<p>Bonjour,</p>
<p>La sécurité des mots de passe sous <strong>Windows 11</strong> est un sujet fondamental qui combine à la fois les paramètres du système d’exploitation, les politiques d’entreprise, et les bonnes pratiques de l’utilisateur. Windows 11 apporte des améliorations significatives par rapport à ses prédécesseurs, notamment grâce à l’intégration renforcée avec <strong>Windows Hello</strong>, <strong>Microsoft Authenticator</strong> et des mécanismes de protection avancée. Cette réponse vous donne une vue complète.</p>
<hr>
<h2><a name="p-34567-tat-de-la-scurit-des-mots-de-passe-dans-windows-11-1" class="anchor" href="#p-34567-tat-de-la-scurit-des-mots-de-passe-dans-windows-11-1" aria-label="Heading link"></a>État de la sécurité des mots de passe dans Windows 11</h2>
<h3><a name="p-34567-ce-qui-a-chang-avec-windows-11-2" class="anchor" href="#p-34567-ce-qui-a-chang-avec-windows-11-2" aria-label="Heading link"></a>Ce qui a changé avec Windows 11</h3>
<p>Windows 11 introduit ou renforce plusieurs mécanismes de protection autour des mots de passe :</p>
<div class="md-table">
<table>
<thead>
<tr>
<th>Fonctionnalité</th>
<th>Windows 10</th>
<th>Windows 11</th>
<th>Impact sécurité</th>
</tr>
</thead>
<tbody>
<tr>
<td>Windows Hello for Business</td>
<td>Disponible</td>
<td>Renforcé, obligatoire sur les appareils compatibles</td>
<td>Très élevé</td>
</tr>
<tr>
<td>Protection contre les attaques par force brute locale</td>
<td>Partielle</td>
<td>Verrouillage après 10 tentatives par défaut (23H2+)</td>
<td>Élevé</td>
</tr>
<tr>
<td>Credential Guard</td>
<td>Éditions Enterprise</td>
<td>Activé par défaut sur appareils compatibles</td>
<td>Très élevé</td>
</tr>
<tr>
<td>Smart App Control</td>
<td>Non disponible</td>
<td>Disponible (23H2+)</td>
<td>Moyen</td>
</tr>
<tr>
<td>Phishing Protection (Protection contre l’hameçonnage)</td>
<td>Non disponible</td>
<td>Disponible via Windows Security</td>
<td>Élevé</td>
</tr>
</tbody>
</table>
</div><hr>
<h2><a name="p-34567-configurer-une-politique-de-mots-de-passe-robuste-3" class="anchor" href="#p-34567-configurer-une-politique-de-mots-de-passe-robuste-3" aria-label="Heading link"></a>Configurer une politique de mots de passe robuste</h2>
<h3><a name="p-34567-via-la-stratgie-de-scurit-locale-pour-les-pc-non-joints-un-domaine-4" class="anchor" href="#p-34567-via-la-stratgie-de-scurit-locale-pour-les-pc-non-joints-un-domaine-4" aria-label="Heading link"></a>Via la Stratégie de Sécurité Locale (pour les PC non joints à un domaine)</h3>
<pre><code class="lang-auto">Accès : Démarrer > Exécuter > secpol.msc
Navigation : Paramètres de sécurité > Stratégies de compte > Stratégie de mot de passe
</code></pre>
<p><strong>Paramètres recommandés :</strong></p>
<div class="md-table">
<table>
<thead>
<tr>
<th>Paramètre</th>
<th>Valeur recommandée</th>
<th>Valeur par défaut Windows</th>
</tr>
</thead>
<tbody>
<tr>
<td>Longueur minimale du mot de passe</td>
<td>12 caractères</td>
<td>0 (aucune)</td>
</tr>
<tr>
<td>Le mot de passe doit respecter des exigences de complexité</td>
<td>Activé</td>
<td>Désactivé</td>
</tr>
<tr>
<td>Durée de vie maximale du mot de passe</td>
<td>90 jours (ou désactivé si MFA)</td>
<td>42 jours</td>
</tr>
<tr>
<td>Durée de vie minimale du mot de passe</td>
<td>1 jour</td>
<td>0 jour</td>
</tr>
<tr>
<td>Conserver l’historique des mots de passe</td>
<td>24 mots de passe</td>
<td>0</td>
</tr>
<tr>
<td>Le compte sera verrouillé après</td>
<td>5 tentatives incorrectes</td>
<td>Non configuré</td>
</tr>
</tbody>
</table>
</div><h3><a name="p-34567-via-powershell-stratgie-locale-5" class="anchor" href="#p-34567-via-powershell-stratgie-locale-5" aria-label="Heading link"></a>Via PowerShell (Stratégie locale)</h3>
<pre data-code-wrap="powershell"><code class="lang-powershell"># Définir la longueur minimale du mot de passe à 12 caractères
net accounts /minpwlen:12
Définir le verrouillage après 5 tentatives incorrectes
net accounts /lockoutthreshold:5
Définir la durée de verrouillage à 30 minutes
net accounts /lockoutduration:30
Afficher la politique actuelle
net accounts
Pour les environnements domaine — via Group Policy (GPMC)
