Mots de passe qui ne fonctionnent plus, contacts qui reçoivent des messages bizarres en votre nom, mails qui s’évaporent du dossier de réception : un compte Hotmail compromis se manifeste rarement avec subtilité. Microsoft n’a pas de hotline humaine pour ce genre de situation, et la fenêtre d’action utile est étroite — chaque heure laissée au pirate, c’est une règle de transfert installée, des contacts démarchés, des comptes liés (Facebook, banque en ligne, livraison) qui basculent. Voici le parcours qui fonctionne réellement, étape par étape, avec les pièges qui font perdre des jours.
Ce qu’il faut avoir sous la main avant de commencer
La récupération passe par un formulaire automatisé qui pose des questions précises sur le compte. Plus les réponses sont fournies tôt et complètes, plus le déblocage tombe vite. Avant de cliquer où que ce soit, rassembler :
- Un autre appareil sain (téléphone, ordinateur d’un proche), pas celui qui a probablement servi de porte d’entrée au pirate.
- Une adresse mail secondaire active où Microsoft enverra ses réponses sous 24 à 72 heures.
- Les anciens mots de passe utilisés sur le compte ces dernières années — même approximatifs.
- Un historique d’achats Microsoft (Xbox, Office 365, Skype, applis Windows Store) avec dates et montants si possible.
- Les lignes d’objet de mails récents envoyés ou reçus, et 3 à 5 noms de contacts fréquents.
- Une connexion depuis un lieu habituel (domicile, bureau) : Microsoft tient compte de la géolocalisation pour valider la demande.
Compter 30 à 45 minutes pour réunir ces éléments. C’est ce qui sépare un déblocage en 24 heures d’un dossier rejeté trois fois de suite.
Étape 1 : nettoyer la machine avant tout changement de mot de passe
Changer son mot de passe sur un ordinateur infecté ne sert à rien : un keylogger récupère le nouveau code dans la foulée et le pirate revient sous 10 minutes. C’est l’erreur n°1 dans les retours de victimes.
Avant toute reconnexion, lancer une analyse complète avec Windows Defender (déjà présent sur Windows 10 et 11) ou un antivirus à jour. Une analyse rapide ne suffit pas — il faut le scan complet, qui dure entre 45 minutes et 2 heures selon la taille du disque. Sur Mac, Malwarebytes en version gratuite fait correctement le travail.
Si l’infection s’est faite via un téléphone (lien cliqué dans un SMS, application latérale installée), passer aussi le mobile en revue. Les comptes Microsoft sont synchronisés multi-appareils : un Android compromis suffit à perdre l’Outlook du PC.
Étape 2 : tenter la réinitialisation classique
Direction account.live.com/ResetPassword.aspx. Trois cas se présentent :
Cas 1 — l’adresse de secours et le numéro de téléphone sont toujours valables. Microsoft envoie un code de vérification à 6 chiffres. Le compte est récupéré en moins de 5 minutes. C’est la situation la plus simple, qui concerne environ un piratage sur trois.
Cas 2 — le pirate a modifié l’adresse de secours et/ou le numéro. Microsoft applique alors un délai de sécurité de 30 jours avant que les nouvelles informations ne deviennent actives. Pendant ce mois, l’ancien numéro reste valide pour la récupération. C’est une fenêtre précieuse : tant que ce délai court, la procédure standard fonctionne encore.
Cas 3 — le pirate a tout changé et le délai des 30 jours est dépassé. Direction l’étape 3, le formulaire ACSR.
Étape 3 : remplir le formulaire de récupération ACSR correctement
Le formulaire se trouve sur account.live.com/acsr. C’est un processus 100 % automatisé : aucun humain ne lit les réponses. L’algorithme compare ce que l’utilisateur déclare avec ce que Microsoft a en base, et accorde ou refuse la restitution.
Quelques règles qui font passer le taux de validation de 20 % à plus de 70 % :
- Remplir tous les champs, même ceux marqués facultatifs. Une réponse approximative compte mieux qu’une case vide.
- Donner trois objets de mails récents (lignes « objet », pas le contenu). Privilégier les newsletters reçues régulièrement, plus faciles à reconstituer.
- Indiquer 4 à 5 contacts fréquents avec leur adresse mail complète.
- Pour les anciens mots de passe, en lister jusqu’à cinq, même partiellement justes. L’algorithme tolère les variantes.
- Si le compte sert pour Xbox ou un abonnement Microsoft 365, mentionner les quatre derniers chiffres de la carte bancaire ayant servi aux paiements.
Le formulaire peut être soumis deux fois par 24 heures. La réponse arrive sous 24 à 72 heures à l’adresse mail indiquée — pensez à vérifier le dossier spam, les retours Microsoft y atterrissent souvent.
Étape 4 : verrouiller le compte récupéré dans la première heure
L’accès retrouvé, le travail commence. Un pirate qui a passé 48 heures dans une boîte mail a presque toujours installé des portes dérobées. Quatre vérifications à faire dans cet ordre, immédiatement :
Examiner les règles de messagerie
Direction Paramètres > Courrier > Règles. Les pirates créent souvent une règle qui transfère automatiquement tout mail contenant les mots « facture », « mot de passe », « banque » ou « code » vers une adresse externe — souvent un Gmail jetable. Supprimer toute règle non créée personnellement.
Vérifier le transfert automatique
Toujours dans les paramètres, onglet Transfert. Si une adresse inconnue apparaît, désactiver le transfert et la supprimer. Cette manipulation prend 20 secondes mais elle est oubliée 9 fois sur 10 — résultat, les mails continuent d’être lus par le pirate pendant des semaines après le changement de mot de passe.
