Comment consulter l’historique des connexions Windows dans Windows 10 et Windows 11

Vue d’ensemble

Comment voir qui s’est connecté à Windows 10 ou Windows 11

Windows enregistre de nombreux événements liés à l’authentification dans le journal intégré Sécurité. En consultant ces événements, vous pouvez savoir quand une personne s’est connectée, si la connexion était locale ou distante, quel compte a été utilisé et s’il y a eu des tentatives de mot de passe échouées.

L’outil intégré le plus utile pour cette tâche est l’Observateur d’événements. Vous pouvez aussi utiliser PowerShell pour filtrer plus rapidement, l’invite de commandes pour obtenir des informations de base sur les comptes, ainsi que la page de sécurité du compte Microsoft si vous vous connectez avec un compte Microsoft.

ℹ️

Bon à savoir Vous devez généralement disposer de droits administrateur pour consulter l’ensemble du journal Sécurité. Les utilisateurs standard peuvent ne pas voir tous les événements d’audit de connexion.

Ce que vous pouvez trouver

Les connexions locales réussies au PC.
Les tentatives de mot de passe échouées.
Les sessions de connexion via Bureau à distance.
Les événements de verrouillage et de déverrouillage de l’ordinateur.
Les noms de compte, les horodatages, les types de connexion et les noms des ordinateurs sources.

Référence

ID d’événements de connexion Windows à connaître

Avant de consulter les journaux, il est utile de connaître les ID d’événements les plus courants. Ces numéros sont utilisés par Windows pour identifier des événements précis liés aux connexions et aux comptes.

4624 Connexion de compte réussie. C’est l’événement principal pour retrouver les connexions réussies.

4625 Tentative de connexion échouée. Utile pour vérifier les mots de passe incorrects ou les tentatives d’accès non autorisées.

4634 Déconnexion du compte. Indique quand une session de connexion s’est terminée.

4647 Déconnexion initiée par l’utilisateur. Indique que l’utilisateur s’est déconnecté volontairement.

4800 Station de travail verrouillée. Apparaît lorsque l’ordinateur est verrouillé.

4801 Station de travail déverrouillée. Apparaît lorsque l’ordinateur est déverrouillé.

Types de connexion courants

Type de connexion	Signification	Exemple
`2`	Connexion interactive	Quelqu’un s’est connecté avec le clavier et l’écran du PC.
`3`	Connexion réseau	Accès à un dossier partagé ou à une ressource réseau.
`7`	Déverrouillage	L’utilisateur a déverrouillé une session précédemment verrouillée.
`10`	Connexion interactive distante	Connexion via Bureau à distance.
`11`	Connexion interactive mise en cache	Un utilisateur de domaine s’est connecté avec des identifiants mis en cache.

Méthode 1

Consulter l’historique des connexions Windows avec l’Observateur d’événements

L’Observateur d’événements est la méthode graphique la plus simple pour consulter l’historique des connexions Windows. Elle fonctionne dans Windows 10 comme dans Windows 11.

Appuyez sur Win + R.
Tapez eventvwr.msc et appuyez sur Entrée.
Dans le panneau de gauche, ouvrez Journaux Windows.
Sélectionnez Sécurité.
Recherchez les événements avec l’ID 4624 pour les connexions réussies et 4625 pour les connexions échouées.

Observateur d’événements → Journaux Windows → Sécurité

Cliquez sur un événement et ouvrez l’onglet Général. Recherchez des champs comme Nom du compte, Type de connexion, Nom de la station de travail, Adresse réseau source et Raison de l’échec.

⚠️

Important Une seule connexion réelle d’utilisateur peut générer plusieurs événements. Windows enregistre aussi les processus en arrière-plan, les services, les accès réseau et les événements d’authentification système. Vérifiez toujours le Type de connexion avant de tirer des conclusions.

Méthode 2

Filtrer les connexions réussies et les tentatives échouées dans l’Observateur d’événements

Le journal Sécurité peut contenir des milliers d’événements. Le filtrage par ID d’événement permet de trouver beaucoup plus facilement uniquement les enregistrements de connexion dont vous avez besoin.

