cedricAbonnel/abonnel-www
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

publish: Réinitialiser le mot de passe local Administrateur Windows

Browse Source
This commit is contained in:
Cédrix
2026-05-16 15:04:54 +02:00
parent 2d4b4550ab
commit 0f725145e1
3 changed files with 2 additions and 167 deletions
Download Patch File Download Diff File Expand all files Collapse all files
3a236b06-c880-4ab3-8b95-812ec4fb3e81/draft_overlay.json
-20
View File
@@ -1,20 +0,0 @@
{
"title": "Réinitialiser le mot de passe local Administrateur Windows",
"slug": "20230417-reinitialiser-le-mot-de-passe-windows",
"_updated_at": "2026-05-16 13:04:53",
"published": true,
"published_at": "2023-04-17 20:01",
"category": "Informatique",
"tags": {
"tags": [
"Windows",
"Security Account Manager",
"TPM",
"SAM",
"SystemRescue"
]
},
"seo_title": "",
"seo_description": "",
"og_image": "https://www.abonnel.fr/file?uuid=3a236b06-c880-4ab3-8b95-812ec4fb3e81&name=cover.svg"
}
3a236b06-c880-4ab3-8b95-812ec4fb3e81/draft_overlay.md
-145
View File
@@ -1,145 +0,0 @@
# Réinitialiser le mot de passe local Administrateur Windows
Perdre l'accès à un compte Administrateur local sur une machine Windows est une situation courante, et plusieurs méthodes existent pour le récupérer. Avant tout, il faut bien distinguer **deux types de comptes** qui coexistent sous Windows 10 et 11 :
- Le **compte local**, dont le mot de passe est stocké sur la machine elle-même.
- Le **compte Microsoft**, lié à une adresse e-mail, dont la réinitialisation se fait via le portail en ligne <https://account.live.com/password/reset>. Aucune manipulation locale ne permet de réinitialiser ce type de mot de passe ; il faut passer par Microsoft.
À ces deux cas s'ajoute, en environnement professionnel, le **compte de domaine Active Directory** (ou compte Entra ID / ex-Azure AD) : son mot de passe n'est pas stocké sur le poste mais sur le contrôleur de domaine, et seule une réinitialisation côté annuaire (console *Utilisateurs et ordinateurs Active Directory*, PowerShell `Set-ADAccountPassword`, ou portail Entra) permet d'en reprendre la main. Les techniques décrites dans cet article **ne s'appliquent pas** à ces comptes.
Le reste de cet article traite exclusivement des **comptes locaux**, pour lesquels plusieurs techniques sont applicables.
À noter au passage que depuis Windows 11 22H2, l'installation de l'édition Famille impose par défaut la création d'un compte Microsoft, ce qui réduit en pratique le nombre de comptes locaux sur les machines récentes — mais ils restent très présents en environnement professionnel et sur les éditions Pro/Entreprise.
## Où sont stockés les mots de passe ?
Sur toutes les versions de Windows, y compris Windows 10 et 11, les mots de passe des comptes locaux sont stockés sous forme hachée dans la base **SAM** (Security Account Manager), située dans `%SystemRoot%\System32\config\SAM`. Ce fichier est verrouillé pendant que le système est en cours d'exécution, mais devient accessible lorsque l'on démarre la machine sur un autre support (clé USB live, environnement de récupération Windows, etc.).
Une précision utile pour balayer une confusion fréquente : la fonctionnalité **Credential Guard** introduite avec Windows 10 *ne change rien* à la localisation des mots de passe locaux. Credential Guard protège les *secrets en mémoire* (hashs NTLM, tickets Kerberos) en les isolant via la virtualisation, pour contrer les attaques de type **Pass-the-Hash** sur un système en fonctionnement. Mais les hashs de la base SAM, sur le disque, restent là où ils ont toujours été. Les méthodes décrites ci-dessous fonctionnent donc parfaitement sur Windows 10 et 11.
Deux facteurs peuvent en revanche bloquer ces méthodes :
- **BitLocker** : si le disque est chiffré, il faudra fournir la clé de récupération avant de pouvoir accéder au système de fichiers (voir plus bas la section dédiée).
- **Windows LAPS** (et son prédécesseur LAPS Legacy) : si le compte Administrateur local est géré par LAPS, Windows refusera la modification de son mot de passe avec une erreur explicite. La parade consiste alors à créer un *autre* compte administrateur — détaillée plus loin.
