Empêcher l'expiration du mot de passe local

Si votre compte local Windows affiche « Le mot de passe a expiré », vous pouvez soit modifier le paramètre du compte pour « Mot de passe n’expire jamais », soit appliquer une stratégie pour tous les comptes, soit utiliser un CD/USB de démarrage pour réinitialiser un mot de passe verrouillé. Cet article décrit cinq méthodes — Gestion de l’ordinateur, Invite de commandes, PowerShell, Stratégie locale et utilitaire de démarrage — avec conseils de sécurité, critères de réussite et une checklist d’administrateur.

Image montrant un écran Windows avec un message d’expiration de mot de passe

Introduction

Rencontrer le message « Votre mot de passe a expiré et doit être changé » empêche l’accès à votre session et peut interrompre votre travail. Cet article présente des solutions pratiques pour définir un compte local afin que son mot de passe n’expire jamais ou pour rétablir l’accès si vous êtes bloqué. Les quatre premières méthodes supposent que vous pouvez déjà ouvrir une session avec un compte administrateur. La cinquième méthode convient si vous êtes complètement verrouillé hors du système.

Important : définir « Mot de passe n’expire jamais » réduit la sécurité. Appliquez cette option uniquement quand c’est nécessaire (ex. postes dédiés, comptes machines, comptes de service) et combinez-la avec d’autres protections (authentification multifactorielle, mots de passe longs et surveillés).

Méthodes pour empêcher l’expiration du mot de passe

Chaque méthode ci‑dessous explique les étapes, les prérequis et des notes de sécurité.

1) Gestion de l’ordinateur : définir “Mot de passe n’expire jamais” pour un compte local

Capture d'écran de la console Gestion de l'ordinateur montrant les utilisateurs locaux

Prérequis : accès administrateur local.

Étapes :

Ouvrez l’Explorateur et faites un clic droit sur “Ce PC” puis choisissez “Gérer”.
Dans la console Gestion de l’ordinateur, développez Outils système > Utilisateurs et groupes locaux > Utilisateurs.
Faites un clic droit sur le compte concerné et choisissez “Propriétés”.
Cochez l’option « Le mot de passe n’expire jamais » puis validez par OK.
Pour vérifier la date d’expiration (avant modification) : ouvrez une fenêtre Invite de commandes (cmd) et lancez :

net user NOM_DE_COMPTE

Remplacez NOM_DE_COMPTE par le nom du compte. Dans la sortie, la ligne “Mot de passe expirant” indique la date d’expiration.

Notes : cette méthode est la plus simple pour un petit nombre d’utilisateurs locaux.

2) Invite de commandes (WMIC) : désactiver l’expiration pour un compte

Image montrant une invite de commandes Windows en cours d’exécution

Prérequis : exécuter cmd en tant qu’administrateur.

Commande :

wmic useraccount where "Name='nom_compte'" set PasswordExpires=false

Remplacez nom_compte par le nom exact du compte local. Après exécution, vérifiez avec :

net user nom_compte

La sortie doit indiquer que le mot de passe n’expire pas.

Important : WMIC fonctionne sur plusieurs versions de Windows, mais WMIC est obsolète dans les éditions récentes. Préférez PowerShell quand possible.

3) PowerShell : définir PasswordNeverExpires

Prérequis : PowerShell en tant qu’administrateur (Windows 10/11 recommandé).

Commande :

Set-LocalUser -Name "nom_compte" -PasswordNeverExpires 1

Explication : Set-LocalUser est un cmdlet moderne. Remplacez nom_compte par l’identifiant du compte local. Pour vérifier :

Get-LocalUser -Name "nom_compte" | Select-Object Name,PasswordNeverExpires

Notes : PowerShell est la méthode recommandée pour les scripts et l’automatisation.

4) Stratégie locale (secpol) ou net accounts : définir l’expiration pour tous les comptes

Prérequis : édition Windows avec Éditeur de stratégie de sécurité locale (Local Security Policy) disponible ; accès administrateur.

