cedricAbonnel/abonnel-www
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
95eaa84094de36993842cecdbd0ae3641fa23262
abonnel-www/3a236b06-c880-4ab3-8b95-812ec4fb3e81/index.md
T

11 KiB
Raw Blame History

Réinitialiser le mot de passe local Administrateur Windows

Perdre l'accès à un compte Administrateur local sur une machine Windows est une situation courante, et plusieurs méthodes existent pour le récupérer. Avant tout, il faut bien distinguer deux types de comptes qui coexistent sous Windows 10 et 11 :

  • Le compte local, dont le mot de passe est stocké sur la machine elle-même.
  • Le compte Microsoft, lié à une adresse e-mail, dont la réinitialisation se fait via le portail en ligne https://account.live.com/password/reset. Aucune manipulation locale ne permet de réinitialiser ce type de mot de passe ; il faut passer par Microsoft.

À ces deux cas s'ajoute, en environnement professionnel, le compte de domaine Active Directory (ou compte Entra ID / ex-Azure AD) : son mot de passe n'est pas stocké sur le poste mais sur le contrôleur de domaine, et seule une réinitialisation côté annuaire (console Utilisateurs et ordinateurs Active Directory, PowerShell Set-ADAccountPassword, ou portail Entra) permet d'en reprendre la main. Les techniques décrites dans cet article ne s'appliquent pas à ces comptes.

Le reste de cet article traite exclusivement des comptes locaux, pour lesquels plusieurs techniques sont applicables.

À noter au passage que depuis Windows 11 22H2, l'installation de l'édition Famille impose par défaut la création d'un compte Microsoft, ce qui réduit en pratique le nombre de comptes locaux sur les machines récentes — mais ils restent très présents en environnement professionnel et sur les éditions Pro/Entreprise.

Où sont stockés les mots de passe ?

Sur toutes les versions de Windows, y compris Windows 10 et 11, les mots de passe des comptes locaux sont stockés sous forme hachée dans la base SAM (Security Account Manager), située dans %SystemRoot%\System32\config\SAM. Ce fichier est verrouillé pendant que le système est en cours d'exécution, mais devient accessible lorsque l'on démarre la machine sur un autre support (clé USB live, environnement de récupération Windows, etc.).

Une précision utile pour balayer une confusion fréquente : la fonctionnalité Credential Guard introduite avec Windows 10 ne change rien à la localisation des mots de passe locaux. Credential Guard protège les secrets en mémoire (hashs NTLM, tickets Kerberos) en les isolant via la virtualisation, pour contrer les attaques de type Pass-the-Hash sur un système en fonctionnement. Mais les hashs de la base SAM, sur le disque, restent là où ils ont toujours été. Les méthodes décrites ci-dessous fonctionnent donc parfaitement sur Windows 10 et 11.

Deux facteurs peuvent en revanche bloquer ces méthodes :

  • BitLocker : si le disque est chiffré, il faudra fournir la clé de récupération avant de pouvoir accéder au système de fichiers (voir plus bas la section dédiée).
  • Windows LAPS (et son prédécesseur LAPS Legacy) : si le compte Administrateur local est géré par LAPS, Windows refusera la modification de son mot de passe avec une erreur explicite. La parade consiste alors à créer un autre compte administrateur — détaillée plus loin.

Méthode 1 — chntpw (depuis un live Linux)

chntpw est un utilitaire Linux historique qui permet d'éditer la base SAM hors ligne, de vider un mot de passe ou de débloquer un compte. Il est inclus dans la plupart des distributions de dépannage (SystemRescue, Kali, etc.).

Le principe est simple : démarrer sur une clé USB Linux, monter la partition Windows, puis :

cd /mnt/windows/Windows/System32/config
chntpw -u Administrateur SAM

Le menu interactif permet alors de vider le mot de passe (option 1), ce qui est souvent préférable à le redéfinir. Plus d'informations sur le site officiel : http://pogostick.net/~pnh/ntpasswd/

chntpw fonctionne aussi bien sur Windows 7 que sur Windows 11, à condition que le disque ne soit pas chiffré.

Méthode 2 — La substitution Utilman (cmd à la mire de login)

C'est la méthode de référence quand on a un support d'installation Windows sous la main. Le principe : remplacer un exécutable d'accessibilité accessible depuis l'écran de connexion (typiquement Utilman.exe, lancé par le bouton « Options d'ergonomie » en bas à droite de la mire, ou sethc.exe, déclenché par cinq appuis successifs sur la touche Maj) par cmd.exe. Au prochain démarrage, un clic sur l'icône correspondante ouvre alors une invite de commandes avec les privilèges SYSTEM — soit le niveau de droits le plus élevé sur Windows.

Mise en œuvre

Démarrer la machine sur un support d'installation Windows (clé USB, ISO monté, support de réparation) et choisir « Réparer l'ordinateur » → « Dépannage » → « Invite de commandes ». Sur les versions récentes de Windows 11, on peut aussi y arriver directement depuis la mire de connexion en cliquant sur l'icône « Marche/Arrêt » tout en maintenant Maj enfoncée, puis « Redémarrer ».

Astuce de raccourci pratique : depuis l'écran d'accueil de l'installeur Windows, la combinaison Maj + F10 ouvre immédiatement une invite de commandes, sans avoir à parcourir les menus.

