Vous subissez des échecs de connexion à répétition sur votre compte Microsoft ? Voici une méthode concrète pour neutraliser ces attaques, sécuriser vos alias Outlook/Hotmail et réduire fortement le risque d’intrusion, même si les tentatives persistent toutes les heures.
Tentatives de connexion malveillantes et répétées à un compte Microsoft
Problème
Un·e utilisateur·rice constate, depuis plusieurs jours, des échecs de connexion à son compte Microsoft environ une fois par heure, depuis des adresses IP et des régions variables. Le mot de passe a été changé récemment et la double authentification (2FA) est activée, mais les tentatives se poursuivent.
Ce qu’il faut comprendre avant d’agir
- Le bruit d’Internet est permanent : des robots testent en masse des combinaisons d’identifiants, via proxys/VPN, d’où des IP et régions changeantes.
- 2FA bloque l’essentiel : si votre seconde étape est robuste (appli d’authentification, clé FIDO2, Windows Hello), un mot de passe volé ne suffit pas.
- La surface d’attaque se réduit côté identifiant : si l’adresse utilisée pour se connecter est connue des attaquants, vous pouvez en changer sans perdre le courrier entrant.
Solution détaillée, étape par étape
Créer un nouvel alias et le définir comme alias principal
- Dans les paramètres du compte, ouvrez Alias ou Gérer la façon dont vous vous connectez à Microsoft.
- Ajoutez une seconde adresse (ex.
user-securise@outlook.com), validez-la, puis définissez-la alias principal.
Pourquoi ? L’alias principal devient le nouvel identifiant public. Vous conservez l’ancien pour recevoir du courrier sans l’exposer comme identifiant de connexion.
Désactiver l’autorisation de connexion pour l’ancien alias compromis
- Dans Préférences de connexion, décochez l’ancien alias de la liste des identifiants autorisés.
- Testez aussitôt : une connexion avec l’ancien alias doit être refusée (mais l’adresse reste valide pour recevoir des e‑mails).
Important : ne supprimez pas l’ancien alias si vous souhaitez continuer à recevoir les messages destinés à cette adresse (Outlook/Hotmail/Live/MSN, etc.).
Renforcer la double authentification
- Préférez Microsoft Authenticator (ou une clé FIDO2/passkey) au SMS, vulnérable au SIM‑swapping.
- Supprimez tout mot de passe d’application obsolète dans les options de sécurité avancées.
Désactiver les accès hérités qui contournent parfois la 2FA
- Compte personnel (Outlook.com) : mettez POP hors service dans Paramètres > Courrier > Synchroniser le courrier. Utilisez des clients qui prennent en charge OAuth pour IMAP/SMTP et ne créez pas de mots de passe d’application.
- Compte professionnel/éducation : demandez l’application de politiques qui interdisent IMAP/POP/SMTP AUTH hérités et exigent l’authentification moderne (MFA), ou activez des stratégies équivalentes dans l’annuaire (Entra ID).
Surveiller l’activité du compte
- Consultez régulièrement Historique des activités : vérifiez qu’aucune connexion suspecte n’a réussi.
- Activez les notifications de connexion pour être alerté·e en temps réel lors d’un accès depuis un nouvel appareil ou une localisation inhabituelle.
Révoquer les sessions et les autorisations tierces
- Paramètres > Sécurité > Applications et sessions : déconnectez les sessions inconnues et retirez les applications que vous n’utilisez plus.
- Supprimez les mots de passe d’application encore actifs et regénérez‑les uniquement si nécessaire pour un logiciel compatible OAuth.
Analyser tous les appareils utilisés
- Exécutez un antivirus et un anti‑spyware complets (idéalement un scan hors ligne).
- Si un doute persiste (symptômes d’infection, règles mail étranges qui reviennent), envisagez une réinstallation du système le plus critique.
Plan d’action synthétique
| Étape | Objectif | Où effectuer l’action |
|---|---|---|
| Créer un alias secondaire | Changer d’identifiant exposé | Compte Microsoft > Alias |
| Le définir comme principal | Fixer le nouvel identifiant | Compte Microsoft > Alias > Définir principal |
| Interdire la connexion via l’ancien alias | Neutraliser l’identifiant compromis | Préférences de connexion > décocher l’ancien |
| Renforcer la 2FA | Bloquer l’accès même si le mot de passe fuit | Options de sécurité > Authenticator / FIDO2 |
| Désactiver POP et l’auth héritée | Empêcher le contournement de la 2FA | Paramètres Outlook > Synchroniser le courrier |
| Révoquer sessions et apps | Couper les accès persistants | Paramètres > Sécurité > Applications et sessions |
| Scanner vos appareils | Éliminer un keylogger/Trojan local | Antivirus/anti‑spyware (scan complet) |
Contrôles rapides à faire en 15 minutes
- Changer immédiatement de mot de passe pour un mot de passe unique et robuste (gestionnaire recommandé).
