1 Qu'est-ce que le 2FA et pourquoi en avez-vous besoin ?
Le 2FA combine quelque chose que vous connaissez (mot de passe) avec quelque chose que vous possédez (un code temporaire, une clé) ou quelque chose que vous êtes (biométrie). Cela réduit considérablement le risque lorsqu'un mot de passe est divulgué ou deviné.
2 Méthodes d'authentification multifacteur
1. SMS (le moins sûr)
Vous recevez un code par SMS. C'est la méthode la plus répandue mais aussi la plus vulnérable : les attaquants peuvent détourner la ligne par SIM swapping ou intercepter les messages. Utilisez-la uniquement en l'absence d'alternatives.
2. Messagerie (WhatsApp, Telegram)
Certaines plateformes envoient des codes via des applications de messagerie chiffrées. Elles offrent une meilleure protection que le SMS, mais restent dépendantes du réseau de l'opérateur et du contrôle du numéro de téléphone.
3. Applications d'authentification (TOTP)
Elles génèrent des codes temporaires hors ligne toutes les 30 secondes. Plus sûres que le SMS, elles fonctionnent même sans couverture réseau. Exemples :
- Google Authenticator
- Microsoft Authenticator
- Authy
- Aegis Authenticator
- Duo Mobile
4. Gestionnaires avec coffre TOTP intégré
1Password, Bitwarden, Dashlane et d'autres gestionnaires permettent de stocker les codes TOTP aux côtés des identifiants. Cela simplifie la connexion, mais il convient de noter que les deux facteurs sont conservés au même endroit.
5. Clés physiques (FIDO2/WebAuthn)
C'est la méthode la plus robuste : des dispositifs comme YubiKey, Feitian ou SoloKeys. Ils fonctionnent en USB, NFC ou Lightning et résistent au phishing car ils valident le domaine avant d'authentifier. Certains ordinateurs portables et mobiles proposent des clés de plateforme (Windows Hello, Passkeys, Face ID).
6. Biométrie et authentificateurs d'appareil
Ils utilisent votre empreinte, votre visage ou un code PIN sur un appareil de confiance. Idéaux en complément, en particulier lorsque le service prend en charge les passkeys basées sur WebAuthn.
3 Comparaison rapide
| Méthode | Sécurité | Commodité | Risques |
|---|---|---|---|
| SMS | Faible | Très élevée (sans appli supplémentaire) | SIM swapping, interception, phishing |
| Application TOTP | Élevée | Moyenne (nécessite de scanner des codes) | Sauvegarde des codes, vol de l'appareil |
| Clé physique | Très élevée | Moyenne (nécessite du matériel) | Coût, gestion des clés de secours |
| Biométrie/Passkeys | Très élevée | Très élevée | Compatibilité selon les services et appareils |
4 Recommandations pratiques
- Activez la méthode la plus robuste disponible (clé physique ou application TOTP).
- Conservez les codes de récupération hors ligne pour les urgences.
- Gardez au moins deux clés physiques : une principale et une de secours.
- Protégez l'accès à votre application TOTP par mot de passe ou biométrie.
- Profitez des passkeys là où elles sont disponibles : elles simplifient et renforcent la connexion.
FAQ rapides
Que faire si je perds ma clé physique ?
Utilisez la clé de secours ou les codes de récupération. Configurez plusieurs clés dès l'activation du 2FA.
Puis-je migrer mes codes TOTP vers un nouveau téléphone ?
Oui. Exportez depuis l'application (Authy synchronise dans le cloud ; Google/Microsoft permettent d'exporter en scannant un QR code) ou utilisez la sauvegarde de votre gestionnaire.
Pourquoi ne pas se fier au SMS ?
Le SMS transite par des réseaux vulnérables et dépend de l'opérateur. Il existe des attaques de SIM swapping, des redirections et des malwares qui lisent les messages. Utilisez des applications ou des clés physiques dès que possible.
Checklist multifacteur
- Activez le 2FA sur tous les services critiques.
- Privilégiez les applications TOTP ou les clés physiques plutôt que le SMS.
- Configurez plusieurs clés ou facteurs de secours.
- Formez votre équipe sur le phishing et la validation des demandes de codes.
- Intégrez le 2FA avec des politiques Zero Trust et des gestionnaires de mots de passe.
Limitation de garantie
password.es est fourni « tel quel ». Nous ne garantissons ni la disponibilité du service ni la sécurité absolue des mots de passe générés. L'utilisateur est responsable de combiner le 2FA avec d'autres pratiques de sécurité.