Verrouillage de compte
Qu'est-ce que Verrouillage de compte ?
Verrouillage de compteMecanisme qui bloque temporairement ou definitivement les connexions apres un nombre defini d'echecs consecutifs afin de ralentir les attaques en ligne par devinage.
Le verrouillage de compte desactive un compte des qu'un seuil d'echecs d'authentification est atteint, augmentant le cout du bruteforce et du password spraying en ligne. Active Directory, Entra ID, Okta et la plupart des plateformes d'authentification exposent un triplet : nombre maximum d'essais, fenetre d'observation et duree de verrouillage (par exemple 10 echecs en 10 minutes menant a 30 minutes de blocage).
Le verrouillage est a double tranchant. NIST SP 800-63B recommande explicitement la limitation de debit et le throttling intelligent plutot que des verrouillages agressifs, car un attaquant qui connait des noms d'utilisateur valides peut declencher volontairement des verrouillages pour provoquer un deni de service, excluant les vrais utilisateurs de la paie, de la messagerie ou du VPN. Des seuils agressifs poussent aussi les attaquants vers le password spraying : essayer un mot de passe courant contre des milliers de comptes reste sous tout compteur par compte, ce qui est exactement la maniere dont les attaques de 2020 attribuees a des groupes APT contre des tenants Office 365 ont contourne le verrouillage.
Les implementations modernes privilegient donc des controles plus fins : delais progressifs (exponentiels) entre les essais, throttling par IP source et ASN, CAPTCHA apres quelques echecs et signaux de risque. Microsoft Smart Lockout distingue l'utilisateur legitime de l'attaquant grace a la telemetrie d'emplacement et d'appareil connus, ne verrouillant que la source malveillante tout en preservant les connexions reelles, et il conserve les derniers hachages de mots de passe errones afin que des erreurs identiques repetees ne consomment pas le budget. La mitigation la plus solide consiste a supprimer totalement le mot de passe comme secret unique : le MFA resistant au phishing ou les passkeys rendent le devinage en ligne sans objet.
flowchart TD
A[Tentative de connexion] --> B{Identifiants valides ?}
B -->|Oui| C[Accorder l'acces · reinitialiser le compteur]
B -->|Non| D[Incrementer le compteur d'echecs]
D --> E{Compteur >= seuil<br/>dans la fenetre ?}
E -->|Non| F[Ajouter un delai progressif · CAPTCHA] --> A
E -->|Oui| G{Signal intelligent :<br/>appareil / emplacement connu ?}
G -->|Oui utilisateur legitime| H[Autoriser · defi leger]
G -->|Non source attaquante| I[Verrouiller le compte ou la source<br/>pendant la duree de verrouillage]
I --> J[Alerte / moteur de risque]● Exemples
- 01
Smart Lockout de Microsoft Entra ID qui bloque l'IP de l'attaquant apres 10 essais errones sans gener l'utilisateur reel sur un autre reseau.
- 02
Portail bancaire qui suspend l'acces 30 minutes apres 5 PIN errones.
● Questions fréquentes
Qu'est-ce que Verrouillage de compte ?
Mecanisme qui bloque temporairement ou definitivement les connexions apres un nombre defini d'echecs consecutifs afin de ralentir les attaques en ligne par devinage. Cette notion relève de la catégorie Identité et accès en cybersécurité.
Que signifie Verrouillage de compte ?
Mecanisme qui bloque temporairement ou definitivement les connexions apres un nombre defini d'echecs consecutifs afin de ralentir les attaques en ligne par devinage.
Comment se défendre contre Verrouillage de compte ?
Les défenses contre Verrouillage de compte combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Verrouillage de compte ?
Noms alternatifs courants : Politique de verrouillage, Verrouillage a la connexion.