite sur ce navigateur, sauf action sensible ou changement de contexte.
À retenir : il n’y a pas de code secret statique et le chiffre n’a de sens que pendant cette tentative de connexion. Si quelqu’un vous appelle ou vous envoie un message pour « vous aider » à vous connecter en vous dictant un nombre, coupez la communication : c’est typiquement une manœuvre d’ingénierie sociale.
Origine, disponibilité et calendrier
- Phase entreprise/éducation : le number matching est devenu le comportement recommandé, puis activé par défaut, pour remplacer les notifications « Valider/Refuser » jugées trop faciles à accepter par erreur.
- Comptes personnels Outlook/Hotmail : la connexion sans mot de passe via Authenticator/Outlook Mobile, incluant le number matching, a été ouverte au grand public début 2024 avec un déploiement échelonné par régions et par appareils.
- Aujourd’hui : si vous avez configuré Microsoft Authenticator ou si vous avez activé « connexion sans mot de passe » dans votre compte, la page peut sauter l’étape « mot de passe » et vous proposer directement la sélection de numéro.
Les libellés exacts peuvent varier selon la langue du compte, la plateforme (web, iOS, Android) et l’historique de vos méthodes d’authentification.
Ce que cela change pour votre sécurité
Le number matching n’est pas qu’un relooking de la notification ; c’est un renforcement qui réduit les validations accidentelles et les attaques par bombardement de push. Voici une comparaison synthétique avec les autres options courantes.
| Méthode | Points forts | Menaces neutralisées | Limites | Niveau de sécurité |
|---|---|---|---|---|
| Clé de sécurité FIDO2/NFC/USB | Facteur matériel dédié, anti‑phishing par design, très rapide, utilisable sans réseau mobile. | Hameçonnage, replay, attaques de consentement, vol de mot de passe. | Nécessite un support matériel et un navigateur compatible ; gestion physique de la clé. | Très élevé |
| Microsoft Authenticator avec number matching | Sans mot de passe, confirmation contextuelle, intègre la biométrie du téléphone. | Fatigue MFA, validation par réflexe, attaques de push non ciblées. | Dépend du smartphone et des notifications ; moins robuste qu’une clé FIDO2 dédiée. | Élevé |
| Code TOTP (appli OTP) | Hors ligne, interopérable avec de nombreuses applis, simple à sauvegarder. | Vol de mot de passe, interception SMS. | Phishing possible via sites miroirs, codes réutilisables quelques secondes. | Élevé à moyen |
| Notification « Valider/Refuser » (ancien modèle) | Très simple et rapide. | — | Risque élevé de validations par erreur ou sous pression (fatigue MFA). | Moyen |
| Code par SMS/E‑mail | Accessible à tous, sans appli dédiée. | — | Vulnérable au SIM swap, au phishing et au détournement de boîtes e‑mail. | Moyen à faible |
| Mot de passe seul | Compatibilité universelle. | — | Secrets statiques volables, réutilisation, keyloggers, fuites de bases. | Faible |
Conclusion sécurité : si votre priorité est la protection maximale contre le phishing, enregistrez au moins une clé FIDO2 comme méthode principale, et conservez le number matching comme solution pratique et sûre au quotidien. Évitez de reposer uniquement sur SMS/e‑mail.
Choisir une autre méthode au moment de la connexion
Vous n’êtes pas obligé d’utiliser la sélection de numéro à chaque fois. Au moment où l’écran « Vérifiez que c’est bien vous » apparaît :
- Cliquez sur Options de connexion (ou Utiliser une autre méthode selon l’interface).
- Choisissez Utiliser un mot de passe, Utiliser une clé de sécurité, Code d’application (TOTP), Appel téléphonique ou une autre méthode disponible sur votre compte.
- Si la liste est courte, c’est que vous n’avez enregistré que peu de méthodes ; ajoutez‑en d’autres dans les paramètres de sécurité du compte (voir section suivante).
Astuce : quand la page vous montre votre adresse et la roue dentée/« Options de connexion », explorez ce menu ; l’option « Mot de passe » y figure quasi toujours, sauf si votre organisation l’a explicitement désactivée pour les connexions professionnelles.
