2FA : guide complet pour activer l’authentification à deux facteurs partout
L’authentification à deux facteurs (2FA, ou MFA — Multi-Factor Authentication) est l’une des protections les plus efficaces contre le piratage de comptes. Avec le 2FA activé, même si quelqu’un vole ton mot de passe, il ne peut pas accéder à ton compte sans un deuxième élément que seul toi possèdes. Ce guide explique comment ça fonctionne, quels types de 2FA valent vraiment la peine, et comment l’activer sur tes comptes importants.
Pourquoi le mot de passe seul ne suffit pas
Les mots de passe peuvent être volés de plusieurs façons :
- Fuites de bases de données (ton mot de passe est dans une fuite sans que tu le saches)
- Phishing (tu entres ton mot de passe sur une fausse page)
- Keyloggers (malware qui enregistre ce que tu tapes)
- Brute force (tentatives automatisées de milliers de mots de passe)
Aucune de ces méthodes ne peut contourner le 2FA — même avec le bon mot de passe, l’attaquant est bloqué sans le deuxième facteur.
Les types de 2FA du moins au plus sécurisé
1. Questions de sécurité — À éviter
Ce n’est pas vraiment du 2FA. Les réponses aux questions de sécurité (“nom de jeune fille de ta mère”, “ville de naissance”) sont souvent trouvables sur les réseaux sociaux ou dans des fuites de données. Utilise des réponses aléatoires (sauvegardées dans ton gestionnaire de mots de passe) si un service t’y oblige.
2. SMS (code par texto) — Acceptable mais à remplacer
Quand tu te connectes, le service t’envoie un code à 6 chiffres par texto.
Pourquoi c’est le moins sécurisé des vrais 2FA :
- SIM swapping : un attaquant peut convaincre ton opérateur mobile de transférer ton numéro sur une nouvelle SIM qu’il contrôle, et recevoir tes codes
- SS7 attacks : faille dans le protocole téléphonique qui permet d’intercepter des SMS (exploit sophistiqué mais utilisé)
- Phishing en temps réel : des attaquants créent de fausses pages qui capturent le code SMS en temps réel
Verdict : si c’est la seule option, c’est mieux que rien. Mais remplace par une méthode plus sécurisée dès que possible.
3. Application d’authentification (TOTP) — Bien
Des apps comme Aegis Authenticator (Android), Raivo OTP (iOS), ou Authy génèrent des codes à usage unique qui changent toutes les 30 secondes. Ces codes sont calculés localement sur ton téléphone — ils ne passent pas par un réseau.
Comment ça marche : lors de l’activation du 2FA sur un site, tu scannes un QR code. Ce code contient une “graine” (seed) partagée entre le site et ton app. Les deux calculent le même code à partir de cette graine et de l’heure actuelle. Ton code est valide 30 secondes, puis un nouveau est généré.
Avantages :
- Ne passe pas par SMS — pas vulnérable au SIM swapping
- Fonctionne sans connexion internet
- Les codes expirent en 30 secondes
Vulnérabilités :
- Peut être phishé en temps réel (attaquant capture ton code pendant que tu le tapes)
- Si tu perds ton téléphone sans sauvegarde des seeds, tu peux perdre l’accès à tes comptes
Recommandations d’apps :
- Aegis Authenticator (Android, open source, supporte le chiffrement de la base) — le meilleur choix Android
- Raivo OTP (iOS, open source) — bon choix iOS
- Authy — pas open source mais offre une synchro multi-appareils, pratique si tu changes souvent de téléphone
À éviter : Google Authenticator (ne fait pas de backup automatique, si tu perds ton téléphone tu perds tout).
4. Passkeys — Le nouveau standard
Les passkeys sont une évolution qui va au-delà du 2FA traditionnel. Basés sur le standard FIDO2/WebAuthn, ils remplacent complètement le mot de passe + 2FA par une paire de clés cryptographiques.