Option A — Interface graphique :

Appuyez sur Windows + R, tapez secpol.msc et validez.
Allez dans Stratégies de compte > Stratégie de mot de passe.
Définissez “Durée maximale de vie du mot de passe” sur 0.

0 signifie « jamais » — le système n’expirera pas les mots de passe.

Option B — Invite de commandes pour appliquer globalement :

net accounts /maxpwage:unlimited

Remarque : “unlimited” rend la durée illimitée pour tous les comptes locaux. Cette option affecte l’ensemble des comptes et doit être utilisée avec prudence sur des postes partagés.

5) Réinitialiser et définir “n’expire jamais” depuis un support de démarrage (PCUnlocker ou équivalent)

Quand l’expiration est déjà effective et que vous ne pouvez plus ouvrir de session, il faut démarrer depuis un autre média pour modifier les comptes.

Outils : PCUnlocker, ou tout utilitaire similaire de réinitialisation de mot de passe qui peut modifier les comptes locaux hors ligne.

Étapes générales :

Sur un PC accessible, créez un média de démarrage (CD/USB) avec l’utilitaire (voir la documentation du fournisseur).
Démarrez le PC verrouillé depuis ce média (modifier l’ordre de démarrage si nécessaire dans le BIOS/UEFI).
Dans l’interface de l’utilitaire, sélectionnez le compte local et choisissez “Réinitialiser le mot de passe”.
Après réinitialisation, l’outil peut offrir une option pour cocher “Mot de passe n’expire jamais” ; sinon, une fois connecté, appliquez la méthode 1, 2 ou 3.
Redémarrez normalement et retirez le média.

Sécurité : n’utilisez ces outils que sur des machines dont vous avez l’autorisation d’administration. Ces utilitaires contournent les protections et sont puissants en cas d’abus.

Quand ces solutions échouent (contre‑exemples et dépannage)

Édition Windows restreinte : sur certaines éditions Entreprise reliées à Azure AD ou Active Directory, les réglages locaux peuvent être ignorés par les politiques de domaine. Solution : contacter l’administrateur AD/Azure AD.
Compte administrateur désactivé ou corrompu : dans ce cas, démarrage sur média externe et réparation du profil peut être nécessaire.
BitLocker activé : si le disque est chiffré, le démarrage externe demandera la clé de récupération.
Restrictions de sécurité (LAPS, GPO centralisées) : sur un PC géré par une entreprise, la stratégie de mot de passe peut être réappliquée à intervalles réguliers par le contrôleur de domaine.

Conseils de dépannage : vérifier l’appartenance au domaine, inspecter les GPO locales et distantes avec gpresult /h rapport.html, et contacter l’équipe sécurité.

Alternatives et meilleures pratiques

Pour comptes de service, privilégiez des comptes gérés par le système (Managed Service Accounts) plutôt que des comptes locaux à mot de passe fixe.
Activez l’authentification multifactorielle (MFA) quand c’est possible.
Utilisez un gestionnaire de mots de passe pour générer et stocker des mots de passe longs et uniques.
Planifiez une rotation contrôlée des mots de passe avec journalisation et notifications si vous devez conserver l’expiration.

Mini‑méthodologie pour choisir une option

Pouvez-vous ouvrir une session avec un compte admin local ?
- Oui : utilisez Gestion de l’ordinateur (méthode 1) ou PowerShell (méthode 3).
- Non : passez à l’option 5 (démarrage depuis un média externe).
Avez‑vous besoin d’appliquer la règle à tous les postes ?
- Oui : utilisez la stratégie locale ou net accounts (méthode 4) ou GPO si vous êtes en domaine.
Avez‑vous besoin d’automatiser pour plusieurs machines ?
- Oui : écrivez un script PowerShell qui applique Set-LocalUser ou exécute une commande WMIC.

Checklist rôle‑par rôle

Administrateur local :

Vérifier l’appartenance au groupe Administrateurs.
Vérifier la stratégie locale de mot de passe (secpol.msc).
Appliquer Set-LocalUser si requis.
Consigner la modification dans l’inventaire.

