Aller au contenu principal

Qu'est-ce que 2FA ? Guide d'authentification à deux facteurs

Qu'est-ce que 2FA ? Comment fonctionne l'authentification à deux facteurs, les cinq types de 2FA et comment l'activer sur vos comptes les plus importants.

Dernière mise à jour : 5 avril 2026

Les mots de passe seuls ne suffisent pas à protéger vos comptes en ligne. Les violations de données exposent des milliards d'identifiants chaque année, et même les mots de passe forts peuvent être compromis par phishing, keyloggers ou attaques par force brute. L'authentification à deux facteurs (2FA) ajoute une seconde couche de défense — même si quelqu'un vole votre mot de passe, il ne peut toujours pas accéder à votre compte sans le second facteur. Ce guide explique ce qu'est 2FA, comment chaque méthode fonctionne, quels types sont les plus sécurisés et comment le configurer sur vos comptes les plus importants. C'est l'une des étapes individuelles les plus efficaces que vous pouvez prendre pour protéger votre vie numérique.

Types d'authentification à deux facteurs

Codes SMS

Un code à usage unique est envoyé à votre numéro de téléphone par message texte. Vous entrez ce code après votre mot de passe pour terminer la connexion. SMS 2FA est la méthode la plus largement disponible — presque chaque service le prend en charge et il ne nécessite aucune application ou matériel supplémentaire. Cependant, c'est la forme la plus faible de 2FA en raison de la vulnérabilité aux attaques de SIM swapping (où un attaquant convainc votre opérateur de transférer votre numéro de téléphone vers sa carte SIM) et aux exploitations du protocole SS7 qui peuvent intercepter les messages texte.

  • Pour : Largement pris en charge, aucune application requise, fonctionne sur n'importe quel téléphone
  • Contre : Vulnérable au SIM swapping, à l'interception SS7 et aux attaques d'ingénierie sociale sur les opérateurs téléphoniques

Applications d'authentification (TOTP)

Les applications Time-based One-Time Password (TOTP) génèrent un nouveau code à 6 chiffres toutes les 30 secondes en utilisant un secret partagé et l'heure actuelle. Les applications populaires incluent Google Authenticator, Authy, Microsoft Authenticator et Ente Auth. TOTP est significativement plus sécurisé que SMS car les codes sont générés localement sur votre appareil — il n'y a aucun canal de transmission à intercepter. Les codes fonctionnent hors ligne et ne sont pas liés à votre numéro de téléphone. C'est la méthode 2FA recommandée pour la plupart des gens, équilibrant une forte sécurité avec la facilité d'utilisation.

  • Pour : Sécurisé, capable hors ligne, applications gratuites disponibles, non lié au numéro de téléphone
  • Contre : Perdre votre appareil sans codes de secours vous bloque ; les sites de phishing peuvent toujours capturer les codes en temps réel

Clés de sécurité matérielles

Les dispositifs physiques comme YubiKey, Google Titan et SoloKeys se branchent dans votre port USB ou se tapent via NFC pour authentifier. Les clés matérielles utilisent la norme FIDO2/WebAuthn, qui est résistante au phishing par conception — la clé vérifie cryptographiquement le domaine du site web avant l'authentification, rendant impossible pour les sites de phishing d'intercepter. Google exige que tous les employés utilisent des clés matérielles et a signalé zéro attaque de phishing réussie depuis la mise en œuvre. Les clés coûtent 25-70 $ et sont la méthode 2FA la plus sécurisée disponible.

  • Pour : Sécurité la plus forte, résistante au phishing, sans batteries, fonctionne hors ligne, durable
  • Contre : Coûte 25-70 $, peut être perdu ou oublié, non pris en charge par tous les services

Biométrie

Les scanners d'empreintes digitales (Touch ID), la reconnaissance faciale (Face ID) et les scanners d'iris utilisent vos caractéristiques physiques comme facteur d'authentification. La biométrie est pratique — vous l'avez toujours avec vous et elle ne peut pas être oubliée. Elle fonctionne comme un second facteur aux côtés des mots de passe sur de nombreux appareils et services. Cependant, la biométrie ne peut pas être changée si elle est compromise (contrairement à un mot de passe), et peut être contrainte par les forces de l'ordre dans de nombreuses juridictions. La qualité varie considérablement entre les appareils.