Désactiver totalement le « numéro‑choix »
Si vous souhaitez revenir durablement à un mot de passe ou à une clé physique, vous pouvez désactiver la connexion sans mot de passe et/ou retirer Microsoft Authenticator de vos méthodes. Procédez avec prudence : ne supprimez jamais la dernière méthode d’accès, au risque de vous verrouiller hors de votre compte.
Étapes côté compte Outlook/Hotmail (compte personnel)
- Ouvrez le Portail sécurité Microsoft depuis votre compte (rubrique Compte Microsoft > Sécurité > Informations de sécurité / Méthodes de connexion).
- Dans Méthodes de connexion :
- Désactivez l’option Connexion sans mot de passe si elle est active.
- Ou supprimez Microsoft Authenticator de la liste des méthodes.
- Vérifiez qu’au moins une autre méthode reste présente (mot de passe fort, clé de sécurité FIDO2, application de codes TOTP).
- Enregistrez une seconde méthode de secours (par exemple, une seconde clé FIDO2, un autre téléphone avec TOTP, ou des codes de récupération).
- Sur votre téléphone, ouvrez l’appli Authenticator :
- Désactivez la connexion sans mot de passe pour ce compte si elle apparaît dans les options.
- Ou supprimez le compte de l’appli si vous ne souhaitez plus recevoir de notifications.
Cas des comptes professionnels/éducation (organisation)
Si votre adresse appartient à une organisation (compte professionnel/éducation), certaines politiques de sécurité peuvent imposer le number matching et/ou interdire le mot de passe. Dans ce cas, contactez votre administrateur : lui seul peut modifier la stratégie (par exemple exiger une clé FIDO2). Les options affichées à l’écran reflètent la politique de l’entreprise.
Scénarios particuliers et compatibilités
- Outlook Mobile comme authentificateur : si vous avez connecté votre compte dans Outlook pour Android, l’application peut servir d’approbateur MFA (number matching). Assurez‑vous que les notifications sont autorisées et que le téléphone est protégé par code/biométrie.
- Appareils ou logiciels anciens (IMAP/POP/SMTP) : certains multifonctions, scripts ou clients mail hérités ne comprennent pas la connexion sans mot de passe. Utilisez un mot de passe d’application dédié, généré dans les paramètres de sécurité de votre compte, et conservez‑le de manière sûre.
- « Rester connecté » : même si vous cochez l’option, le système peut redemander une confirmation si vous changez d’adresse IP, de navigateur, si vous effacez les cookies, ou avant une action à risque (changement de mot de passe, ajout de méthode, etc.).
- Utilisation hors ligne : le number matching nécessite le déverrouillage du téléphone ; si les notifications manquent (absence de données), ouvrez l’appli Authenticator manuellement pour récupérer la demande en attente. En l’absence totale de réseau, préférez TOTP ou une clé FIDO2.
Dépannage rapide
| Symptôme | Cause probable | Solution |
|---|---|---|
| Le nombre n’apparaît pas sur le téléphone. | Version trop ancienne d’Authenticator/Outlook, notifications bloquées, compte mal enregistré. | Mettez à jour l’appli, réactivez les notifications, ouvrez Authenticator pour forcer la synchronisation, réinscrivez le compte si nécessaire. |
| Je ne reçois aucune notification. | Économie d’énergie, données désactivées, mode avion, profil Dual‑SIM mal priorisé. | Désactivez les optimisations agressives, autorisez les données en arrière‑plan, ajoutez Authenticator en application non restreinte, ou ouvrez l’appli manuellement. |
| Le TOTP est toujours « incorrect ». | Horloge du téléphone désynchronisée ou compte TOTP mal ajouté. | Réglez la date/heure en automatique, resynchronisez l’heure ; supprimez et réenregistrez le compte TOTP à partir d’un QR code à jour. |
| Je reçois des demandes à répétition (fatigue MFA). | Tentative d’intrusion avec bombardement de push. | Refusez tout, changez le mot de passe du compte, révoquez les sessions actives, activez FIDO2 et/ou imposez la biométrie. Envisagez une alerte de sécurité. |
| Je n’ai plus accès à mon téléphone. | Téléphone perdu, volé ou réinitialisé. | Utilisez vos codes de récupération, votre seconde méthode (clé FIDO2/TOTP sur un autre appareil), puis supprimez l’ancien téléphone des méthodes et des appareils de confiance. |
| L’option « Utiliser un mot de passe » n’apparaît pas. | Politique d’entreprise, ou compte personnel basculé en mode sans mot de passe. | Sur compte perso : réactivez temporairement le mot de passe depuis les méthodes de connexion. Sur compte pro/éducation : contactez l’administrateur. |
Bonnes pratiques pour un compte Outlook/Hotmail bien protégé
- Activez la MFA et maintenez au moins deux méthodes différentes (par exemple : une clé FIDO2 + Authenticator).
