YubiKey et clés FIDO : choisir et configurer en 2026

Jean-François, comptable à Lévis, perd son téléphone un vendredi soir en sortant du restaurant.

Il s’en rend compte samedi matin. Application d’authentification Google Authenticator dedans. Mot de passe du téléphone trouvable si l’écran est déverrouillé, et il l’était — il sortait de Messenger.

Dimanche, 14h : son compte Gmail est compromis. Le voleur a utilisé les codes Authenticator pendant 40 heures avant que Jean-François ne réagisse. Comptes clients consultés, factures modifiées, un virement Interac de 4 800 $ envoyé depuis son compte bancaire qui utilisait la 2FA SMS sur ce même numéro.

Trois mois plus tard, je le rencontre pour un audit. Première chose qu’on change : on sort la 2FA par application et SMS. On met une YubiKey 5C NFC principale accrochée à son porte-clés, une YubiKey 5 Nano secondaire cachée dans son bureau. Plus jamais il ne se fera voler un compte parce qu’il a perdu un téléphone.

Une clé de sécurité physique, c’est le seul type de 2FA qu’un attaquant ne peut pas intercepter à distance. Pas de SMS à détourner, pas d’écran à pirater. Il faut toucher la clé avec le doigt pour qu’elle autorise la connexion.

Ce qu’une clé FIDO fait vraiment

Une clé de sécurité physique est un petit dongle USB (ou NFC, ou Lightning) qui contient une puce cryptographique. Quand vous vous connectez à un service compatible, le service envoie un défi (challenge) à la clé. La clé signe le défi avec une paire de clés cryptographiques générée spécifiquement pour ce service, puis renvoie la signature.

Le site vérifie la signature avec la clé publique qu’il a stockée le jour où vous avez enregistré la YubiKey.

Si la signature est valide, vous êtes authentifié. Aucun code à recopier. Aucun SMS. Rien que l’attaquant puisse capturer, puisque la clé privée ne quitte jamais la puce.

Selon la FIDO Alliance (fidoalliance.org), plus de 5 milliards d’utilisateurs dans le monde ont accès à l’authentification FIDO en 2025 via les grandes plateformes (Apple, Google, Microsoft, Amazon). Ce n’est plus un truc de geek : c’est devenu le standard.

Pourquoi la YubiKey est supérieure au SMS et à Authenticator

Les trois grands types de 2FA grand public sont :

• SMS : un code à 6 chiffres envoyé par texto.
• Application d’authentification (Google Authenticator, Authy, Microsoft Authenticator) : un code qui change aux 30 secondes.
• Clé physique FIDO (YubiKey, Titan, SoloKey) : un toucher sur un objet physique.

Le SMS tombe à cause du SIM swapping (voir notre article SMS pour la 2FA : insuffisant contre le SIM swapping). Un arnaqueur qui transfère votre numéro sur sa SIM reçoit vos codes.

L’application d’authentification tombe si quelqu’un prend votre téléphone déverrouillé, ou vous pousse à approuver une connexion par erreur (attaque MFA fatigue).

La clé physique résiste aux deux. L’attaquant doit avoir la clé physiquement dans la main ET connaître votre mot de passe. Pour quelqu’un au Québec qui se fait viser par un voleur à Dubaï ou au Nigéria, c’est mathématiquement impossible.

Google a publié en 2019 les données internes de ses 85 000 employés. Après le déploiement obligatoire des clés FIDO, zéro compte compromis par phishing sur plusieurs années. Google avait tenté Authenticator avant : encore des compromissions occasionnelles.

Les modèles concrets en 2026

YubiKey 5C NFC — le choix par défaut

95 % des gens devraient acheter celle-ci. USB-C pour se brancher sur n’importe quel ordinateur récent, NFC pour tapoter sur le téléphone (Android comme iPhone), compatible FIDO2, U2F, OTP, OATH-TOTP, OpenPGP, PIV smart card.

Prix : environ 80 CAD sur yubico.com ou Amazon.ca.

YubiKey 5C Nano

Format minuscule qui reste branché en permanence dans un port USB-C. Idéal comme clé secondaire cachée dans l’ordinateur de bureau à la maison. Vous la laissez dedans, vous n’y touchez qu’en cas de récupération.

YubiKey 5Ci

USB-C d’un côté, Lightning de l’autre. Utile si vous avez un iPhone plus vieux qui n’a pas fait le saut à USB-C (iPhone 14 ou plus ancien). Depuis iPhone 15, NFC suffit.

