Sous Windows 11, sécurité, comptes ; mots de passe, la case indication mot de passe ça veut dire quoi ?
Merci pour vos réponses, cordialement
[Configuration automatique à compléter]Windows 10/11Firefox 147.0
Bonjour,
C’est le mot de passe que tu définis pour le compte, si j’ai compris la question :
Edit : je n’avais pas compris la question.
Bonjour,
La sécurité des mots de passe sous Windows 11 est un sujet fondamental qui combine à la fois les paramètres du système d’exploitation, les politiques d’entreprise, et les bonnes pratiques de l’utilisateur. Windows 11 apporte des améliorations significatives par rapport à ses prédécesseurs, notamment grâce à l’intégration renforcée avec Windows Hello, Microsoft Authenticator et des mécanismes de protection avancée. Cette réponse vous donne une vue complète.
État de la sécurité des mots de passe dans Windows 11
Ce qui a changé avec Windows 11
Windows 11 introduit ou renforce plusieurs mécanismes de protection autour des mots de passe :
| Fonctionnalité | Windows 10 | Windows 11 | Impact sécurité |
|---|---|---|---|
| Windows Hello for Business | Disponible | Renforcé, obligatoire sur les appareils compatibles | Très élevé |
| Protection contre les attaques par force brute locale | Partielle | Verrouillage après 10 tentatives par défaut (23H2+) | Élevé |
| Credential Guard | Éditions Enterprise | Activé par défaut sur appareils compatibles | Très élevé |
| Smart App Control | Non disponible | Disponible (23H2+) | Moyen |
| Phishing Protection (Protection contre l’hameçonnage) | Non disponible | Disponible via Windows Security | Élevé |
Configurer une politique de mots de passe robuste
Via la Stratégie de Sécurité Locale (pour les PC non joints à un domaine)
Accès : Démarrer > Exécuter > secpol.msc
Navigation : Paramètres de sécurité > Stratégies de compte > Stratégie de mot de passe
Paramètres recommandés :
| Paramètre | Valeur recommandée | Valeur par défaut Windows |
|---|---|---|
| Longueur minimale du mot de passe | 12 caractères | 0 (aucune) |
| Le mot de passe doit respecter des exigences de complexité | Activé | Désactivé |
| Durée de vie maximale du mot de passe | 90 jours (ou désactivé si MFA) | 42 jours |
| Durée de vie minimale du mot de passe | 1 jour | 0 jour |
| Conserver l’historique des mots de passe | 24 mots de passe | 0 |
| Le compte sera verrouillé après | 5 tentatives incorrectes | Non configuré |
Via PowerShell (Stratégie locale)
# Définir la longueur minimale du mot de passe à 12 caractères
net accounts /minpwlen:12
# Définir le verrouillage après 5 tentatives incorrectes
net accounts /lockoutthreshold:5
# Définir la durée de verrouillage à 30 minutes
net accounts /lockoutduration:30
# Afficher la politique actuelle
net accounts
# Pour les environnements domaine — via Group Policy (GPMC)
# Ordinateur > Configuration Windows > Paramètres de sécurité > Stratégies de compte
Via le Registre Windows (paramètres avancés)
# Activer la protection contre les attaques de force brute sur les sessions locales
# (Windows 11 22H2+ verrouille automatiquement après 10 tentatives par défaut)
# Pour forcer le verrouillage du compte Administrateur local également :
$regPath = "HKLM:\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\AccountLockout"
Set-ItemProperty -Path $regPath -Name "MaxDenials" -Value 5 -Type DWord
# Vérifier que le compte Administrator local intégré est désactivé
# (bonne pratique de sécurité)
net user Administrator /active:no
# Créer un compte administrateur local avec un nom non standard
net user "AdminLocal" "MotDePasseComplexe!2024" /add
net localgroup Administrators "AdminLocal" /add
Windows Hello for Business — L’alternative aux mots de passe
Pourquoi passer à Windows Hello
Windows Hello remplace le mot de passe classique par une authentification basée sur :
- Biométrie : empreinte digitale, reconnaissance faciale (caméra IR requise)
- PIN : chiffré et lié au TPM (Trusted Platform Module) de l’appareil — le PIN n’est jamais envoyé sur le réseau contrairement au mot de passe
L’avantage de sécurité majeur : même si quelqu’un obtient votre PIN, il ne peut pas l’utiliser sur un autre appareil car il est lié au TPM du PC.