Ordinateur > Configuration Windows > Paramètres de sécurité > Stratégies de compte
</code></pre>
<h3><a name="p-34567-via-le-registre-windows-paramtres-avancs-6" class="anchor" href="#p-34567-via-le-registre-windows-paramtres-avancs-6" aria-label="Heading link"></a>Via le Registre Windows (paramètres avancés)</h3>
<pre data-code-wrap="powershell"><code class="lang-powershell"># Activer la protection contre les attaques de force brute sur les sessions locales
(Windows 11 22H2+ verrouille automatiquement après 10 tentatives par défaut)
Pour forcer le verrouillage du compte Administrateur local également :
$regPath = "HKLM:\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\AccountLockout"
Set-ItemProperty -Path $regPath -Name "MaxDenials" -Value 5 -Type DWord
Vérifier que le compte Administrator local intégré est désactivé
(bonne pratique de sécurité)
net user Administrator /active:no
Créer un compte administrateur local avec un nom non standard
net user "AdminLocal" "MotDePasseComplexe!2024" /add
net localgroup Administrators "AdminLocal" /add
</code></pre>
<hr>
<h2><a name="p-34567-windows-hello-for-business-lalternative-aux-mots-de-passe-7" class="anchor" href="#p-34567-windows-hello-for-business-lalternative-aux-mots-de-passe-7" aria-label="Heading link"></a>Windows Hello for Business — L’alternative aux mots de passe</h2>
<h3><a name="p-34567-pourquoi-passer-windows-hello-8" class="anchor" href="#p-34567-pourquoi-passer-windows-hello-8" aria-label="Heading link"></a>Pourquoi passer à Windows Hello</h3>
<p><strong>Windows Hello</strong> remplace le mot de passe classique par une authentification basée sur :</p>
<ul>
<li><strong>Biométrie</strong> : empreinte digitale, reconnaissance faciale (caméra IR requise)</li>
<li><strong>PIN</strong> : chiffré et lié au TPM (Trusted Platform Module) de l’appareil — le PIN n’est jamais envoyé sur le réseau contrairement au mot de passe</li>
</ul>
<p>L’avantage de sécurité majeur : même si quelqu’un obtient votre PIN, il ne peut pas l’utiliser sur un autre appareil car il est lié au TPM du PC.</p>
<pre data-code-wrap="powershell"><code class="lang-powershell"># Vérifier si le TPM est disponible et activé
Get-Tpm
Vérifier la version du TPM (TPM 2.0 requis pour Windows Hello for Business)
Get-Tpm | Select-Object TpmPresent, TpmReady, TpmEnabled, ManufacturerVersion
Lister les méthodes Windows Hello configurées sur le système
$helloPolicies = Get-ItemProperty "HKLM:\SOFTWARE\Policies\Microsoft\PassportForWork" -ErrorAction SilentlyContinue
</code></pre>
<h3><a name="p-34567-activer-la-protection-contre-lhameonnage-enhanced-phishing-protection-9" class="anchor" href="#p-34567-activer-la-protection-contre-lhameonnage-enhanced-phishing-protection-9" aria-label="Heading link"></a>Activer la Protection contre l’Hameçonnage (Enhanced Phishing Protection)</h3>
<p>Cette fonctionnalité unique à Windows 11 22H2+ avertit l’utilisateur s’il tape son mot de passe Windows dans :</p>
<ul>
<li>Un site web (phishing)</li>
<li>Une application non sécurisée</li>
<li>Un fichier texte (Notepad, etc.)</li>
</ul>
<pre><code class="lang-auto">Activation : Démarrer > Paramètres > Confidentialité et sécurité > Sécurité Windows
Protection contre les applications et les navigateurs > Protection basée sur la réputation
Protection contre l'hameçonnage > Activer
</code></pre>
<pre data-code-wrap="powershell"><code class="lang-powershell"># Activer la protection contre le phishing via PowerShell (GPO ou registre)
$regPath = "HKLM:\SOFTWARE\Policies\Microsoft\Windows\System"
Set-ItemProperty -Path $regPath -Name "EnableSmartScreen" -Value 1 -Type DWord
Activer les avertissements spécifiques contre la réutilisation de mots de passe
$reusePath = "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WTDS\Components"
if (-not (Test-Path $reusePath)) { New-Item -Path $reusePath -Force }
Set-ItemProperty -Path $reusePath -Name "CaptureThreatWindow" -Value 1 -Type DWord
Set-ItemProperty -Path $reusePath -Name "NotifyPasswordReuseEnabled" -Value 1 -Type DWord
Set-ItemProperty -Path $reusePath -Name "NotifyUnsafeAppEnabled" -Value 1 -Type DWord