- Enregistrez deux clés FIDO2 (principale et secours), et rangez la seconde dans un endroit sûr.
- Générez des codes de récupération et stockez‑les hors ligne (coffre‑fort, gestionnaire de mots de passe).
- Verrouillez et chiffrez votre téléphone (PIN/biométrie) ; Authenticator s’appuie sur cette protection locale.
- Évitez le SMS comme unique facteur d’authentification, surtout si vous voyagez ou si votre numéro est exposé publiquement.
- Surveillez les notifications : refusez toute demande que vous n’êtes pas à l’origine de déclencher.
- Nettoyez les appareils de confiance après vente/perte/remplacement (sessions, navigateurs « Rester connecté », anciennes clés).
- Préparez un plan d’urgence (perte/vol) : deuxième appareil avec TOTP, codes papier, contact de récupération à jour.
- Vérifiez régulièrement vos méthodes de connexion et mettez à jour le nom des appareils pour les reconnaître facilement.
- Formez‑vous au phishing : même avec number matching, ne validez jamais une demande inattendue.
FAQ ciblée
La sélection du numéro est‑elle plus sûre qu’un mot de passe ?
Oui : elle supprime le secret statique (mot de passe) et associe la tentative à votre téléphone déverrouillé. C’est plus robuste qu’un simple mot de passe et qu’un push « Valider/Refuser ». Une clé FIDO2 reste toutefois la référence en matière d’anti‑phishing.
Puis‑je l’ignorer et saisir mon mot de passe ?
Souvent oui, en cliquant sur Options de connexion puis Utiliser un mot de passe. Si l’option n’est pas proposée, activez temporairement le mot de passe côté Méthodes de connexion ou contactez l’administrateur (compte professionnel/éducation).
Est‑ce la même chose que le push Authenticator classique ?
Non. L’ancien push demandait seulement « Valider/Refuser ». Le number matching ajoute un défi (sélection du bon chiffre) et bloque la validation par automatisme.
Comment désactiver complètement cette méthode ?
Dans les Méthodes de connexion de votre compte, désactivez la connexion sans mot de passe et/ou supprimez Microsoft Authenticator. Conservez au moins une méthode alternative (FIDO2 ou TOTP), et générez des codes de récupération. Sur compte géré par une organisation, seule l’équipe informatique peut modifier la politique.
Que se passe‑t‑il si je me trompe de numéro ?
Rien de grave : l’accès est simplement refusé pour cette tentative, et un court délai s’applique entre deux essais. Le nombre change à chaque demande, ce qui rend la force brute irréaliste.
Pourquoi le site me « saute » l’étape du mot de passe ?
Parce que votre compte est en mode sans mot de passe avec l’appareil de confiance (Authenticator/Outlook Mobile). Le système privilégie la méthode jugée la plus sûre et la plus récente. Vous pouvez toujours choisir une autre méthode via Options de connexion, ou rétablir le mot de passe dans les réglages du compte.
Guide pas‑à‑pas : renforcer (ou alléger) vos méthodes
Pour adapter la connexion à votre usage quotidien, voici un parcours conseillé.