Contrôler les expéditeurs et domaines approuvés
Dans Courrier indésirable > Expéditeurs et domaines approuvés, certains pirates ajoutent leurs propres adresses pour s’assurer que leurs futurs mails ne partent pas en spam. À nettoyer.
Déconnecter toutes les sessions actives
Sur account.microsoft.com, dans la section sécurité, cliquer sur Se déconnecter de tous les emplacements. Cette commande invalide tous les jetons d’accès actifs. Le pirate, même s’il a une session ouverte ailleurs, est éjecté instantanément.
Étape 5 : activer la vérification en deux étapes (sans erreur cette fois)
L’authentification à deux facteurs réduit le risque de re-piratage de plus de 99 % selon les données publiées par Microsoft sur ses propres incidents de sécurité. L’activation se fait sur account.live.com/proofs/manage/additional.
Privilégier l’application Microsoft Authenticator (gratuite, iOS et Android) plutôt que les codes par SMS. Le SMS reste vulnérable au SIM swapping — une technique en hausse qui consiste à faire transférer le numéro de téléphone vers une carte SIM contrôlée par l’attaquant. L’application génère des codes à usage unique localement, hors d’atteinte d’un opérateur compromis.
Sauvegarder aussi les codes de récupération générés par Microsoft : 25 caractères imprimés une seule fois, à conserver hors ligne. Sans eux, perdre son téléphone signifie repasser par le formulaire ACSR.
Encadré : les erreurs fréquentes qui prolongent le calvaire
Quatre faux pas reviennent systématiquement dans les dossiers qui traînent en longueur :
- Recréer un compte sur un nouveau navigateur sans antivirus. Le pirate a souvent installé un cookie ou un module persistant qui vole le second compte en quelques heures.
- Donner sa date de naissance à un agent par téléphone. Microsoft ne propose aucun support téléphonique pour la récupération de compte particulier. Tout numéro qui s’affiche en haut d’une recherche Google est une arnaque, parfois facturée 80 € pour ne rien faire.
-
Payer la rançon en bitcoin quand le pirate menace de divulguer des photos compromettantes. 95 % de ces messages sont du spoofing : l’adresse expéditeur est usurpée, le compte n’est même pas réellement piraté. Vérifier l’historique de connexion sur
account.live.com/Activityconfirme rapidement la supercherie. - Attendre que ça se calme. Chaque heure, le pirate exporte des contacts, demande des réinitialisations sur d’autres services (PayPal, Amazon, Facebook) et consolide son accès. Au-delà de 48 heures, la récupération devient deux à trois fois plus longue.
Étape 6 : faire le tour des comptes liés
Une boîte Hotmail piratée, c’est rarement un problème isolé. L’adresse a probablement servi de point de récupération pour Facebook, Instagram, Amazon, PayPal, sa banque, parfois son fournisseur d’accès. Lister mentalement tous les services associés et changer le mot de passe sur chacun, en commençant par le plus sensible (banque, services administratifs comme impots.gouv.fr ou Ameli).
Pour les services qui envoient les notifications de connexion par mail, parcourir l’historique des 30 derniers jours : si une connexion suspecte est survenue depuis l’étranger, contacter directement le service avant que le pirate n’engage des frais ou n’usurpe une identité plus profondément.
Que faire si le compte n’est définitivement pas récupérable
Après cinq tentatives ACSR rejetées, la situation devient compliquée : il n’existe aucun recours humain chez Microsoft pour la récupération particulier. Le compte est perdu. Trois actions restent utiles :
-
Signaler l’usurpation à Pharos (
internet-signalement.gouv.fr) si le pirate utilise l’adresse pour des escroqueries. -
Déposer plainte au commissariat ou en ligne via Thésée (
service-public.fr). Pour un préjudice avéré (vol de données, transactions frauduleuses), ce dépôt débloque les démarches d’opposition bancaire et peut activer une enquête. - Prévenir tous ses contacts par un autre canal — SMS groupé, post sur les réseaux sociaux, mail depuis une nouvelle adresse — pour neutraliser les tentatives d’arnaque envoyées en votre nom.
Créer un nouveau compte sur un autre fournisseur (Proton Mail, Tutanota pour le chiffrement, ou Gmail si l’écosystème Microsoft n’est plus la priorité) permet de repartir sur des bases saines, avec authentification à deux facteurs activée dès la création et un mot de passe généré par un gestionnaire dédié comme Bitwarden ou 1Password.
En cas de doute persistant : des signaux concrets à surveiller pendant 30 jours
Même après récupération, garder un œil sur trois indicateurs durant le mois suivant. Une connexion étrangère qui réapparaît dans account.live.com/Activity signale un mot de passe à nouveau exposé — généralement parce que la machine n’a pas été correctement nettoyée. Des mails de réinitialisation reçus pour des services qu’on n’a pas sollicités indiquent que l’adresse circule sur des bases de données de pirates. Un ralentissement soudain de la boîte mail ou des dossiers qui se vident accompagne souvent une seconde intrusion.
Vérifier aussi l’exposition de l’adresse sur haveibeenpwned.com : ce site recense les fuites de données publiques et permet de savoir dans quelles brèches l’adresse a été retrouvée. C’est gratuit et la consultation prend moins d’une minute. Si l’adresse apparaît dans plusieurs fuites récentes, le mot de passe doit changer immédiatement et l’authentification à deux facteurs n’est plus une option mais une nécessité.
Reprendre la main sur un compte Hotmail piraté demande du sang-froid et de la méthode plus que des compétences techniques. Suivre l’ordre exact — nettoyer, tenter la réinitialisation, formulaire ACSR, verrouillage, 2FA, comptes liés — règle la grande majorité des cas en moins de trois jours. Le reste du temps gagné, autant l’investir dans un gestionnaire de mots de passe : c’est ce qui évite que l’histoire ne recommence dans six mois.