## Méthode 1 — chntpw (depuis un live Linux)
**chntpw** est un utilitaire Linux historique qui permet d'éditer la base SAM hors ligne, de vider un mot de passe ou de débloquer un compte. Il est inclus dans la plupart des distributions de dépannage (SystemRescue, Kali, etc.).
Le principe est simple : démarrer sur une clé USB Linux, monter la partition Windows, puis :
```bash
cd /mnt/windows/Windows/System32/config
chntpw -u Administrateur SAM
```
Le menu interactif permet alors de vider le mot de passe (option 1), ce qui est souvent préférable à le redéfinir. Plus d'informations sur le site officiel : <http://pogostick.net/~pnh/ntpasswd/>
chntpw fonctionne aussi bien sur Windows 7 que sur Windows 11, à condition que le disque ne soit pas chiffré.
## Méthode 2 — La substitution Utilman (cmd à la mire de login)
C'est la méthode de référence quand on a un support d'installation Windows sous la main. Le principe : remplacer un exécutable d'accessibilité accessible depuis l'écran de connexion (typiquement **Utilman.exe**, lancé par le bouton « Options d'ergonomie » en bas à droite de la mire, ou **sethc.exe**, déclenché par cinq appuis successifs sur la touche Maj) par `cmd.exe`. Au prochain démarrage, un clic sur l'icône correspondante ouvre alors une invite de commandes avec les privilèges **SYSTEM** — soit le niveau de droits le plus élevé sur Windows.
### Mise en œuvre
Démarrer la machine sur un support d'installation Windows (clé USB, ISO monté, support de réparation) et choisir « Réparer l'ordinateur » → « Dépannage » → « Invite de commandes ». Sur les versions récentes de Windows 11, on peut aussi y arriver directement depuis la mire de connexion en cliquant sur l'icône « Marche/Arrêt » tout en maintenant **Maj** enfoncée, puis « Redémarrer ».
Astuce de raccourci pratique : depuis l'écran d'accueil de l'installeur Windows, la combinaison **Maj + F10** ouvre immédiatement une invite de commandes, sans avoir à parcourir les menus.
Une fois dans la console, identifier la lettre du lecteur où Windows est installé. Dans cet environnement, ce n'est généralement **pas** `C:` (qui est souvent la clé d'installation ou un volume réservé) — c'est typiquement `D:` ou `E:`. À vérifier avec :
```cmd
diskpart
list volume
exit
```
Puis se placer sur le bon volume (on prendra `D:` dans l'exemple ci-dessous, à adapter) :
```cmd
D:
cd Windows\System32
copy Utilman.exe Utilman.exe.bak
copy /y cmd.exe Utilman.exe
```
Redémarrer la machine (`wpeutil reboot` fait l'affaire) **en pensant à retirer la clé USB** pour ne pas rebooter dessus. À la mire de connexion, cliquer sur l'icône d'ergonomie (en bas à droite) : une console SYSTEM s'ouvre. On peut alors réinitialiser le mot de passe d'un compte local existant :
```cmd
net user Administrateur NouveauMotDePasse
```
Si l'on ne connaît pas la liste des comptes locaux disponibles, `net user` sans argument les affiche tous.
### Cas du compte protégé par Windows LAPS
Si le compte cible est géré par LAPS, la commande précédente échoue avec :
```
L'erreur système 8654 s'est produite
Le compte est contrôlé par une stratégie externe et ne peut pas être modifié.
```
Inutile d'insister : il faut **créer un nouveau compte administrateur local** plutôt que de tenter de modifier celui qui est verrouillé.
```cmd
net user MonAdmin MotDePasse /add
net localgroup Administrateurs MonAdmin /add
```
(Sur un Windows en anglais, le groupe s'appelle `Administrators` — c'est un piège classique sur les images OEM.)
### Restaurer le fichier d'origine
Une fois l'accès rétabli, il est impératif de remettre `Utilman.exe` en place, sous peine de laisser une porte dérobée critique sur la machine : n'importe qui accédant à la mire ouvrirait une console SYSTEM d'un clic.