- Passer l’Authenticator en méthode par défaut et désactiver le SMS s’il n’est pas nécessaire.
- Vérifier Historique des activités : qu’aucune connexion inconnue ne soit marquée « Réussie ».
- Interdire la connexion via l’ancien alias et tester le refus de connexion.
- Mettre POP sur Désactivé, supprimer d’anciens mots de passe d’app.
Alias de remplacement de nouveau ciblé après quelques jours
Problème
Trois jours après la création d’un nouvel alias et la désactivation de l’ancien pour la connexion, des tentatives de connexion apparaissent déjà sur cette nouvelle adresse pourtant jamais utilisée ailleurs.
Pistes d’explication et mesures supplémentaires
Fuite de données en amont
L’adresse secondaire a pu être divulguée (violation de données, carnet d’adresses compromis, inscription sur un site vulnérable). Vérifiez si votre adresse circule dans des ensembles de données pirates via un service réputé de vérification de fuites.
- Si elle apparaît dans une fuite, remplacez‑la par un alias non prévisible et unique (ex. concaténation de mots aléatoires).
- Changez les mots de passe des services où cette adresse sert d’identifiant.
Deviner l’alias
Si l’alias suit un motif commun (initiales+année, prénom.nom, etc.), des scripts peuvent le deviner. Choisissez un alias peu évident : par exemple un nom d’utilisateur de 12–16 caractères mélangeant lettres et chiffres, facile à retenir mais difficile à prédire.
Infection locale toujours active
Les tentatives montrent que l’attaquant connaît l’identifiant, mais pas le mot de passe. Un keylogger ou un cheval de Troie peut continuer à collecter vos adresses et tentatives de connexion.
- Effectuez un scan hors ligne (démarrage sécurisé) sur vos PC, et un audit antivirus sur macOS et Android/iOS.
- Si des symptômes persistent (ralentissements, extensions inconnues, exécution au démarrage), réinstallez le système le plus exposé.
Règles de boîte mail et accès délégués
Un attaquant peut avoir ajouté une redirection ou accordé un accès IMAP à un tiers avant d’être bloqué.
- Dans Outlook.com, passez en revue Paramètres > Courrier > Règles et Transfert : supprimez toute règle inconnue.
- Vérifiez les Accès partagés et la liste des applications autorisées dans la sécurité du compte.
Protection proactive
Activez ou demandez l’activation de protections de plateforme qui détectent et bloquent automatiquement les accès anormaux et le password spraying (verrouillage intelligent, exigences de MFA renforcées, politiques d’accès conditionnel pour les comptes d’organisation).
Tableau décisionnel : cause probable → action recommandée
| Signal observé | Cause la plus probable | Action corrective |
|---|---|---|
| Tentatives depuis pays multiples, rythme constant | Bots & scans d’énumération | Changer d’alias, interdire l’ancien, 2FA forte, POP off |
| Nouveau alias ciblé en < 72 h | Alias prévisible ou dans une fuite | Créer un alias non devinable, vérifier présence dans fuites |
| Alertes reprenant après chaque nettoyage | Infection locale (keylogger) | Scan hors ligne, réinstallation si doute |
| Messages sortants inconnus / règles créées | Accès IMAP/SMTP ou délégué | Supprimer règles, révoquer apps, forcer reconnexions |
| Connexion « Réussie » sans MFA | Protocole hérité ou app password | Désactiver POP/IMAP hérités, supprimer app passwords |
Mesures complémentaires très efficaces
- Passkeys et FIDO2 : si disponibles, enregistrez une clé de sécurité ou Windows Hello. Vous obtenez une expérience sans mot de passe, résistante au hameçonnage.
- Gestionnaire de mots de passe : stockez un mot de passe long, unique (≥ 16 caractères) et activez l’audit de réutilisation.
- Adresses d’alias segmentées : réservez un alias privé pour la connexion et un alias public pour l’inscription aux sites. Évitez d’utiliser l’alias de connexion en dehors de Microsoft.
- Plus‑addressing (
user+site@outlook.com) : utile pour filtrer le courrier, mais à éviter comme identifiant de connexion.
Vérifications spécifiques selon le type de compte
| Contexte | Réglages clés | Résultat attendu |
|---|---|---|
| Compte personnel Outlook.com | Alias principal, 2FA via Authenticator, POP = Désactivé, pas de mot de passe d’app, vérif. règles/transfert | Aucune connexion via l’ancien alias, attaques échouent même si mot de passe fuit |
| Compte Microsoft 365 (travail/école) | Politiques pour bloquer IMAP/POP/SMTP AUTH hérités, MFA obligatoire, accès conditionnel, blocage géo/IP si pertinent | Réduction massive des échecs, quasi‑impossibilité de contourner la MFA |
Que faire si une connexion suspecte a réussi ?
- Forcer la déconnexion de toutes les sessions et réinitialiser le mot de passe depuis un appareil sain.