Set-ItemProperty -Path $reusePath -Name "NotifyMaliciousEnabled" -Value 1 -Type DWord
</code></pre>
<hr>
<h2><a name="p-34567-scuriser-le-gestionnaire-dinformations-didentification-windows-10" class="anchor" href="#p-34567-scuriser-le-gestionnaire-dinformations-didentification-windows-10" aria-label="Heading link"></a>Sécuriser le Gestionnaire d’Informations d’Identification Windows</h2>
<p>Le <strong>Gestionnaire d’Informations d’Identification</strong> (Credential Manager) stocke les mots de passe des sites web et des ressources réseau. Il est important de l’auditer régulièrement.</p>
<pre data-code-wrap="powershell"><code class="lang-powershell"># Lister toutes les informations d'identification stockées dans le Gestionnaire Windows
cmdkey /list
Supprimer une entrée spécifique
cmdkey /delete:nom_du_site_ou_serveur
Exporter les informations d'identification (pour sauvegarde sécurisée)
Via l'interface : Panneau de configuration > Gestionnaire d'informations d'identification
> Informations d'identification Windows > Sauvegarder les informations d'identification
</code></pre>
<hr>
<h2><a name="p-34567-bonnes-pratiques-et-recommandations-11" class="anchor" href="#p-34567-bonnes-pratiques-et-recommandations-11" aria-label="Heading link"></a>Bonnes pratiques et recommandations</h2>
<h3><a name="p-34567-pour-les-particuliers-12" class="anchor" href="#p-34567-pour-les-particuliers-12" aria-label="Heading link"></a>Pour les particuliers</h3>
<ol>
<li><strong>Utilisez un gestionnaire de mots de passe</strong> : Bitwarden (gratuit et open source), 1Password, ou le gestionnaire intégré à Microsoft Edge</li>
<li><strong>Activez Windows Hello</strong> avec la biométrie si votre appareil le supporte</li>
<li><strong>N’utilisez jamais le même mot de passe</strong> sur plusieurs services</li>
<li><strong>Activez la 2FA/MFA</strong> sur tous vos comptes importants (compte Microsoft, email, banque)</li>
</ol>
<h3><a name="p-34567-pour-les-entreprises-active-directory-entra-id-13" class="anchor" href="#p-34567-pour-les-entreprises-active-directory-entra-id-13" aria-label="Heading link"></a>Pour les entreprises (Active Directory / Entra ID)</h3>
<pre data-code-wrap="powershell"><code class="lang-powershell"># Fine-Grained Password Policy — politique de mot de passe granulaire pour des groupes spécifiques
Exemple : politique plus stricte pour les administrateurs
New-ADFineGrainedPasswordPolicy -Name "Politique-Admins" -Precedence 10
-MinPasswordLength 16 -PasswordHistoryCount 24
-MaxPasswordAge "90.00:00:00" -MinPasswordAge "1.00:00:00"
-LockoutThreshold 3 -LockoutDuration "00:30:00"
-LockoutObservationWindow "00:30:00" -ComplexityEnabled $true
-ReversibleEncryptionEnabled $false
Appliquer la politique au groupe Admins
Add-ADFineGrainedPasswordPolicySubject -Identity "Politique-Admins" -Subjects "Domain Admins"
</code></pre>
<h3><a name="p-34567-rcapitulatif-niveaux-de-scurit-14" class="anchor" href="#p-34567-rcapitulatif-niveaux-de-scurit-14" aria-label="Heading link"></a>Récapitulatif — niveaux de sécurité</h3>
<div class="md-table">
<table>
<thead>
<tr>
<th>Niveau</th>
<th>Mesures à mettre en place</th>
</tr>
</thead>
<tbody>
<tr>
<td>Basique</td>
<td>Mot de passe 12+ caractères, verrouillage après 5 tentatives, MFA sur compte Microsoft</td>
</tr>
<tr>
<td>Intermédiaire</td>
<td>Windows Hello activé, Enhanced Phishing Protection, gestionnaire de mots de passe</td>
</tr>
<tr>
<td>Avancé</td>
<td>Credential Guard activé, Fine-Grained Password Policies, Entra ID SSPR, audit des connexions</td>
</tr>
<tr>
<td>Expert</td>
<td>Passwordless (FIDO2), Privileged Identity Management (PIM), Zero Trust Architecture</td>
</tr>
</tbody>
</table>
</div><p>N’hésitez pas à préciser votre contexte (usage personnel ou professionnel, domaine Active Directory, Microsoft 365) pour des recommandations encore plus ciblées.</p>
<hr>
<p><em>Ayi NEDJIMI — Consultant IT & Cybersécurité Microsoft</em><br>
<em>Pour un audit de sécurité ou la mise en place de politiques de mots de passe dans votre organisation : <a href="https://ayinedjimi-consultants.fr">ayinedjimi-consultants.fr</a></em></p>