Une fois dans la console, identifier la lettre du lecteur où Windows est installé. Dans cet environnement, ce n'est généralement pas C: (qui est souvent la clé d'installation ou un volume réservé) — c'est typiquement D: ou E:. À vérifier avec :

diskpart
list volume
exit

Puis se placer sur le bon volume (on prendra D: dans l'exemple ci-dessous, à adapter) :

D:
cd Windows\System32
copy Utilman.exe Utilman.exe.bak
copy /y cmd.exe Utilman.exe

Redémarrer la machine (wpeutil reboot fait l'affaire) en pensant à retirer la clé USB pour ne pas rebooter dessus. À la mire de connexion, cliquer sur l'icône d'ergonomie (en bas à droite) : une console SYSTEM s'ouvre. On peut alors réinitialiser le mot de passe d'un compte local existant :

net user Administrateur NouveauMotDePasse

Si l'on ne connaît pas la liste des comptes locaux disponibles, net user sans argument les affiche tous.

Cas du compte protégé par Windows LAPS

Si le compte cible est géré par LAPS, la commande précédente échoue avec :

L'erreur système 8654 s'est produite
Le compte est contrôlé par une stratégie externe et ne peut pas être modifié.

Inutile d'insister : il faut créer un nouveau compte administrateur local plutôt que de tenter de modifier celui qui est verrouillé.

net user MonAdmin MotDePasse /add
net localgroup Administrateurs MonAdmin /add

(Sur un Windows en anglais, le groupe s'appelle Administrators — c'est un piège classique sur les images OEM.)

Restaurer le fichier d'origine

Une fois l'accès rétabli, il est impératif de remettre Utilman.exe en place, sous peine de laisser une porte dérobée critique sur la machine : n'importe qui accédant à la mire ouvrirait une console SYSTEM d'un clic.

Comme Utilman.exe est protégé pendant que Windows tourne, il faut rebooter à nouveau sur le support d'installation, ouvrir une invite (Maj + F10), puis :

D:
cd Windows\System32
del Utilman.exe
ren Utilman.exe.bak Utilman.exe

Méthode 3 — Outils dédiés

Pour ceux qui préfèrent une interface graphique, des outils comme Lazesoft Recover My Password, Hiren's BootCD PE, Medicat ou Offline NT Password & Registry Editor (le projet historique dont chntpw est issu) automatisent les manipulations précédentes depuis une clé USB bootable. Ils sont pratiques pour les techniciens qui interviennent régulièrement sur ce type de problème.

Leur seul vrai inconvénient : ils ne contournent ni BitLocker, ni LAPS. La couche qui bloque n'est pas le manque d'outil, c'est la cryptographie ou la stratégie.

Le cas BitLocker

Si le volume système est chiffré par BitLocker, toute tentative d'accès au contenu du disque depuis l'environnement de récupération renverra un message du type : « Ce lecteur est verrouillé par le chiffrement de lecteur BitLocker. »

La commande suivante confirme l'état du chiffrement :

manage-bde -status

Si l'on dispose de la clé de récupération (48 chiffres, fournie à l'activation de BitLocker, archivée dans un compte Microsoft, dans Active Directory, dans Entra ID ou dans une solution comme Intune/MBAM), on peut déverrouiller le volume à la volée :

manage-bde -unlock D: -RecoveryPassword 123456-123456-123456-123456-123456-123456-123456-123456

Le volume D: devient alors accessible, et la procédure Utilman ci-dessus s'applique normalement. Sans la clé, en revanche, il n'y a pas de raccourci : c'est précisément le rôle de BitLocker.

En dernier recours : la réinitialisation du PC

Si aucune des méthodes ci-dessus n'est applicable — typiquement parce que BitLocker est actif et que la clé de récupération est introuvable — il reste la réinitialisation complète, accessible en maintenant la touche Maj enfoncée tout en cliquant sur « Redémarrer » depuis l'écran de connexion. Cette option permet d'accéder à l'environnement de récupération Windows et de réinitialiser le PC.

Il faut bien comprendre que ce n'est pas une méthode de réinitialisation de mot de passe : c'est une réinstallation qui efface tous les comptes et données personnelles. À ce stade, autant réinstaller proprement Windows.

Ce qu'il faut retenir sur la sécurité

Ces méthodes fonctionnent toutes parce qu'elles supposent un accès physique à la machine. La leçon est donc évidente : sur tout poste contenant des données sensibles, BitLocker (ou un équivalent) est indispensable. Sans chiffrement du disque, n'importe qui disposant de cinq minutes seul devant la machine peut s'octroyer les droits SYSTEM. Avec BitLocker correctement configuré (TPM + PIN idéalement) et la clé de récupération stockée dans un coffre sécurisé (Active Directory, Entra ID, gestionnaire de mots de passe), les techniques décrites ici deviennent inopérantes sans cette clé.

Dans un parc d'entreprise, deux mesures complémentaires limitent encore la surface d'attaque :

  • Windows LAPS pour faire tourner automatiquement le mot de passe Administrateur local de chaque poste, et le stocker chiffré dans l'annuaire. Même si un attaquant parvient à booter sur un support externe, il ne récupère qu'un hash inutile.
  • Secure Boot activé et mot de passe BIOS/UEFI, pour empêcher tout simplement le boot sur clé USB.

Enfin, ces manipulations supposent que l'on est légitimement propriétaire de la machine ou autorisé à intervenir dessus. Les appliquer sur un poste qui ne vous appartient pas relève de l'accès frauduleux à un système informatique, et est puni par la loi (article 323-1 du Code pénal en France).

Reference in New Issue View Git Blame Copy Permalink