Erreurs d'authentification
Échecs de connexion, problèmes de MFA et erreurs de credentials sur VPN, apps, ou network shares
⚠ Symptômes courants
- "Authentication failed", "Invalid credentials", ou "Access denied" à la connexion
- Les codes MFA générés correctement sont quand même rejetés
- Fonctionne sur un appareil mais pas sur un autre avec les mêmes credentials
- Commence soudainement à échouer après un changement de mot de passe ou une mise à jour de policy
-
1
Vérifiez vos credentials sur une interface qui fonctionne déjà
Avant de modifier les paramètres, connectez-vous au compte via le navigateur, pas l'app.
Compte personnel (Google, Microsoft, banque, etc.) : utilisez la page de connexion du provider → flow de récupération de mot de passe si besoin.
Compte professionnel : connectez-vous plutôt au portail web/webmail de l'entreprise → si ça échoue, utilisez le self-service reset du provider (personnel) ou contactez l'IT (professionnel). -
2
Synchronisez l'horloge système — le clock skew cause des échecs d'auth
Kerberos et le MFA basé sur TOTP ont besoin que l'heure système soit précise à 5 min près du serveur — 6 min de drift rejette des credentials valides. Sur Windows, ouvrez un Command Prompt en mode élevé → exécutez :
w32tm /resync /forceOn Mac: System Settings → General → Date & Time → enable "Set automatically."
-
3
Réenregistrez votre app authenticator MFA
Codes MFA rejetés alors qu'ils semblent valides = l'horloge de l'app authenticator a dérivé. Google Authenticator : Settings → Time Correction for Codes → Sync Now. Microsoft Authenticator : se sync automatiquement, mais réinstaller + rajouter le compte est le fix le plus fiable.
-
4
Supprimez les credentials enregistrés (cached) du Windows Credential Manager
Des credentials cached obsolètes prennent le dessus sur ce que vous tapez à la connexion. Ouvrez Control Panel → Credential Manager → Windows Credentials → supprimez les entrées liées au système auquel vous accédez (cherchez le nom du serveur/app) → réessayez l'authentification.
-
5
Vérifiez les problèmes de certificate ou TLS
Certains échecs d'auth sont en fait des échecs de TLS handshake signalés à tort comme des erreurs de credentials — vérifiez les détails d'erreur de l'app pour des warnings de certificate expiré/untrusted.
Appareil professionnel : souvent un root certificate expiré sur le SSL inspection proxy de l'entreprise → l'IT doit le mettre à jour.
Appareil personnel : souvent Windows ou l'antivirus qui a besoin d'une mise à jour, ou l'antivirus qui fait son propre SSL scanning → mettez les deux à jour, ou désactivez temporairement le HTTPS scanning de l'antivirus.
-
1
Vérifiez vos credentials sur une interface qui fonctionne déjà
Ouvrez Safari → connectez-vous directement via le navigateur, pas l'app.
Compte personnel (Google, Microsoft, banque, etc.) : utilisez la page de connexion du provider → flow de récupération de mot de passe si besoin.
Compte professionnel : connectez-vous plutôt au portail web/webmail de l'entreprise → si ça échoue, utilisez le self-service reset du provider (personnel) ou l'outil self-service de l'entreprise/IT (professionnel) — avant de faire tout changement local. -
2
Synchronisez l'horloge système — le clock drift cause des échecs d'auth
Kerberos et le MFA basé sur TOTP ont besoin que l'horloge de votre Mac soit précise à 5 min près de l'heure serveur. Activez System Settings → General → Date & Time → Set time and date automatically → pour un re-sync immédiat, ouvrez Terminal et exécutez :
sudo sntp -sS time.apple.com -
3
Réenregistrez votre app authenticator MFA
Codes MFA rejetés alors qu'ils semblent corrects = l'horloge de l'app authenticator a dérivé. Google Authenticator : Settings → Time Correction for Codes → Sync Now.
Microsoft Authenticator : se sync automatiquement, mais réinstaller + rajouter votre compte professionnel via le portail d'enregistrement MFA de l'entreprise est le fix le plus fiable en cas de rejets persistants. -
4
Supprimez les credentials obsolètes du macOS Keychain
macOS stocke les mots de passe/tokens enregistrés dans Keychain — les anciennes entrées d'avant un changement de mot de passe prennent silencieusement le dessus sur ce que vous tapez à la connexion.
Ouvrez Keychain Access (Spotlight → Keychain Access) → cherchez le hostname du serveur/nom de l'app/domaine de l'entreprise → supprimez les entrées antérieures à votre dernier changement de mot de passe ou qui semblent dupliquées → réessayez l'authentification. macOS demandera de nouveaux credentials. -
5
Vérifiez les erreurs de certificate ou TLS
Certains échecs d'auth sont en fait des erreurs de TLS handshake signalées à tort comme "mot de passe incorrect". Dans Safari, cliquez sur Show Details sur n'importe quel warning de certificate → vérifiez l'issuer et la date d'expiration.
Mac professionnel : souvent le SSL inspection proxy de l'entreprise avec un root certificate expiré → l'IT doit le renouveler.
Mac personnel : souvent macOS lui-même qui a besoin d'une mise à jour, ou un logiciel de sécurité tiers qui fait son propre SSL scanning. Vérifiez aussi Keychain Access → System keychain → Certificates pour tout ce qui est expiré/untrusted.
-
1
Vérifiez les credentials sur une interface qui fonctionne déjà
# Test login via curl (e.g. check web portal response)
curl -v -u username:password https://your-company-portal.com
# Test Kerberos ticket (if using Active Directory)
kinit username@DOMAIN.COM
klist -
2
Synchronisez l'horloge système
# Check current time and NTP sync status
timedatectl status
# Enable automatic NTP sync
sudo timedatectl set-ntp true
# Force immediate sync
sudo systemctl restart systemd-timesyncd
timedatectl show-timesync --allKerberos (environnements corporate Active Directory) nécessite une précision d'horloge à 5 minutes près du serveur.
-
3
Resynchronisez votre app authenticator MFA
Google Authenticator : ouvrez l'app → menu à trois points → Time correction for codes → Sync now. Microsoft Authenticator : réinstaller + rajouter le compte est le fix le plus fiable si les codes sont rejetés alors qu'ils semblent valides.
-
4
Supprimez les credentials enregistrés du keyring
# List and delete stale credentials (GNOME Keyring)
sudo apt install seahorse -y
seahorse
# Or clear Kerberos ticket cache
kdestroy
# Clear NTLM/SMB cached credentials
rm -rf ~/.local/share/keyrings/*.keyringDans Seahorse (Passwords and Keys) : Passwords → Login → supprimez les entrées liées au système auquel vous n'arrivez pas à vous authentifier.
-
5
Vérifiez les problèmes de certificate ou TLS
# Test SSL/TLS handshake and certificate chain
openssl s_client -connect your-server.com:443 -showcerts
# Update CA certificates if corp root CA is expired
sudo update-ca-certificates
# Add a corporate root CA to the trusted store
sudo cp corp-root-ca.crt /usr/local/share/ca-certificates/
sudo update-ca-certificates
Quick check: If the same credentials work fine on your phone but fail on your laptop, the issue is almost always clock drift or cached credentials on the laptop specifically — start with steps 2 and 4.