Authentification MFA et gestion des comptes
Définition
L'authentification vérifie l'identité d'un utilisateur. Le MFA (Multi-Factor Authentication) combine au moins deux facteurs d'authentification différents pour renforcer la sécurité. La gestion des comptes définit les politiques de création, de maintenance et de suppression des comptes utilisateurs.
| Facteur |
Type |
Exemples |
| Quelque chose que vous savez |
Connaissance |
Mot de passe, PIN, question secrète |
| Quelque chose que vous avez |
Possession |
Smartphone, token matériel, badge |
| Quelque chose que vous êtes |
Biométrie |
Empreinte digitale, iris, visage |
| Quelque part où vous êtes |
Localisation |
Géolocalisation, réseau IP |
| Quelque chose que vous faites |
Comportement |
Frappe clavier, signature |
Contexte
CompTIA A+ exige la compréhension du MFA, des politiques de mots de passe, des types de comptes Windows et des bonnes pratiques de gestion des comptes. Le technicien doit savoir configurer le MFA, appliquer les politiques de sécurité et gérer les comptes utilisateurs.
Détails techniques
Authentification multi-facteur (MFA)
Connexion avec MFA :
│
1. Entrer le mot de passe (facteur : connaissance)
│
2. Approuver la notification sur le smartphone (facteur : possession)
│
3. Scanner l'empreinte digitale (facteur : biométrie, optionnel)
│
✅ Accès autorisé (2+ facteurs validés)
Important : deux mots de passe ≠ MFA. Il faut deux facteurs différents.
Types de comptes Windows
| Type |
Privilèges |
Usage |
| Administrateur |
Contrôle total du système |
Installation logiciels, config système |
| Utilisateur standard |
Accès limité, pas d'installation système |
Usage quotidien |
| Invité |
Accès très limité (désactivé par défaut) |
Accès temporaire |
| Compte de service |
Exécution de services en arrière-plan |
Applications serveur |
| Administrateur intégré |
Masqué par défaut, super-admin |
Dépannage extrême |
Politiques de mots de passe
| Politique |
Recommandation CompTIA |
Recommandation moderne NIST |
| Longueur minimale |
8 caractères |
12+ caractères |
| Complexité |
Majuscule + minuscule + chiffre + spécial |
Phrase de passe (passphrase) |
| Expiration |
30-90 jours |
Pas d'expiration forcée (sauf compromission) |
| Historique |
5-24 derniers mots de passe |
Pas de réutilisation |
| Verrouillage |
3-5 tentatives échouées |
Temporaire (15-30 min) |
# Politique de mot de passe locale
net accounts
# Créer un utilisateur local
net user NouvelUtilisateur P@ssword123! /add
# Ajouter à un groupe
net localgroup Administrators NouvelUtilisateur /add
# Désactiver un compte
net user Ancien /active:no
# PowerShell : politique de mot de passe AD (domaine)
Get-ADDefaultDomainPasswordPolicy
Gestion des comptes — Bonnes pratiques
| Pratique |
Description |
| Principe du moindre privilège |
Donner uniquement les droits nécessaires |
| Désactiver les comptes par défaut |
Renommer/désactiver Administrator et Guest |
| Comptes nominatifs |
Un compte par personne (pas de comptes partagés) |
| Désactivation au départ |
Désactiver immédiatement le compte d'un employé partant |
| Audit régulier |
Vérifier les comptes inactifs et les permissions |
| Séparation des rôles |
Admin ≠ compte quotidien |
| UAC activé |
User Account Control pour confirmation des actions admin |
UAC (User Account Control)
| Niveau UAC |
Comportement |
| Toujours notifier |
Demande confirmation pour toute modification + apps |
| Par défaut |
Notifications pour les apps, pas pour les paramètres Windows |
| Notifier sans obscurcir |
Même que défaut, sans dark screen |
| Ne jamais notifier |
Désactivé (non recommandé) |
Solutions MFA courantes
| Solution |
Type |
Usage |
| Microsoft Authenticator |
App mobile (TOTP/push) |
Microsoft 365, Azure AD |
| Google Authenticator |
App mobile (TOTP) |
Comptes Google, tiers |
| YubiKey |
Clé matérielle (FIDO2) |
Sécurité maximale |
| SMS OTP |
Code par SMS |
Courant mais moins sécurisé (SIM swap) |
| Email OTP |
Code par email |
Basique |
| Windows Hello |
Biométrie (visage, empreinte) |
Windows 10/11 |
Exemple concret
Un administrateur configure le MFA pour tous les comptes Microsoft 365 de l'entreprise. Via le portail Azure AD, il active le MFA conditionnel : chaque utilisateur doit enregistrer l'application Microsoft Authenticator. À la connexion, après le mot de passe, une notification push apparaît sur le smartphone. Même si un mot de passe est volé par phishing, l'attaquant ne peut pas se connecter sans le second facteur.