Utilisateur standard :

Contacter l’administrateur si vous êtes verrouillé.
Ne pas utiliser d’outils de réinitialisation sans autorisation.

Responsable sécurité :

Évaluer l’impact de l’option “n’expire jamais” sur la politique globale.
S’assurer de la présence de MFA ou d’autres compensations.

Critères de réussite (Критерии приёмки)

Après modification, la commande de vérification montre que le mot de passe n’expire pas :

net user nom_compte

Ou avec PowerShell :

Get-LocalUser -Name "nom_compte" | Select-Object Name,PasswordNeverExpires

L’utilisateur peut se connecter sans être invité à changer le mot de passe au prochain démarrage.

Test cases / acceptance criteria

Cas 1 — Compte local modifié : l’utilisateur se connecte et la propriété PasswordNeverExpires = True.
Cas 2 — Politique globale appliquée : sur une machine de test, net accounts /maxpwage:unlimited empêche toute expiration.
Cas 3 — Scénario verrouillé : démarrage depuis média externe, réinitialisation du mot de passe, connexion réussie.

Sécurité et vie privée (notes GDPR et risques)

Risque : définir “n’expire jamais” augmente la fenêtre d’exposition si un mot de passe fuit. Compensez par MFA et surveillance.
Vie privée : la modification des comptes locaux ne collecte pas d’informations personnelles supplémentaires, mais conservez des logs pour l’audit.
Conformité : certains standards (PCI‑DSS, ISO) recommandent des politiques de rotation. Documentez les exemptions et obtenez approbation pour tout compte exempté.

Diagramme de décision rapide (Mermaid)

flowchart TD
  A[Pouvez-vous vous connecter avec un compte admin ?] -->|Oui| B[Utiliser Gestion de l\'ordinateur ou PowerShell]
  A -->|Non| C[Utiliser un média de démarrage 'PCUnlocker']
  B --> D{Appliquer à tous les comptes ?}
  D -->|Oui| E[net accounts /maxpwage:unlimited ou GPO]
  D -->|Non| F[Set-LocalUser ou Gestion de l\'ordinateur pour comptes spécifiques]

Glossaire (1 ligne chacun)

Mot de passe n’expire jamais : option qui empêche Windows de forcer le changement périodique du mot de passe.
GPO : Group Policy Object, stratégie appliquée depuis un contrôleur de domaine.
MFA : Authentification multifacteur, ajoute un second moyen de vérification.

FAQ

Faut‑il définir les mots de passe sur “n’expire jamais” ?

En règle générale, non pour les comptes utilisateurs humains : cela réduit la sécurité. En revanche, pour certains comptes machine, services ou postes peu exposés, l’option peut être acceptable si elle est compensée par des contrôles supplémentaires (MFA, mots de passe longs, journalisation).

L’expiration des mots de passe améliore‑t‑elle la sécurité ?

Les études récentes montrent que l’expiration forcée fréquente peut pousser les utilisateurs à choisir des mots de passe faibles ou dérivés. L’expiration a un bénéfice limité sauf après une suspicion de compromission. Mieux vaut privilégier l’usage de mots de passe forts, MFA et détection d’anomalies.

Résumé et recommandations

Pour un ou quelques comptes : utilisez Gestion de l’ordinateur ou PowerShell.
Pour l’ensemble des comptes sur une machine : appliquez net accounts /maxpwage:unlimited ou modifiez la stratégie locale.
Si vous êtes verrouillé hors du système : démarrez depuis un média externe et réinitialisez le mot de passe en respectant l’autorisation.
Toujours documenter les exemptions, protéger les comptes avec MFA quand c’est possible et auditer les modifications.

Conclusion

Empêcher l’expiration des mots de passe est simple techniquement, mais nécessite une évaluation de sécurité. Choisissez la méthode adaptée à votre situation (locale, groupée, ou récupération hors ligne) et combinez l’option avec des mesures compensatoires pour limiter les risques.

Illustration d’un administrateur corrigeant des paramètres de mot de passe sur plusieurs machines