L'authentification à deux facteurs, expliquée simplement

L'authentification à deux facteurs est le réglage de sécurité au plus fort impact que la plupart des gens n'utilisent pas. D'après les chiffres publiés par Microsoft, elle bloque plus de 99 % des prises de contrôle automatisées de comptes. Pourtant, elle a la réputation d'être pénible — en partie parce que les trois variantes courantes (« code SMS », « application d'authentification », « clé de sécurité ») sont présentées comme interchangeables. Elles ne le sont pas. Voici la version pratique.

Ce que la 2FA fait réellement

Les mots de passe fuitent constamment. Vidages de bases de données, pages de phishing, malware navigateur, réutilisation de mots de passe — il y a trop de façons pour l'un des vôtres de finir dans le tableau de quelqu'un. La 2FA ajoute une seconde vérification liée à quelque chose que vous avez, pas seulement à quelque chose que vous savez. Un attaquant qui vole votre mot de passe doit aussi voler ce second facteur, en temps réel, sur le même appareil — bien plus difficile.

2FA par SMS

Un code à six chiffres arrive par texto. Vous le saisissez. C'est le plus simple à utiliser parce que tout téléphone en dispose déjà, et c'est aussi pour cela qu'il constitue le minimum acceptable : suffisant pour arrêter les bots de credential stuffing, mais vulnérable aux attaques par SIM swap (un attaquant convainc un opérateur de transférer votre numéro) et à l'interception silencieuse des SMS sur les réseaux les plus faibles.

Adapté pour : les comptes peu sensibles où vous préférez ne pas installer une application supplémentaire. Forums, sites marchands, listes de diffusion.

Non adapté pour : messagerie, banque, portails gouvernementaux, tout ce qui contrôle d'autres comptes.

Applications d'authentification (TOTP)

Des applications comme Google Authenticator, 1Password, Bitwarden et Authy génèrent un nouveau code à six chiffres toutes les 30 secondes, dérivé d'un secret stocké uniquement sur votre appareil. Pas de SMS, pas d'opérateur impliqué — les codes fonctionnent hors ligne. Les attaques de phishing qui capturent votre mot de passe et un seul code peuvent encore réussir, mais le SIM swap n'est plus pertinent.

Conseil de configuration : quand un site affiche le QR, enregistrez aussi la graine textuelle qui l'accompagne (la plupart des applications d'authentification l'exportent). Si vous perdez votre téléphone sans la graine et sans les codes de récupération, vous devrez réinitialiser chaque compte depuis zéro.

Adapté pour : presque tout. La plupart des fournisseurs de messagerie, des plateformes sociales, des plateformes crypto et des outils pour développeurs prennent en charge TOTP, et c'est gratuit.

Clés de sécurité (FIDO2 / WebAuthn / passkeys)

Une clé USB ou NFC (YubiKey, Titan, et plus récemment les « passkeys » intégrées au trousseau iOS et Android) qui signe cryptographiquement le défi de connexion. Point crucial, elle est liée au domaine du site — une page de phishing identique à la vraie ne recevra tout simplement pas de signature. C'est la seule méthode 2FA courante qui contre les attaques de phishing bien conçues.

Adapté pour : messagerie principale, gestionnaire de mots de passe, tout ce que vous ne pouvez pas vous permettre de perdre. Achetez deux clés ; enregistrez les deux ; gardez-en une dans un tiroir.

Où s'intègrent les numéros temporaires

Les numéros SMS temporaires sont parfaits pour l'étape d'inscriptioninitiale, mais ils ne conviennent pas à la 2FA par SMS continue — au moment où vous auriez besoin de recevoir un code, le numéro a déjà été rendu au pool. La bonne pratique : inscrivez-vous avec un numéro temporaire, configurez immédiatement TOTP dans les paramètres de sécurité du compte et stockez les codes de récupération en lieu sûr. Le numéro temporaire peut alors disparaître.

Les codes de récupération méritent une mention

Presque tout écran de configuration 2FA propose une liste de codes de récupération à usage unique. Imprimez-les ou stockez-les dans votre gestionnaire de mots de passe. Ce sont eux qui vous permettent de revenir si vous perdez tous vos appareils. Ne sautez pas cette étape — récupérer un compte sans eux requiert souvent des documents d'identité et prend des semaines.

Recommandations rapides

• Messagerie et gestionnaire de mots de passe : clé de sécurité d'abord, TOTP en secours.
• Banque, courtier, plateforme d'échange : ce qu'ils proposent de plus élevé.
• Réseaux sociaux, outils de dev, SaaS pro : TOTP.
• Forum lambda qui exige un numéro : SMS temporaire, puis TOTP après inscription.