- Révoquer les jetons d’authentification, supprimer les mots de passe d’app, invalider les appareils approuvés.
- Auditer : dossiers envoyés, règles et transferts, applications autorisées, connexions récentes.
- Scanner les appareils et mettre à jour l’OS/navigateurs.
- Informer vos contacts si un envoi malveillant a pu partir.
Erreurs fréquentes à éviter
- Supprimer l’ancien alias : vous perdez définitivement l’adresse et les messages entrants.
- Conserver le SMS comme méthode 2FA principale alors qu’une application d’authentification est disponible.
- Oublier d’interdire l’ancien alias dans les Préférences de connexion : il reste exploitable comme identifiant.
- Réutiliser le même mot de passe entre plusieurs sites.
- Ignorer POP : même sans l’utiliser, s’il est activé, un ancien client peut contourner la MFA via un mot de passe d’app.
Exemple de journal d’activité à interpréter
Date/heure État Localisation (approx.) Application/Protocole --------------------------------------------------------------------------- 2025-09-26 03:14 Échec VN, HCM Web/Unknown 2025-09-26 04:12 Échec NL, AMS IMAP (hérité) 2025-09-26 05:10 Échec US, SJC Web/Browser 2025-09-26 06:08 Échec RU, MOW SMTP AUTH (hérité) 2025-09-26 06:42 Réussi FR, PAR Appareil reconnu + MFA OK
Lecture : si vous voyez des lignes « IMAP/SMTP AUTH (hérité) », votre priorité est d’interdire ces protocoles et de supprimer les mots de passe d’application. Les échecs web standard avec MFA active sont généralement inoffensifs.
Procédure exhaustive, pas à pas
- Connexion aux paramètres du compte : ouvrez la page de gestion du compte Microsoft, puis la section Sécurité.
- Alias : ajoutez un alias, confirmez-le et définissez-le comme principal.
- Préférences de connexion : désactivez l’ancien alias pour la connexion (il reste valide pour recevoir des e‑mails).
- MFA : définissez Microsoft Authenticator comme méthode par défaut ; ajoutez une clé FIDO2 si possible.
- App passwords : supprimez tout mot de passe d’application non indispensable.
- POP/IMAP : désactivez POP côté Outlook.com ; pour les comptes d’organisation, appliquez des politiques bloquant IMAP/POP/SMTP AUTH hérités.
- Règles et transferts : supprimez toute redirection non voulue et toute règle inconnue.
- Sessions : fermez les sessions actives suspectes et révoquez les autorisations d’apps inutiles.
- Audit des appareils : antivirus complet, mise à jour OS, navigateur, extensions, et suppression des programmes au démarrage non reconnus.
- Suivi : vérifiez quotidiennement l’Historique des activités pendant quelques jours, puis hebdomadairement.
FAQ rapide
Pourquoi les tentatives continuent‑elles après tous ces réglages ?
Parce que les robots essaient des listes d’adresses massives sans « savoir » que vous avez changé d’alias. C’est du bruit. Votre objectif est que toutes ces tentatives échouent sans impact.
Puis‑je empêcher totalement les tentatives ?
Non : on ne contrôle pas Internet. En revanche, vous pouvez faire en sorte que chaque tentative soit inoffensive (MFA, alias non devinable, protocoles hérités désactivés, sessions révoquées).
Changer d’alias casse‑t‑il mes services Microsoft ?
Non : une fois l’alias principal défini, connectez‑vous avec ce nouvel identifiant. L’ancien alias continue à recevoir du courrier si vous ne le supprimez pas.
Dois‑je supprimer l’ancien alias ?
Généralement non. Désactivez simplement son droit de connexion. La suppression coupe définitivement la réception vers cette adresse.
Le SMS est‑il suffisant comme 2FA ?
Mieux que rien, mais l’application d’authentification ou une clé FIDO2 est plus sûre contre l’échange de carte SIM, l’ingénierie sociale et le phishing.
Checklist finale
- Alias principal neuf, ancien alias interdit à la connexion.
- 2FA via Authenticator ou FIDO2, pas de SMS par défaut.
- POP désactivé, IMAP/SMTP hérités bloqués (ou politiques équivalentes en entreprise).
- Mots de passe d’application supprimés.
- Règles/transferts contrôlés, sessions et applications tierces révoquées.
- Antivirus complet sur tous les appareils, mises à jour appliquées.
- Historique des activités suivi sur quelques jours.
Conclusion
En combinant un nouvel alias défini comme identifiant principal, l’interdiction de connexion via l’ancien alias, une 2FA solide, la désactivation des protocoles hérités, la révocation des sessions/applications et un audit des appareils, la majorité des attaques se limitent à des échecs, sans progression possible vers la compromission. Vous conservez votre adresse historique pour la réception, tout en fermant la porte côté authentification. C’est la stratégie la plus efficace pour faire taire le bruit sans sacrifier la continuité de vos communications.