Filtrer les connexions réussies

Ouvrez l’Observateur d’événements.
Accédez à Journaux Windows → Sécurité.
Cliquez sur Filtrer le journal actuel à droite.
Dans le champ <Tous les ID d’événements>, saisissez 4624.
Cliquez sur OK.

Filtrer les tentatives de connexion échouées

Ouvrez la même fenêtre Filtrer le journal actuel.
Saisissez 4625 dans le champ d’ID d’événement.
Cliquez sur OK.
Ouvrez un événement et vérifiez Raison de l’échec et Nom du compte.

Pour vérifier plusieurs types d’événements à la fois, saisissez-les séparés par des virgules :

4624,4625,4634,4647,4800,4801

Méthode 3

Utiliser PowerShell pour consulter l’historique des connexions Windows

PowerShell est plus rapide si vous voulez rechercher des événements de connexion récents sans parcourir manuellement l’Observateur d’événements. Ouvrez Windows Terminal ou PowerShell en tant qu’administrateur, puis exécutez les commandes ci-dessous.

Afficher les connexions réussies récentes

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624} -MaxEvents 20 |
Select-Object TimeCreated, Id, ProviderName, Message

Afficher les tentatives de connexion échouées récentes

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4625} -MaxEvents 20 |
Select-Object TimeCreated, Id, ProviderName, Message

Afficher ensemble les événements de connexion, déconnexion, verrouillage et déverrouillage

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624,4625,4634,4647,4800,4801} -MaxEvents 50 |
Select-Object TimeCreated, Id, Message

💡

Astuce La sortie PowerShell peut être très longue, car le champ Message contient le texte complet de l’événement. Utilisez l’Observateur d’événements si vous préférez une interface visuelle.

Méthode 4

Vérifier les informations de connexion de base avec l’invite de commandes

L’invite de commandes n’affiche pas le journal Sécurité complet aussi clairement que l’Observateur d’événements ou PowerShell, mais elle peut montrer des informations utiles sur les comptes.

Vérifier la dernière connexion d’un utilisateur local

net user username

Remplacez username par le nom réel du compte Windows. Recherchez la ligne Last logon ou son équivalent localisé.

Afficher les utilisateurs actuellement connectés

query user

Sur certains systèmes, la commande plus courte quser fonctionne également.

Afficher l’utilisateur actuel

whoami

⚠️

Limite La commande net user est utile pour une vérification rapide des comptes, mais elle ne constitue pas un historique complet d’audit des connexions. Pour un historique détaillé, utilisez le journal Sécurité.

Méthode 5

Consulter l’historique des connexions Bureau à distance dans Windows

Si vous voulez savoir si quelqu’un s’est connecté via le Bureau à distance, recherchez le type de connexion 10 dans l’événement 4624. Il indique une connexion interactive distante.

Ouvrez l’Observateur d’événements.
Accédez à Journaux Windows → Sécurité.
Filtrez par ID d’événement 4624.
Ouvrez un événement et vérifiez le champ Type de connexion.
Si la valeur est 10, la connexion a été effectuée via le Bureau à distance.

Vous pouvez aussi consulter ce journal pour l’activité des sessions Bureau à distance :

Journaux des applications et des services → Microsoft → Windows → TerminalServices-LocalSessionManager → Operational

Méthode 6

Consulter l’activité de connexion du compte Microsoft

Si vous utilisez un compte Microsoft pour vous connecter à Windows, l’Observateur d’événements local enregistre l’activité de connexion Windows, mais l’activité de sécurité du compte Microsoft se consulte en ligne.

Ouvrez votre navigateur.
Accédez à la page de sécurité du compte Microsoft.
Ouvrez Activité de connexion ou Activité récente.
Examinez les connexions réussies, les tentatives échouées, les emplacements, les appareils et les informations liées aux adresses IP.

C’est particulièrement utile si vous pensez que quelqu’un a essayé d’accéder à votre compte Microsoft depuis un autre appareil ou un autre emplacement.

Paramètres d’audit

Comment activer l’audit des connexions dans Windows

La plupart des installations Windows enregistrent déjà les événements de connexion importants. Toutefois, si le journal Sécurité ne contient pas les enregistrements attendus, vérifiez la stratégie d’audit.