Comment ça marche : une clé privée est stockée sur ton appareil (dans la puce sécurisée). Tu t’authentifies avec ta biométrie (empreinte, Face ID) pour déverrouiller la clé et prouver ton identité au service.
Avantages majeurs :
- Résistant au phishing : la clé est liée cryptographiquement au domaine spécifique. Elle ne fonctionne pas sur un faux site.
- Pas de mot de passe à voler
- Simple à utiliser
Qui les supporte déjà : Google, Apple, Microsoft, GitHub, Amazon, PayPal, et de nombreux autres services.
Comment activer : dans les paramètres de sécurité de ton compte → “Passkeys” ou “Clés d’accès” → Ajouter un appareil.
5. Clés de sécurité physiques (YubiKey) — Le plus sécurisé
Une clé de sécurité physique (YubiKey, Google Titan Key) est un petit dispositif USB ou NFC que tu branches ou approches de ton téléphone pour te connecter.
Pourquoi c’est le plus sécurisé :
- Physiquement résistant au phishing : la clé vérifie cryptographiquement le domaine du site. Elle refuse de s’authentifier sur un faux site.
- Impossible à voler à distance
- Fonctionne sans batterie, sans internet, sans synchro
Pour qui : les personnes avec un niveau de risque élevé (journalistes, activistes, cadres d’entreprise, professionnels de la sécurité) ou simplement ceux qui veulent le meilleur niveau de protection.
Prix : une YubiKey 5 coûte environ 50-70 USD. Conseillé d’en avoir deux (une de secours).
Comment activer le 2FA sur tes comptes importants
Google / Gmail
Compte Google → Sécurité → Validation en deux étapes → Commencer
Choisis : Passkey (recommandé) ou App d’authentification (deuxième choix)
Apple ID
Paramètres → [ton nom] → Connexion et sécurité → Authentification à deux facteurs
Facebook / Instagram
Facebook : Paramètres → Centre de comptes → Mot de passe et sécurité → Authentification à deux facteurs Instagram : Profil → Menu → Paramètres → Sécurité → Authentification à deux facteurs
Microsoft / Outlook
account.microsoft.com → Sécurité → Options de sécurité avancées → Vérification en deux étapes
Comptes bancaires (Canada)
La plupart des banques canadiennes proposent le 2FA par SMS ou par leur app mobile. Cherche dans les paramètres de sécurité de ton application bancaire. Bell, Vidéotron et les banques majeures ont tous des options 2FA maintenant.
Ne perds pas l’accès à tes comptes
Le 2FA t’ouvre des portes — et peut aussi t’en fermer si tu n’es pas préparé.
Codes de récupération : lors de l’activation du 2FA, la plupart des services te donnent des codes de secours à usage unique. Sauvegarde-les dans ton gestionnaire de mots de passe ET imprime-les. Ces codes permettent d’accéder à ton compte si tu perds ton téléphone.
Sauvegarde de tes seeds TOTP : si tu utilises Aegis ou Raivo, exporte une sauvegarde chiffrée de ta base régulièrement.
Deuxième méthode 2FA : active plusieurs méthodes sur les comptes importants — par exemple, à la fois une app d’authentification ET des codes de récupération.
Par où commencer
Si tu ne sais pas par où commencer, voici l’ordre de priorité :
- Email principal → active le 2FA maintenant (app d’authentification)
- Comptes bancaires → active le 2FA disponible
- Réseaux sociaux (Facebook, Instagram) → 2FA
- Amazon, PayPal, tout service avec une carte de paiement enregistrée → 2FA
- Gestionnaire de mots de passe → 2FA (super important)
Tu veux de l’aide pour configurer le 2FA sur tes comptes personnels ou d’entreprise ? Contacte-moi à khalid@sequr.ca.
Voir aussi : Gestionnaire de mots de passe : pourquoi c’est indispensable et lequel choisir — Cybersécurité pour débutant : les 10 réflexes essentiels