Google Titan Security Key

Version Google, moins chère (environ 50 CAD pour le bundle deux clés). Limitée à FIDO2/U2F mais c’est amplement suffisant pour protéger Gmail, Facebook, Twitter, banques en ligne.

SoloKey V2

Option open source, fabriquée aux Pays-Bas. Prix similaire à YubiKey mais vous pouvez auditer le firmware. Pour les gens paranoïaques qui ne font confiance à aucune entreprise fermée.

Feitian ePass, Token2 PIN+

Alternatives asiatiques, parfois moins chères. La certification FIDO2 est respectée, mais le support après-vente au Canada est quasi inexistant. À éviter sauf si vous savez ce que vous faites.

La règle d’or : toujours deux clés

C’est la seule erreur vraiment grave qu’on voit chez nos clients Sequr. Acheter une seule YubiKey.

Le jour où cette clé est perdue, volée, ou tombée dans le lac au chalet, vous perdez l’accès à tous les comptes qui en dépendent. Google, Microsoft, Apple, votre gestionnaire de mots de passe, votre banque si elle supporte FIDO2 (Desjardins arrive, EQ Bank déjà là).

Toujours deux clés :

• Clé 1 (quotidienne) : sur votre porte-clés ou dans votre sac.
• Clé 2 (sauvegarde) : dans un coffre-fort à la maison, dans un coffret de sûreté à la caisse pop, chez un proche de confiance.

Vous enregistrez les deux clés sur chaque service. Perte de la clé 1? Vous allez chercher la clé 2, vous vous connectez, vous retirez la clé perdue de vos comptes, vous achetez une nouvelle clé de sauvegarde.

Le processus de configuration, étape par étape

1. Acheter deux clés

Commandez depuis yubico.com/store ou Amazon.ca. Livraison 3-5 jours ouvrables au Québec. Vérifiez que les emballages sont scellés à l’arrivée (protection anti-tampering).

2. Lister les comptes à protéger en priorité

Par ordre d’importance :

1. Le compte courriel principal (Gmail, Outlook, ProtonMail, iCloud).
2. Le gestionnaire de mots de passe (1Password, Bitwarden, Dashlane).
3. Le compte Apple ID / compte Google / compte Microsoft.
4. Les comptes bancaires et courtiers (Questrade, Wealthsimple).
5. Les réseaux sociaux (Facebook, X/Twitter, Instagram, LinkedIn).
6. Les outils de travail (GitHub, GitLab, Slack, AWS).

3. Enregistrer les deux clés sur chaque service

Pour Google :

• allez dans myaccount.google.com/security
• section « Validation en deux étapes »
• « Ajouter une clé de sécurité »
• suivez les instructions, insérez la clé, touchez-la quand elle clignote
• donnez un nom à la clé (ex. : « YubiKey Porte-Clés »)
• répétez avec la deuxième clé (« YubiKey Sauvegarde »)

Pour Apple ID (iOS 16.3+) :

• Réglages → Votre nom → Connexion et sécurité → Clés de sécurité
• « Ajouter des clés de sécurité »
• suivez le flux, ajoutez les deux clés

Pour Microsoft :

• account.microsoft.com/security
• « Options de connexion avancées »
• « Ajouter une méthode de connexion » → « Clé de sécurité »

4. Imprimer les codes de récupération

Chaque service vous propose des codes de récupération à usage unique. Imprimez-les. Pliez la feuille. Mettez-la dans un tiroir fermé à clé ou un coffret de sûreté.

C’est votre troisième ligne de défense. Si les deux clés sont perdues en même temps (incendie, vol dans la maison), les codes de récupération vous sauvent.

5. Désactiver les 2FA moins sécuritaires

Une fois les clés enregistrées et testées, retirez les méthodes faibles :

• SMS de récupération (sauf si vraiment impossible autrement)
• Questions de sécurité (« nom de jeune fille de votre mère ») — désastreuses
• Gardez l’application d’authentification comme 2e méthode si le service ne permet pas 2 clés FIDO

Les cas d’usage réels au Québec

Petite entreprise

Un cabinet comptable de 6 personnes à Québec. Chaque employé reçoit deux YubiKey 5C NFC. Obligatoires pour :

• le compte Microsoft 365 de travail
• QuickBooks en ligne
• l’accès au serveur de fichiers via VPN
• le Slack d’équipe

Coût total : 6 × 2 × 80 $ = 960 CAD. Le coût d’une seule compromission comptable via phishing : facile à dépasser 20 000 $ en remédiation, pertes de confiance client, obligations de notification en vertu de la Loi 25 (voir Loi 25 et cybersécurité au Québec).