Activer l’audit des événements de connexion dans la Stratégie de sécurité locale

Appuyez sur Win + R.
Tapez secpol.msc et appuyez sur Entrée.
Ouvrez Stratégies locales → Stratégie d’audit.
Double-cliquez sur Auditer les événements de connexion.
Activez Réussite et Échec.
Cliquez sur OK.

ℹ️

Remarque pour Windows Home Certaines éditions de Windows n’incluent pas la console Stratégie de sécurité locale. Dans ce cas, utilisez l’invite de commandes ou PowerShell avec des droits administrateur.

Activer l’audit des connexions depuis l’invite de commandes

auditpol /set /subcategory:"Logon" /success:enable /failure:enable

Vérifier la stratégie d’audit actuelle

auditpol /get /subcategory:"Logon"

Dépannage

Pourquoi l’historique des connexions Windows peut être manquant

Si vous ne trouvez pas les événements de connexion, l’une des raisons suivantes est généralement en cause :

L’audit est désactivé : activez l’audit des réussites et des échecs pour les événements de connexion.
Le journal Sécurité a été effacé : l’Observateur d’événements enregistre l’effacement du journal comme un événement administratif distinct.
Le journal a été écrasé : les événements anciens peuvent disparaître lorsque la taille maximale du journal est atteinte.
Vous n’êtes pas administrateur : utilisez un compte administrateur pour lire le journal Sécurité.
Vous vérifiez le mauvais type d’événement : l’accès réseau, le déverrouillage, les sessions RDP et les connexions locales utilisent des types de connexion différents.

Augmenter la taille du journal Sécurité

Ouvrez l’Observateur d’événements.
Cliquez avec le bouton droit sur Journaux Windows → Sécurité.
Sélectionnez Propriétés.
Augmentez la taille maximale du journal.
Choisissez si Windows doit écraser les anciens événements ou archiver le journal.

FAQ

Questions fréquentes sur l’historique des connexions Windows

Puis-je voir le mot de passe exact utilisé lors d’une tentative de connexion échouée ?

Non. Windows ne stocke pas et n’affiche pas les mots de passe saisis dans l’Observateur d’événements. Vous pouvez voir qu’une connexion a échoué, quel compte était visé et parfois la raison de l’échec, mais pas le mot de passe lui-même.

Comment savoir si quelqu’un s’est connecté à mon PC pendant mon absence ?

Vérifiez l’événement 4624 dans le journal Sécurité et recherchez le type de connexion 2, 7 ou 10. Vérifiez également les événements de verrouillage et de déverrouillage 4800 et 4801.

Windows conserve-t-il l’historique des connexions indéfiniment ?

Non. Les événements restent disponibles seulement tant qu’ils se trouvent encore dans le journal Sécurité. Si le journal atteint sa limite de taille, les anciens enregistrements peuvent être écrasés selon les paramètres du journal.

Puis-je consulter l’historique des connexions sans droits administrateur ?

Dans la plupart des cas, non. La consultation complète du journal Sécurité nécessite des privilèges administrateur.

Quelle est la meilleure méthode pour vérifier les tentatives de mot de passe échouées ?

Utilisez l’Observateur d’événements et filtrez le journal Sécurité par l’ID d’événement 4625. Ouvrez chaque événement et examinez Nom du compte, Raison de l’échec et les informations de source.

Résumé

Résumé : les meilleures méthodes pour afficher l’historique des connexions Windows

La méthode la plus complète pour consulter l’historique des connexions Windows consiste à ouvrir Observateur d’événements → Journaux Windows → Sécurité et à filtrer par ID d’événement, par exemple 4624 pour les connexions réussies et 4625 pour les tentatives échouées. Pour une recherche plus rapide, utilisez PowerShell. Pour obtenir rapidement des informations de compte, utilisez net user, query user et whoami.

Si vous avez besoin d’enregistrements fiables à l’avenir, vérifiez que l’audit des connexions est activé et augmentez la taille du journal Sécurité afin que les anciens événements de connexion ne soient pas écrasés trop rapidement.