# Vérifier si le TPM est disponible et activé
Get-Tpm
# Vérifier la version du TPM (TPM 2.0 requis pour Windows Hello for Business)
Get-Tpm | Select-Object TpmPresent, TpmReady, TpmEnabled, ManufacturerVersion
# Lister les méthodes Windows Hello configurées sur le système
$helloPolicies = Get-ItemProperty "HKLM:\SOFTWARE\Policies\Microsoft\PassportForWork" -ErrorAction SilentlyContinue
Activer la Protection contre l’Hameçonnage (Enhanced Phishing Protection)
Cette fonctionnalité unique à Windows 11 22H2+ avertit l’utilisateur s’il tape son mot de passe Windows dans :
- Un site web (phishing)
- Une application non sécurisée
- Un fichier texte (Notepad, etc.)
Activation : Démarrer > Paramètres > Confidentialité et sécurité > Sécurité Windows
> Protection contre les applications et les navigateurs > Protection basée sur la réputation
> Protection contre l'hameçonnage > Activer
# Activer la protection contre le phishing via PowerShell (GPO ou registre)
$regPath = "HKLM:\SOFTWARE\Policies\Microsoft\Windows\System"
Set-ItemProperty -Path $regPath -Name "EnableSmartScreen" -Value 1 -Type DWord
# Activer les avertissements spécifiques contre la réutilisation de mots de passe
$reusePath = "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WTDS\Components"
if (-not (Test-Path $reusePath)) { New-Item -Path $reusePath -Force }
Set-ItemProperty -Path $reusePath -Name "CaptureThreatWindow" -Value 1 -Type DWord
Set-ItemProperty -Path $reusePath -Name "NotifyPasswordReuseEnabled" -Value 1 -Type DWord
Set-ItemProperty -Path $reusePath -Name "NotifyUnsafeAppEnabled" -Value 1 -Type DWord
Set-ItemProperty -Path $reusePath -Name "NotifyMaliciousEnabled" -Value 1 -Type DWord
Sécuriser le Gestionnaire d’Informations d’Identification Windows
Le Gestionnaire d’Informations d’Identification (Credential Manager) stocke les mots de passe des sites web et des ressources réseau. Il est important de l’auditer régulièrement.
# Lister toutes les informations d'identification stockées dans le Gestionnaire Windows
cmdkey /list
# Supprimer une entrée spécifique
cmdkey /delete:nom_du_site_ou_serveur
# Exporter les informations d'identification (pour sauvegarde sécurisée)
# Via l'interface : Panneau de configuration > Gestionnaire d'informations d'identification
# > Informations d'identification Windows > Sauvegarder les informations d'identification
Bonnes pratiques et recommandations
Pour les particuliers
- Utilisez un gestionnaire de mots de passe : Bitwarden (gratuit et open source), 1Password, ou le gestionnaire intégré à Microsoft Edge
- Activez Windows Hello avec la biométrie si votre appareil le supporte
- N’utilisez jamais le même mot de passe sur plusieurs services
- Activez la 2FA/MFA sur tous vos comptes importants (compte Microsoft, email, banque)
Pour les entreprises (Active Directory / Entra ID)
# Fine-Grained Password Policy — politique de mot de passe granulaire pour des groupes spécifiques
# Exemple : politique plus stricte pour les administrateurs
New-ADFineGrainedPasswordPolicy -Name "Politique-Admins" `
-Precedence 10 `
-MinPasswordLength 16 `
-PasswordHistoryCount 24 `
-MaxPasswordAge "90.00:00:00" `
-MinPasswordAge "1.00:00:00" `
-LockoutThreshold 3 `
-LockoutDuration "00:30:00" `
-LockoutObservationWindow "00:30:00" `
-ComplexityEnabled $true `
-ReversibleEncryptionEnabled $false
# Appliquer la politique au groupe Admins
Add-ADFineGrainedPasswordPolicySubject -Identity "Politique-Admins" -Subjects "Domain Admins"
Récapitulatif — niveaux de sécurité
| Niveau | Mesures à mettre en place |
|---|---|
| Basique | Mot de passe 12+ caractères, verrouillage après 5 tentatives, MFA sur compte Microsoft |
| Intermédiaire | Windows Hello activé, Enhanced Phishing Protection, gestionnaire de mots de passe |
| Avancé | Credential Guard activé, Fine-Grained Password Policies, Entra ID SSPR, audit des connexions |
| Expert | Passwordless (FIDO2), Privileged Identity Management (PIM), Zero Trust Architecture |
N’hésitez pas à préciser votre contexte (usage personnel ou professionnel, domaine Active Directory, Microsoft 365) pour des recommandations encore plus ciblées.
Ayi NEDJIMI — Consultant IT & Cybersécurité Microsoft
Pour un audit de sécurité ou la mise en place de politiques de mots de passe dans votre organisation : ayinedjimi-consultants.fr