- État des lieux : ouvrez les Méthodes de connexion de votre compte et listez ce qui est déjà enregistré (Authenticator, TOTP, clé FIDO2, e‑mail, SMS, etc.).
- Cap sur FIDO2 : si vous possédez une clé de sécurité, enregistrez‑la. Si possible, ajoutez‑en deux (principale et secours).
- Conservez le number matching comme méthode pratique quand la clé n’est pas à portée.
- Ajoutez un TOTP (application d’OTP) pour une solution hors ligne et indépendante des notifications.
- Générez des codes de récupération et stockez‑les hors ligne.
- Optionnel : réactivez le mot de passe si certains appareils anciens l’exigent, mais n’utilisez pas le mot de passe seul.
Tableau récapitulatif : problèmes » solutions
| Problème | Solutions / Bonnes pratiques |
|---|---|
| Comprendre la méthode | Mode de connexion sans mot de passe basé sur Microsoft Authenticator (ou Outlook Mobile) avec number matching. Un nombre aléatoire s’affiche côté navigateur ; l’app propose trois choix, vous sélectionnez le bon. Disponible pour les comptes grand public depuis janvier 2024 (déploiement échelonné). |
| Sécurité comparée | Plus sûr qu’un mot de passe seul (pas de secret statique) ; number matching corrige la validation par réflexe. Moins robuste qu’une clé FIDO2 mais plus pratique. Toujours préférable aux codes par SMS ou e‑mail. |
| Choisir un autre facteur | Sur l’écran de demande, cliquez Options de connexion puis sélectionnez : mot de passe, clé FIDO2/NFC, code TOTP, appel, etc. |
| Désactiver totalement le mode | Dans le Portail sécurité Microsoft, ouvrez Méthodes de connexion ; désactivez la connexion sans mot de passe ou supprimez Authenticator. Vérifiez qu’au moins une autre méthode reste active (mot de passe fort, clé FIDO2, TOTP). |
| Renforcer la sécurité globale | Activez la MFA, enregistrez une ou deux clés FIDO2, conservez Authenticator en secours, protégez chaque appareil par biométrie/PIN et chiffrement. |
| Erreur de numéro | Un mauvais choix bloque simplement la tentative. Le nombre change et l’appli impose un délai ; la force brute est irréaliste. |
Conseils de configuration par appareil
Android
- Autorisez les notifications pour Authenticator/Outlook et excluez‑les des optimisations agressives de batterie.
- Activez le verrouillage d’écran (PIN/biométrie) ; la confirmation vous sera demandée lors de l’approbation.
- Si vous n’aimez pas le number matching, désactivez la connexion sans mot de passe côté compte, ou supprimez temporairement le compte de l’appli.
iOS
- Autorisez Bannières et Alertes pour Authenticator ; activez « Actualisation en arrière‑plan ».
- Vérifiez que Face ID/Touch ID est configuré ; la validation peut l’exiger.
Navigateur desktop
- Gardez un navigateur principal pour « Rester connecté » et évitez de multiplier les profils anonymes si vous voulez réduire les demandes MFA.
- Pour les opérations sensibles (modification de sécurité), attendez‑vous à une reconfirmation, même si la session est active.
Checklist en une minute
- Deux méthodes enregistrées minimum (ex. : FIDO2 + Authenticator).
- Codes de récupération générés et stockés hors ligne.
- Notifications autorisées et fiables sur le téléphone.
- Téléphone verrouillé, chiffré, sauvegardé.
- Appareils de confiance nettoyés régulièrement.
- Formation anti‑phishing et réflexe : ne jamais approuver une demande inattendue.
Points clés à retenir
- Le message « Sélectionnez le numéro correct » est normal et signe une configuration moderne sans mot de passe.
- Il offre une sécurité supérieure au mot de passe seul et aux codes SMS/e‑mail.
- Vous pouvez choisir une autre méthode à la demande ou désactiver totalement ce mode dans vos méthodes de connexion.
- Pour la meilleure protection, adoptez une clé FIDO2 et gardez le number matching comme solution pratique.