Erreurs d'authentification

"Invalid credentials", codes MFA rejetés, ou échecs de connexion soudains après un changement de mot de passe ? Suivez ces étapes dans l'ordre — le clock drift (étape 2) est la cause cachée la plus fréquente.

Advertisement · 728×90
🔑

Erreurs d'authentification

Échecs de connexion, problèmes de MFA et erreurs de credentials sur VPN, apps, ou network shares

⚠ Symptômes courants

  • "Authentication failed", "Invalid credentials", ou "Access denied" à la connexion
  • Les codes MFA générés correctement sont quand même rejetés
  • Fonctionne sur un appareil mais pas sur un autre avec les mêmes credentials
  • Commence soudainement à échouer après un changement de mot de passe ou une mise à jour de policy
  • 1

    Vérifiez vos credentials sur une interface qui fonctionne déjà

    Avant de modifier les paramètres, connectez-vous au compte via le navigateur, pas l'app.

    Compte personnel (Google, Microsoft, banque, etc.) : utilisez la page de connexion du provider → flow de récupération de mot de passe si besoin.

    Compte professionnel : connectez-vous plutôt au portail web/webmail de l'entreprise → si ça échoue, utilisez le self-service reset du provider (personnel) ou contactez l'IT (professionnel).

  • 2

    Synchronisez l'horloge système — le clock skew cause des échecs d'auth

    Kerberos et le MFA basé sur TOTP ont besoin que l'heure système soit précise à 5 min près du serveur — 6 min de drift rejette des credentials valides. Sur Windows, ouvrez un Command Prompt en mode élevé → exécutez :

    w32tm /resync /force

    On Mac: System Settings → General → Date & Time → enable "Set automatically."

  • 3

    Réenregistrez votre app authenticator MFA

    Codes MFA rejetés alors qu'ils semblent valides = l'horloge de l'app authenticator a dérivé. Google Authenticator : Settings → Time Correction for Codes → Sync Now. Microsoft Authenticator : se sync automatiquement, mais réinstaller + rajouter le compte est le fix le plus fiable.

  • 4

    Supprimez les credentials enregistrés (cached) du Windows Credential Manager

    Des credentials cached obsolètes prennent le dessus sur ce que vous tapez à la connexion. Ouvrez Control Panel → Credential Manager → Windows Credentials → supprimez les entrées liées au système auquel vous accédez (cherchez le nom du serveur/app) → réessayez l'authentification.

  • 5

    Vérifiez les problèmes de certificate ou TLS

    Certains échecs d'auth sont en fait des échecs de TLS handshake signalés à tort comme des erreurs de credentials — vérifiez les détails d'erreur de l'app pour des warnings de certificate expiré/untrusted.

    Appareil professionnel : souvent un root certificate expiré sur le SSL inspection proxy de l'entreprise → l'IT doit le mettre à jour.

    Appareil personnel : souvent Windows ou l'antivirus qui a besoin d'une mise à jour, ou l'antivirus qui fait son propre SSL scanning → mettez les deux à jour, ou désactivez temporairement le HTTPS scanning de l'antivirus.

  • 1

    Vérifiez vos credentials sur une interface qui fonctionne déjà

    Ouvrez Safari → connectez-vous directement via le navigateur, pas l'app.

    Compte personnel (Google, Microsoft, banque, etc.) : utilisez la page de connexion du provider → flow de récupération de mot de passe si besoin.

    Compte professionnel : connectez-vous plutôt au portail web/webmail de l'entreprise → si ça échoue, utilisez le self-service reset du provider (personnel) ou l'outil self-service de l'entreprise/IT (professionnel) — avant de faire tout changement local.

  • 2

    Synchronisez l'horloge système — le clock drift cause des échecs d'auth

    Kerberos et le MFA basé sur TOTP ont besoin que l'horloge de votre Mac soit précise à 5 min près de l'heure serveur. Activez System Settings → General → Date & Time → Set time and date automatically → pour un re-sync immédiat, ouvrez Terminal et exécutez :

    sudo sntp -sS time.apple.com
  • 3

    Réenregistrez votre app authenticator MFA

    Codes MFA rejetés alors qu'ils semblent corrects = l'horloge de l'app authenticator a dérivé. Google Authenticator : Settings → Time Correction for Codes → Sync Now.

    Microsoft Authenticator : se sync automatiquement, mais réinstaller + rajouter votre compte professionnel via le portail d'enregistrement MFA de l'entreprise est le fix le plus fiable en cas de rejets persistants.

  • 4

    Supprimez les credentials obsolètes du macOS Keychain

    macOS stocke les mots de passe/tokens enregistrés dans Keychain — les anciennes entrées d'avant un changement de mot de passe prennent silencieusement le dessus sur ce que vous tapez à la connexion.

