C'est quoi la double authentification (2FA), et quelle version utiliser ?

Réponse rapide

La double authentification ajoute une seconde étape après votre mot de passe — un code venant d'une appli, une notification sur votre téléphone, ou une passkey — pour qu'un mot de passe volé ne suffise plus à se connecter ; en 2026 la meilleure option pour la plupart des gens est la passkey, puis une appli d'authentification, et le SMS uniquement en dernier recours.

Ce que ce n'est PAS

La double authentification n'est PAS réservée aux experts ou aux paranoïaques, et elle n'est PAS « inviolable ». Les codes SMS peuvent être interceptés par des attaques SIM-swap, et même les applis d'authentification peuvent être contournées si vous approuvez une notification que vous n'avez pas demandée (on appelle ça la fatigue MFA). La forme la plus solide — les passkeys — bloque l'essentiel du phishing parce que l'appareil refuse lui-même de se connecter à un faux site.

Pour aller plus loin

La double authentification (2FA) — aussi appelée authentification multifacteur (MFA) ou vérification en deux étapes — ajoute une seconde preuve d’identité par-dessus votre mot de passe. Le mot de passe est quelque chose que vous connaissez ; le second facteur est quelque chose que vous avez (votre téléphone, une clé physique) ou quelque chose que vous êtes (votre empreinte, votre visage). Un mot de passe volé seul ne suffit plus.

Trois formes courantes, de la plus faible à la plus solide :

  1. Code SMS. Le site vous envoie un numéro à six chiffres. Pratique, supporté par presque tous les services, vulnérable au SIM-swap où un criminel convainc votre opérateur de porter votre numéro sur une nouvelle SIM. À utiliser quand rien de mieux n’est disponible, mais partez du principe qu’un attaquant déterminé peut le contourner.
  2. Appli d’authentification (TOTP). Google Authenticator, Microsoft Authenticator, Authy, Proton Authenticator, ou la fonction TOTP intégrée à votre gestionnaire de mots de passe — toutes génèrent un code à six chiffres sur votre téléphone toutes les 30 secondes, localement, sans avoir besoin de réseau. Bien plus sûr que le SMS parce que ça ne dépend pas de votre numéro.
  3. Passkey. La plus récente et la plus solide. Au lieu de taper un code, votre téléphone ou ordinateur se connecte avec une clé cryptographique privée stockée dans une puce sécurisée. Les passkeys sont résistantes au phishing par construction : même si vous cliquez sur un faux lien et arrivez sur une fausse page de connexion convaincante, votre téléphone refuse de se connecter parce que le site n’est pas le bon. Les grands acteurs (Apple, Google, Microsoft, Amazon, PayPal, Adobe, eBay, LinkedIn, GitHub, X, banques…) supportent tous les passkeys.

Le chemin de mise à niveau pratique pour la plupart des gens :

  • Activer la 2FA sur votre messagerie principale aujourd’hui — ce compte contrôle tous les liens « mot de passe oublié ».
  • Activer la 2FA sur votre gestionnaire de mots de passe, votre banque et votre compte opérateur (pour ralentir les SIM-swap).
  • Passer du SMS à une appli d’authentification quand vous avez le choix.
  • Remplacer les codes d’authentification par des passkeys partout où vous voyez l’option (« Se connecter plus vite avec une passkey », ou dans les paramètres de sécurité).
  • Fatigue MFA : si une invite d’authentification apparaît sur votre téléphone alors que vous n’avez pas tenté de vous connecter, touchez Refuser et changez le mot de passe — cette invite signifie que quelqu’un essaie en ce moment même avec votre mot de passe.

La 2FA ne rend pas toute attaque impossible. Un escroc au téléphone peut quand même vous faire lire un code, un attaquant peut quand même phisher un utilisateur fragile pour qu’il approuve une notification malveillante. Mais elle relève énormément la barre : des dizaines de millions de tentatives automatisées de credential stuffing par jour échouent sur le second facteur plutôt que d’y réussir. Pour un foyer en 2026, activer la 2FA sur cinq comptes apporte plus de sécurité que n’importe quel autre changement isolé.

On nous pose aussi

Quelle est la différence entre SMS, appli d'authentification et passkey ? +

Le SMS envoie un code à six chiffres. C'est mieux que rien mais ça peut être intercepté : une attaque SIM-swap consiste à convaincre votre opérateur de transférer votre numéro vers la SIM de l'attaquant. Une appli d'authentification (Google Authenticator, Microsoft Authenticator, Authy, le TOTP intégré à 1Password) génère le code localement sur votre téléphone, donc les SIM-swap ne fonctionnent pas. Une passkey va plus loin : au lieu de taper un code, votre téléphone ou ordinateur prouve son identité au site avec de la cryptographie, et refuse de le faire sur un faux site. Les passkeys sont les plus solides des trois, et de loin.

C'est quoi la fatigue MFA ? +

La fatigue MFA, c'est quand un attaquant, ayant volé votre mot de passe, envoie des dizaines de notifications push sur votre téléphone en espérant que vous finissiez par toucher « Approuver » pour que ça s'arrête — ou que vous approuviez une notification en pensant que c'est vous. Plusieurs grandes brèches en 2022-2024 (Uber, Cisco, des banques en 2024) ont commencé ainsi. La défense : si vous voyez une invite MFA que vous n'avez pas déclenchée, touchez « Refuser » et changez le mot de passe — cette invite signifie que quelqu'un a déjà le mot de passe.

Faut-il activer la 2FA sur chaque compte ? +

Non, mais il faut l'activer sur les comptes dont d'autres comptes dépendent : votre messagerie principale (parce que quiconque contrôle votre messagerie peut réinitialiser tous les autres mots de passe), votre gestionnaire de mots de passe, votre banque, votre compte opérateur (pour rendre le SIM-swap plus difficile) et vos réseaux sociaux. Les programmes de fidélité et les forums que vous n'utilisez plus sont moins prioritaires.

Que se passe-t-il si je perds mon téléphone avec tous mes codes 2FA ? +

Configurez les codes de secours quand vous activez la 2FA, et rangez-les avec votre gestionnaire de mots de passe ou sur papier. La plupart des applis d'authentification se synchronisent maintenant avec votre compte cloud (Google, iCloud, Authy cloud backup), donc un nouveau téléphone les restaure. Les passkeys se synchronisent automatiquement entre vos appareils via votre compte de plateforme. L'histoire d'horreur du « j'ai perdu tous mes accès » était surtout un problème Google Authenticator avant l'arrivée de la synchro cloud.

Aussi expliqué

Qu'est-ce qu'un gestionnaire de mots de passe, et est-ce sûr d'en utiliser un ?

Un gestionnaire de mots de passe est une application qui génère un mot de passe unique et solide pour chaque compte et les retient pour vous derrière un seul mot de passe maître — oui, c'est nettement plus sûr que de réutiliser le même mot de passe, même si tout est au même endroit.

C'est quoi le phishing, et comment le reconnaître ?

Le phishing (ou hameçonnage), c'est quand quelqu'un vous envoie un message truqué — généralement par e-mail, SMS ou messagerie — qui ressemble à un message de votre banque, de votre patron, d'un livreur ou d'un proche, dans l'espoir que vous cliquiez sur un lien, tapiez un mot de passe ou viriez de l'argent avant de remarquer les petits détails qui trahissent.
← Retour au glossaire grand public