AccountRights.
Faire le diagnostic
AccountRights.
English EN Français FR Italiano IT
Faire le diagnostic Mon espace
Account Takeover Microsoft 365 Phishing GDPR Recovery

Compte Microsoft volé par vol de jeton ? Comment le détecter et le récupérer

Le FBI a alerté sur des kits d'hameçonnage qui contournent la double authentification en volant les jetons de connexion. Comment savoir si votre compte Microsoft a été piraté, les étapes de récupération qui marchent, et quand escalader.

AC
AccountRights Legal Research
11 min

Compte Microsoft volé par vol de jeton ? Comment le détecter et le récupérer

En mai 2026, le FBI a pris la mesure inhabituelle de publier un avertissement public au sujet d'un seul kit d'hameçonnage. Les chercheurs en sécurité de Malwarebytes l'ont également documenté : une plateforme d'hameçonnage-en-tant-que-service surnommée « Kali365 » qui détourne les comptes Microsoft 365 non pas en volant votre mot de passe, mais en volant le jeton de connexion que votre compte utilise pour rester authentifié.

Cette distinction est tout le problème. Comme l'attaquant repart avec le jeton plutôt qu'avec le mot de passe, votre authentification multifacteur ne l'arrête pas — le code ou l'approbation par application a déjà eu lieu. Et parce que le jeton volé maintient votre session « mémorisée », il peut rester dans votre Outlook, votre OneDrive et votre Teams pendant longtemps, discrètement, sans jamais se reconnecter.

On est tenté de classer cela parmi les « problèmes informatiques d'entreprise ». Ce n'est pas que cela. La même astuce fonctionne contre toute personne disposant d'un Outlook personnel ou d'un abonnement Microsoft 365. Si vous pensez que votre compte a été détourné de cette manière, voici comment le confirmer et quoi faire.

Comment savoir si votre compte a réellement été piraté

Le vol de jeton est conçu pour être discret, les signes sont donc souvent ténus. L'un quelconque d'entre eux mérite un examen plus attentif :

  • Un appareil ou une connexion que vous ne reconnaissez pas lorsque vous consultez l'activité de votre compte sur account.microsoft.com/devices.
  • Des e-mails dans votre dossier Envoyés que vous n'avez jamais écrits, ou des messages qui ont disparu de votre boîte de réception.
  • De nouvelles règles de boîte de réception que vous n'avez pas créées — en particulier celles qui transfèrent votre courrier ailleurs ou suppriment automatiquement certains messages. Les attaquants les ajoutent pour continuer à lire votre courrier et masquer les notifications de réinitialisation de mot de passe.
  • Des alertes de réinitialisation de mot de passe ou de sécurité pour d'autres comptes (votre banque, vos réseaux sociaux) que vous n'avez pas demandées, ce qui peut signifier que quelqu'un utilise votre messagerie comme point de rebond.
  • Des contacts qui vous signalent avoir reçu un étrange « document partagé » ou une demande de connexion provenant de votre adresse.

Si vous constatez ces signes, considérez le compte comme compromis et agissez vite. Avec le vol de jeton, le temps compte plus que d'habitude, car l'accès de l'intrus ne dure que tant que le jeton volé reste valide — et votre travail consiste à l'invalider.

La procédure de récupération, étape par étape

Faites-le depuis un appareil de confiance dont vous savez qu'il est sain, et non depuis celui que vous suspectez d'avoir été impliqué.

  1. Changez votre mot de passe — mais sachez que cela ne suffit pas à soi seul. Réinitialiser le mot de passe est la première étape, mais un jeton de session volé peut parfois survivre à un changement de mot de passe. C'est pourquoi l'étape suivante compte tout autant.
  2. Déconnectez-vous partout et révoquez les sessions actives. Dans les paramètres de sécurité de votre compte Microsoft, utilisez l'option de déconnexion de toutes les sessions et de tous les appareils. Pour un compte professionnel ou scolaire, c'est le moment d'appeler votre administrateur informatique : lui seul peut forcer la révocation des jetons d'actualisation à l'échelle de l'organisation et expulser définitivement l'intrus.
  3. Supprimez les appareils et applications connectées inconnus. Passez en revue les appareils répertoriés sous votre compte et supprimez tous ceux que vous ne reconnaissez pas. Vérifiez ensuite quelles applications tierces ont l'autorisation d'accéder à votre compte, et révoquez tout ce qui vous est inconnu — un consentement accordé à une application malveillante est un moyen courant pour les attaquants de se maintenir.
  4. Revérifiez et réinitialisez votre authentification multifacteur. Examinez les entrées d'authentificateur et les numéros de téléphone enregistrés pour la sécurité. Supprimez tout ce que vous n'avez pas ajouté, et réenregistrez les vôtres.
  5. Traquez les règles de boîte de réception cachées. Parcourez attentivement vos règles de courrier et vos paramètres de transfert et supprimez tout ce que vous n'avez pas configuré. C'est l'étape que les gens oublient, et c'est exactement ainsi qu'un attaquant continue de lire votre courrier après que vous avez changé le mot de passe.
  6. Vérifiez que votre e-mail et votre téléphone de récupération sont toujours les vôtres. Les attaquants les remplacent souvent pour pouvoir se réintroduire par réinitialisation. Assurez-vous que les deux pointent bien vers vous.
  7. Vérifiez ce qui a été touché. Examinez les liens de partage OneDrive et SharePoint, et parcourez votre messagerie à la recherche d'indices sur ce qui a été lu ou envoyé, afin de savoir qui d'autre doit être averti.