  • Pour : Pratique, toujours disponible, authentification rapide, difficile à reproduire
  • Contre : Ne peut pas être changée si compromise, peut être contrainte légalement, la qualité varie selon l'appareil

Passkeys

Les passkeys sont la nouvelle norme d'authentification, conçue pour remplacer complètement les mots de passe. Basés sur FIDO2/WebAuthn, les passkeys utilisent la cryptographie à clé publique — votre appareil stocke une clé privée, et le service stocke la clé publique correspondante. L'authentification se fait via le capteur biométrique ou le code PIN de votre appareil, sans mot de passe à taper, à phisher ou à voler. Apple, Google et Microsoft ont intégré le support des passkey dans leurs systèmes d'exploitation. Les passkeys se synchronisent entre les appareils via iCloud Keychain, Google Password Manager ou d'autres fournisseurs, combinant la sécurité des clés matérielles avec la commodité de la biométrie.

  • Pour : Résistant au phishing, pas de mots de passe à retenir, synchronisation entre appareils, rapide
  • Contre : Relativement nouveau, pas encore pris en charge universellement, préoccupations de verrouillage de plateforme avec les passkeys synchronisés

Meilleures pratiques 2FA

  1. Activez 2FA sur votre compte email en premier — c'est la clé maîtresse de tous vos autres comptes. Si quelqu'un compromet votre email, il peut réinitialiser les mots de passe sur chaque service qui y est lié. Votre email est le compte individuel le plus important à protéger avec 2FA.
  2. Utilisez une application d'authentification au lieu de SMS chaque fois que possible. Les applications TOTP sont immunisées contre le SIM swapping et les attaques SS7. Si un service ne propose que 2FA basé sur SMS, utilisez-le quand même — SMS 2FA est toujours dramatiquement meilleur qu'aucun 2FA du tout.
  3. Gardez les codes de secours dans un endroit sûr et séparé. Stockez-les dans un gestionnaire de mots de passe (différent de celui protégé par 2FA), imprimez-les et conservez-les dans un coffre-fort, ou écrivez-les sur du papier conservé en sécurité. Ne stockez jamais les codes de secours dans une note non chiffrée sur le même appareil que votre authentificateur.
  4. Considérez une clé de sécurité matérielle pour vos comptes les plus critiques — email, banque, stockage cloud et gestionnaires de mots de passe. Une YubiKey 5 NFC (50 $) fonctionne avec USB-A, USB-C et NFC, couvrant pratiquement tous les appareils. Enregistrez deux clés par compte pour avoir une sauvegarde.
  5. Auditez régulièrement quels comptes ont 2FA activé. Utilisez un gestionnaire de mots de passe pour garder une trace. Ordre de priorité : email, services bancaires et financiers, stockage cloud, médias sociaux, sites d'achat avec méthodes de paiement enregistrées et tout compte de travail ou professionnel.

Comment configurer 2FA

Configurer 2FA prend moins de cinq minutes par compte. Voici le processus pour 2FA basé sur une application d'authentification, qui est la méthode recommandée pour la plupart des gens :

  1. Ouvrir les paramètres de sécurité:Accédez aux paramètres de sécurité de votre compte. Cherchez "Authentification à deux facteurs", "Vérification en 2 étapes" ou "Sécurité de connexion". Sur Google, allez à myaccount.google.com > Security > 2-Step Verification. Sur Apple, allez à Settings > [Votre nom] > Sign-In & Security.
  2. Choisir une méthode 2FA:Sélectionnez votre méthode 2FA. Choisissez "Authenticator App" pour le meilleur équilibre entre sécurité et commodité. Installez une application TOTP si vous n'en avez pas — Google Authenticator, Authy ou Ente Auth sont toutes de solides options. Authy et Ente Auth offrent une sauvegarde cloud chiffrée de vos codes.
  3. Scanner le code QR:Scannez le code QR affiché à l'écran avec votre application d'authentification. L'application générera un code à 6 chiffres qui se rafraîchit toutes les 30 secondes. Saisissez le code actuel pour vérifier que la configuration fonctionne correctement.
  4. Sauvegarder les codes de secours:Sauvegardez vos codes de secours immédiatement. La plupart des services fournissent des codes de récupération à usage unique qui vous permettent de retrouver l'accès si vous perdez votre dispositif d'authentification. Stockez-les dans un gestionnaire de mots de passe, imprimez-les ou notez-les et conservez-les dans un endroit sûr séparé de vos appareils. Sans codes de secours, perdre votre téléphone pourrait vous bloquer définitivement de votre compte.