Travailleur autonome numérique

Développeuse freelance à Montréal. Une YubiKey 5C NFC sur le trousseau, une YubiKey 5 Nano branchée en permanence dans le MacBook Pro à la maison. Services protégés : GitHub, AWS, Stripe, Wise, compte Gmail, 1Password. Aucune 2FA SMS nulle part.

Elle travaille dans des cafés, à la bibliothèque, au chalet. Peu importe le WiFi, peu importe l’ordinateur, elle n’est pas piratable à distance.

Retraité québécois

Marcel, 71 ans, Shawinigan. Gère ses REER et son CELI chez Questrade. Une YubiKey 5 NFC sur son porte-clés, une deuxième dans le coffre-fort avec ses documents importants. Protège Gmail, Questrade, Desjardins AccèsD (quand ça arrivera), iCloud.

L’argument qui a convaincu Marcel : plus jamais de code à recopier, plus jamais de panique « je ne reçois pas mon texto ».

FIDO2 vs U2F vs passkey : démêler les termes

Les trois termes reviennent sans arrêt, souvent confondus.

• U2F (Universal 2nd Factor) : le standard original (2014). Votre clé est un second facteur — vous tapez mot de passe + touchez la clé.
• FIDO2 : version moderne (2018) qui inclut U2F et ajoute WebAuthn. La clé peut maintenant être utilisée seule, sans mot de passe, comme authentifiant primaire.
• Passkey : terme marketing adopté par Apple, Google, Microsoft pour les identifiants FIDO2 synchronisés dans le cloud (via iCloud Keychain, Google Password Manager, etc.). Voir notre article dédié Passkeys expliqués.

Une YubiKey peut faire U2F, FIDO2, et stocker des passkeys (les YubiKey 5 récentes supportent jusqu’à 25 passkeys résidentes). Une passkey sur YubiKey reste dans la clé : elle ne se synchronise pas dans iCloud. C’est plus sécuritaire (pas de cloud à pirater) mais moins pratique (si vous perdez la clé, la passkey disparaît avec).

Les limites honnêtes

La YubiKey n’est pas magique.

Si vous êtes phished via un faux site bien fait, la YubiKey vous protège grâce à la vérification du domaine d’origine : la clé signe uniquement pour le domaine légitime. Mais si l’attaquant réussit à piéger votre navigateur via une extension malicieuse (voir Ordinateur Windows piraté : les signes), il peut éventuellement contourner.

Si votre ordinateur est déjà compromis par un malware qui vole les sessions (Atomic Stealer, RedLine), l’attaquant peut voler le cookie de session après que vous soyez authentifié. La YubiKey protège l’authentification, pas la session active.

Si vous laissez la YubiKey branchée 24/7 et que quelqu’un accède physiquement à votre bureau, il peut l’utiliser (sauf si vous avez configuré un PIN sur la clé — ce qui est possible et recommandé pour les usages pro).

Les comptes qui ne supportent pas FIDO (encore beaucoup de banques canadiennes, Hydro-Québec, SAAQ, Revenu Québec) doivent rester sur l’application d’authentification.

Configurer un PIN sur la YubiKey (facultatif mais recommandé en pro)

Depuis YubiKey firmware 5.2, vous pouvez ajouter un PIN qui sera demandé en plus du toucher physique. Utile si vous avez peur du vol dans votre sac.

Téléchargez YubiKey Manager sur yubico.com/support/download.

• onglet « Applications » → « FIDO2 »
• « Set PIN »
• PIN entre 4 et 63 caractères

Attention : 8 mauvais PIN consécutifs réinitialisent la partie FIDO de la clé. Vous perdez toutes les passkeys résidentes. D’où l’importance du codes de récupération imprimés.

À lire aussi

• SMS pour la 2FA : insuffisant contre le SIM swapping
• Passkeys expliqués : remplacer les mots de passe pour de vrai
• Gestionnaire de mots de passe : comparatif Québec 2026
• Mot de passe réutilisé : pourquoi c’est le danger #1
• Compartimentalisation des identités numériques

Scénarios de récupération en cas de perte

Voyons les trois scénarios les plus fréquents chez nos clients et comment s’en sortir.

Scénario A : clé 1 perdue, clé 2 en sécurité

Le vendredi, vous réalisez que votre YubiKey principale n’est plus sur votre porte-clés. Peut-être tombée en chargeant l’auto, peut-être dans un Uber.