Signalez-le

Le signalement ne restaurera pas votre compte à lui seul, mais il crée une trace dont vous pourriez avoir besoin plus tard. Aux États-Unis, le FBI reçoit les signalements via son Internet Crime Complaint Center (ic3.gov). Dans l'UE, signalez-le à votre unité nationale de cybercriminalité, et — parce que les comptes de messagerie contiennent des données personnelles — vous pouvez aussi en saisir votre autorité nationale de protection des données, en particulier si la violation a exposé des informations concernant d'autres personnes.

Quand la récupération bloque — et où AccountRights intervient

La plupart des détournements de compte peuvent être défaits avec les étapes ci-dessus. Certains non. Vous pouvez vous retrouver avec un compte bloqué dans une boucle de vérification, « sécurisé » par l'attaquant avec des informations de récupération devenues les siennes, ou tout simplement inaccessible parce que le processus de récupération automatisé du fournisseur continue de vous rejeter. C'est le même mur que rencontrent les personnes dont les comptes Facebook et Instagram ont été piratés : les outils en libre-service s'épuisent, et il n'y a aucun humain en face.

Pour être clairs sur ce que nous faisons et ne faisons pas : AccountRights n'est pas un support technique. Nous ne pouvons pas réinitialiser votre mot de passe ni vous reconnecter, et les étapes ci-dessus sont toujours le bon point de départ. Là où nous intervenons, c'est à l'étape d'après — lorsqu'un propriétaire légitime a tout fait correctement et que le compte reste hors de portée, ou lorsque la perte a causé un préjudice réel.

À ce stade, les leviers passent du technique au juridique. En vertu du RGPD, vous disposez d'un droit d'accès aux données qu'un fournisseur détient à votre sujet et aux décisions affectant votre compte, ce qui peut faire passer l'affaire sur un bureau juridique plutôt que dans une file d'attente automatisée et révéler ce qui s'est réellement passé. Selon les faits et votre pays, d'autres voies peuvent s'appliquer. Notre diagnostic gratuit évalue, en moins de cinq minutes, si votre situation a le mérite juridique pour escalader — et si c'est le cas, nous vous mettons en relation avec un avocat partenaire indépendant qui traite directement avec le service juridique du fournisseur. Vous contractez vous-même avec cet avocat et voyez ses honoraires par écrit avant tout travail.

Démarrer mon diagnostic gratuit

La meilleure récupération, c'est de ne pas en avoir besoin

Il vaut la peine de répéter l'unique habitude qui déjoue toute cette catégorie d'attaque : ne saisissez jamais un code de connexion sur une page Microsoft simplement parce qu'un e-mail, un partage de document ou une invitation Teams vous l'a demandé. Faites-le uniquement lorsque vous avez initié la connexion, sur votre propre appareil. Ralentissez, lisez l'invite, et méfiez-vous des demandes de connexion inattendues même lorsque la page semble parfaitement légitime — avec cette arnaque, la page est véritablement celle de Microsoft. C'est ce qui la rend efficace.

Avertissement : AccountRights n'est pas un cabinet d'avocats, n'est pas un service de support technique et ne fournit pas de conseil juridique. Cet article est une information générale, et non un conseil sur votre situation particulière ; il s'appuie sur des informations publiques du FBI et de Malwarebytes. Les résultats dépendent des faits de chaque cas et ne sont jamais garantis. Pour un conseil, consultez un avocat qualifié.

Sources

Votre dossier a-t-il des chances ?

Notre diagnostic gratuit vérifie si votre dossier réunit les éléments nécessaires pour un recours. L'analyse juridique est réalisée par l'avocat partenaire.

Faire le diagnostic
Avertissement juridique : Cet article fournit une information juridique générale et ne constitue pas un avis juridique personnalisé. Seul un avocat inscrit au barreau peut évaluer votre situation spécifique. Pour vérifier si votre dossier réunit les éléments nécessaires, utilisez notre outil de diagnostic ou contactez directement un avocat partenaire.

N'attendez pas que la plateforme agisse.

Chaque jour où votre compte reste bloqué, les preuves deviennent plus difficiles à réunir et les délais se rapprochent. Lancez votre diagnostic gratuit maintenant.

Faire le diagnostic