Questions fréquemment posées

C'est pourquoi les codes de secours sont essentiels. Lorsque vous configurez 2FA, la plupart des services fournissent des codes de récupération — des codes à usage unique qui contournent 2FA. Utilisez-en un pour retrouver l'accès, puis configurez à nouveau 2FA sur votre nouvel appareil. Si vous utilisez Authy ou Ente Auth, vos codes sont sauvegardés dans un stockage cloud chiffré et peuvent être restaurés sur un nouvel appareil. Google Authenticator prend désormais également en charge la sauvegarde cloud. Si vous n'avez pas de codes de secours et aucune méthode de récupération, vous devrez passer par le processus de récupération de compte du service, ce qui peut prendre des jours ou des semaines et nécessiter une vérification d'identité.

Absolument oui. Malgré ses vulnérabilités au SIM swapping et aux attaques SS7, SMS 2FA bloque la grande majorité des attaques automatisées. La recherche de Google a montré qu'elle arrête 100 % des bots automatisés et 96 % du phishing massif. Le modèle de menace réaliste pour la plupart des gens n'inclut pas le SIM swapping ciblé — c'est principalement un risque pour les cibles à forte valeur comme les détenteurs de cryptomonnaies et les personnalités publiques. Si un service ne propose que SMS 2FA, activez-le. N'importe quel 2FA est dramatiquement meilleur qu'aucun 2FA.

Aucune méthode 2FA n'est 100 % incassable, mais la difficulté varie énormément. Les codes SMS peuvent être interceptés via SIM swapping. Les codes TOTP peuvent être phishés en temps réel avec des attaques sophistiquées qui relaient les codes vers la vraie page de connexion. Cependant, les clés de sécurité matérielles utilisant FIDO2 sont résistantes au phishing par conception — la clé vérifie cryptographiquement le domaine du site web, rendant le phishing impossible. Les passkeys héritent de la même protection. Pour la plupart des gens, 2FA basé sur TOTP fournit une protection plus que suffisante contre les menaces réalistes.

Idéalement oui, mais priorisez stratégiquement. Votre compte email est le plus critique — c'est le mécanisme de récupération pour tout le reste. Ensuite, activez 2FA sur les services bancaires et financiers, le stockage cloud (Google Drive, iCloud, Dropbox), les médias sociaux, tout compte avec des informations de paiement enregistrées et votre gestionnaire de mots de passe. Les comptes jetables de faible priorité sans données personnelles peuvent être ignorés si vous êtes débordé, mais l'objectif devrait être 2FA partout.

Les clés de sécurité matérielles (YubiKey, Google Titan) utilisant la norme FIDO2/WebAuthn sont la forme la plus sécurisée de 2FA disponible. Elles sont résistantes au phishing par conception, nécessitent une possession physique et n'ont pas de codes à intercepter ou relayer. Les passkeys offrent une sécurité similaire avec la commodité ajoutée de la synchronisation cloud. Les applications d'authentification TOTP sont la prochaine meilleure option — significativement plus sécurisées que SMS. SMS est le 2FA le plus faible mais reste largement meilleur que l'authentification par mot de passe seule.

Oui, c'est leur intention de conception. Les passkeys combinent le mot de passe et le second facteur en une seule étape d'authentification résistante au phishing. Au lieu de taper un mot de passe puis d'entrer un code, vous vous authentifiez simplement avec le capteur biométrique ou le code PIN de votre appareil. La cryptographie sous-jacente FIDO2 fournit une sécurité plus forte que mot de passe + TOTP combinés. Cependant, l'adoption des passkeys est encore en croissance — tous les services ne les prennent pas encore en charge. Pendant la période de transition, continuez à utiliser le 2FA traditionnel (application d'authentification ou clé matérielle) sur les services qui ne prennent pas encore en charge les passkeys.