Comme `Utilman.exe` est protégé pendant que Windows tourne, il faut rebooter à nouveau sur le support d'installation, ouvrir une invite (Maj + F10), puis :
```cmd
D:
cd Windows\System32
del Utilman.exe
ren Utilman.exe.bak Utilman.exe
```
## Méthode 3 — Outils dédiés
Pour ceux qui préfèrent une interface graphique, des outils comme **Lazesoft Recover My Password**, **Hiren's BootCD PE**, **Medicat** ou **Offline NT Password & Registry Editor** (le projet historique dont chntpw est issu) automatisent les manipulations précédentes depuis une clé USB bootable. Ils sont pratiques pour les techniciens qui interviennent régulièrement sur ce type de problème.
Leur seul vrai inconvénient : ils ne contournent ni BitLocker, ni LAPS. La couche qui bloque n'est pas le manque d'outil, c'est la cryptographie ou la stratégie.
## Le cas BitLocker
Si le volume système est chiffré par BitLocker, toute tentative d'accès au contenu du disque depuis l'environnement de récupération renverra un message du type : *« Ce lecteur est verrouillé par le chiffrement de lecteur BitLocker. »*
La commande suivante confirme l'état du chiffrement :
```cmd
manage-bde -status
```
Si l'on dispose de la **clé de récupération** (48 chiffres, fournie à l'activation de BitLocker, archivée dans un compte Microsoft, dans Active Directory, dans Entra ID ou dans une solution comme Intune/MBAM), on peut déverrouiller le volume à la volée :
```cmd
manage-bde -unlock D: -RecoveryPassword 123456-123456-123456-123456-123456-123456-123456-123456
```
Le volume `D:` devient alors accessible, et la procédure Utilman ci-dessus s'applique normalement. Sans la clé, en revanche, il n'y a pas de raccourci : c'est précisément le rôle de BitLocker.
## En dernier recours : la réinitialisation du PC
Si aucune des méthodes ci-dessus n'est applicable — typiquement parce que BitLocker est actif et que la clé de récupération est introuvable — il reste la réinitialisation complète, accessible en maintenant la touche **Maj** enfoncée tout en cliquant sur « Redémarrer » depuis l'écran de connexion. Cette option permet d'accéder à l'environnement de récupération Windows et de réinitialiser le PC.
Il faut bien comprendre que ce n'est *pas* une méthode de réinitialisation de mot de passe : c'est une réinstallation qui efface tous les comptes et données personnelles. À ce stade, autant réinstaller proprement Windows.
## Ce qu'il faut retenir sur la sécurité
Ces méthodes fonctionnent toutes parce qu'elles supposent un **accès physique** à la machine. La leçon est donc évidente : sur tout poste contenant des données sensibles, **BitLocker (ou un équivalent) est indispensable**. Sans chiffrement du disque, n'importe qui disposant de cinq minutes seul devant la machine peut s'octroyer les droits SYSTEM. Avec BitLocker correctement configuré (TPM + PIN idéalement) et la clé de récupération stockée dans un coffre sécurisé (Active Directory, Entra ID, gestionnaire de mots de passe), les techniques décrites ici deviennent inopérantes sans cette clé.
Dans un parc d'entreprise, deux mesures complémentaires limitent encore la surface d'attaque :
- **Windows LAPS** pour faire tourner automatiquement le mot de passe Administrateur local de chaque poste, et le stocker chiffré dans l'annuaire. Même si un attaquant parvient à booter sur un support externe, il ne récupère qu'un hash inutile.
- **Secure Boot activé** et **mot de passe BIOS/UEFI**, pour empêcher tout simplement le boot sur clé USB.
Enfin, ces manipulations supposent que l'on est **légitimement propriétaire** de la machine ou autorisé à intervenir dessus. Les appliquer sur un poste qui ne vous appartient pas relève de l'accès frauduleux à un système informatique, et est puni par la loi (article 323-1 du Code pénal en France).
3a236b06-c880-4ab3-8b95-812ec4fb3e81/meta.json
+2 -2
View File
@@ -7,7 +7,7 @@
"featured": false,
"published_at": "2023-04-17 20:01",
"created_at": "2023-04-17 20:01:27",
"updated_at": "2026-05-16 13:04:45",
"updated_at": "2026-05-16 13:04:54",
"revisions": [
{
"n": 1,
@@ -27,7 +27,7 @@
"external_links": [],
"seo_title": "",
"seo_description": "",
"og_image": "",
"og_image": "https://www.abonnel.fr/file?uuid=3a236b06-c880-4ab3-8b95-812ec4fb3e81&name=cover.svg",
"category": "Informatique",
"tags": {
"tags": [