    Ouvrez Keychain Access (Spotlight → Keychain Access) → cherchez le hostname du serveur/nom de l'app/domaine de l'entreprise → supprimez les entrées antérieures à votre dernier changement de mot de passe ou qui semblent dupliquées → réessayez l'authentification. macOS demandera de nouveaux credentials.

  • 5

    Vérifiez les erreurs de certificate ou TLS

    Certains échecs d'auth sont en fait des erreurs de TLS handshake signalées à tort comme "mot de passe incorrect". Dans Safari, cliquez sur Show Details sur n'importe quel warning de certificate → vérifiez l'issuer et la date d'expiration.

    Mac professionnel : souvent le SSL inspection proxy de l'entreprise avec un root certificate expiré → l'IT doit le renouveler.

    Mac personnel : souvent macOS lui-même qui a besoin d'une mise à jour, ou un logiciel de sécurité tiers qui fait son propre SSL scanning. Vérifiez aussi Keychain Access → System keychain → Certificates pour tout ce qui est expiré/untrusted.

  • 1

    Vérifiez les credentials sur une interface qui fonctionne déjà

    # Test login via curl (e.g. check web portal response)
    curl -v -u username:password https://your-company-portal.com

    # Test Kerberos ticket (if using Active Directory)
    kinit username@DOMAIN.COM
    klist
  • 2

    Synchronisez l'horloge système

    # Check current time and NTP sync status
    timedatectl status

    # Enable automatic NTP sync
    sudo timedatectl set-ntp true

    # Force immediate sync
    sudo systemctl restart systemd-timesyncd
    timedatectl show-timesync --all

    Kerberos (environnements corporate Active Directory) nécessite une précision d'horloge à 5 minutes près du serveur.

  • 3

    Resynchronisez votre app authenticator MFA

    Google Authenticator : ouvrez l'app → menu à trois points → Time correction for codes → Sync now. Microsoft Authenticator : réinstaller + rajouter le compte est le fix le plus fiable si les codes sont rejetés alors qu'ils semblent valides.

  • 4

    Supprimez les credentials enregistrés du keyring

    # List and delete stale credentials (GNOME Keyring)
    sudo apt install seahorse -y
    seahorse

    # Or clear Kerberos ticket cache
    kdestroy

    # Clear NTLM/SMB cached credentials
    rm -rf ~/.local/share/keyrings/*.keyring

    Dans Seahorse (Passwords and Keys) : Passwords → Login → supprimez les entrées liées au système auquel vous n'arrivez pas à vous authentifier.

  • 5

    Vérifiez les problèmes de certificate ou TLS

    # Test SSL/TLS handshake and certificate chain
    openssl s_client -connect your-server.com:443 -showcerts

    # Update CA certificates if corp root CA is expired
    sudo update-ca-certificates

    # Add a corporate root CA to the trusted store
    sudo cp corp-root-ca.crt /usr/local/share/ca-certificates/
    sudo update-ca-certificates
💡

Quick check: If the same credentials work fine on your phone but fail on your laptop, the issue is almost always clock drift or cached credentials on the laptop specifically — start with steps 2 and 4.

Advertisement · 728×90

Related Questions

Quick answers for this issue

First verify your password is correct by logging into your company portal directly. If your account uses MFA, make sure your authenticator app's time is synced. Authentication errors are also caused by clock skew — enable "Set time automatically" in your date/time settings. If you're specifically having VPN trouble, see our VPN guide as well.
Three common non-obvious causes: (1) Your system clock is off by more than 5 minutes, which causes Kerberos and TOTP-based MFA to reject valid credentials. (2) Your device has stale cached credentials stored in Windows Credential Manager that override what you type. (3) A TLS/SSL certificate mismatch between your PC and the authentication server is being reported as a login failure. Check all three before resetting your password.
This points to step 5 — a TLS/certificate issue rather than your credentials being wrong. It's common on corporate networks that use an SSL inspection proxy; if that proxy's certificate has expired or isn't trusted by your device, every HTTPS login can fail with a misleading "authentication" error. This also overlaps with our Website Blocked guide, which covers certificate warnings before block pages.
🧑‍💻

Toujours bloqué ? Un technicien peut vérifier ce à quoi vous n'avez pas accès.

Group Policy, certificate stores, et les logs de l'identity provider nécessitent souvent un accès admin niveau IT pour diagnostiquer. Connectez-vous avec un technicien vérifié pour du support à distance.

Parler à un technicien

Authentication trouble often overlaps with these.

Advertisement · 728×90