Samedi matin :

1. Vous sortez la clé de sauvegarde du coffre-fort.
2. Vous vous connectez à chaque service protégé.
3. Dans les réglages de sécurité, vous retirez la clé perdue de la liste des clés enregistrées (souvent nommée par vous : « YubiKey Porte-Clés »).
4. Vous commandez une nouvelle clé pour remplacer la perdue.
5. Quand elle arrive 3-5 jours plus tard, vous l’enregistrez partout et elle devient votre nouvelle clé quotidienne.
6. L’ancienne clé de sauvegarde retourne au coffre-fort si elle y était, ou reste votre clé quotidienne si vous préférez inverser les rôles.

Durée totale de vulnérabilité : zéro. Tant qu’un attaquant n’a pas votre mot de passe en plus, la clé perdue ne lui sert à rien.

Scénario B : les deux clés perdues en même temps

Incendie résidentiel. Cambriolage qui emporte le sac à main et le tiroir du bureau. Rare, mais ça arrive.

1. Imprimés de récupération dans votre coffret de sûreté à la caisse pop ou chez un proche.
2. Vous utilisez les codes pour vous reconnecter à Google, Microsoft, Apple.
3. Vous achetez deux nouvelles clés en urgence sur Amazon.ca (livraison 24 h avec Prime).
4. Vous réenregistrez tout.

Scénario C : clé volée avec mot de passe compromis

Scénario pire cas. Votre sac est volé, la clé est dedans, et le voleur a aussi deviné votre mot de passe (coup de chance ou post-it dans le portefeuille).

Si la YubiKey a un PIN configuré, il est bloqué : 8 mauvais PIN = clé réinitialisée.

Si la YubiKey est sans PIN (mode par défaut), il peut théoriquement se connecter. D’où l’intérêt de combiner clé + PIN + mot de passe solide pour les usages critiques.

Dès que vous réalisez le vol :

1. Ouvrez haveibeenpwned.com pour vérifier si vos credentials ont fuité.
2. Depuis un ordinateur avec votre clé de sauvegarde, connectez-vous à Google, Microsoft, Apple.
3. « Se déconnecter de tous les appareils. »
4. Changez le mot de passe.
5. Retirez la clé volée des réglages de sécurité.
6. Déposez un rapport de vol à la police (numéro de rapport utile pour les assurances et les institutions financières).

Entreprises : déploiement FIDO pour une équipe

Pour une PME de 10-50 employés au Québec, le déploiement suit ce flux :

1. Commander en volume. Yubico a un programme « Enterprise » avec remise volumétrique à partir de 10 clés. Prévoir 2 clés par personne + 10 % de spare.
2. Inventorier les clés avec un numéro de série par employé.
3. Activer les politiques MDM (Microsoft Intune, Jamf) pour exiger FIDO2 sur les comptes professionnels.
4. Former chaque employé à l’enregistrement (30-45 min par personne).
5. Documenter les procédures de perte (quel admin contacter, quel délai de remplacement).
6. Tester la résilience : simulez une perte, mesurez le temps de récupération.

Au Québec, l’obligation de la Loi 25 de mettre en œuvre des « mesures de sécurité raisonnables » pousse de plus en plus d’OBNL, cabinets professionnels et PME vers FIDO2. Un incident de sécurité avec preuve que vous utilisiez seulement des mots de passe et du SMS peut être jugé négligent par la Commission d’accès à l’information.

Combien ça coûte vraiment sur 5 ans

Poste	Coût
2 YubiKey 5C NFC	160 $
Codes de récupération imprimés	0 $
Temps de setup initial (2 h)	à votre taux
Remplacement sur 5 ans (1 clé perdue en moyenne)	80 $
Total	240 $ + 2 h

Comparé au coût moyen d’une compromission de compte personnel (d’après le Centre antifraude du Canada, les pertes déclarées en fraude d’identité dépassaient 580 millions $ en 2024), le retour est évident.

Verdict : achetez-en deux, aujourd’hui

Une YubiKey ne remplace pas un bon mot de passe, un gestionnaire de mots de passe, des mises à jour régulières, ou un peu de bon sens devant un courriel suspect. Elle rend simplement impossible la catégorie d’attaques la plus fréquente en 2026 : le vol de credentials à distance.

Pour 160 CAD (deux YubiKey 5C NFC), vous retirez de votre surface d’attaque le phishing, le SIM swapping, le vol de codes Authenticator, et la majorité des attaques de bourrage d’identifiants.

Chez Sequr, on configure des YubiKey pour des particuliers, des familles et des PME québécoises depuis trois ans. On n’a jamais eu un client avec YubiKey correctement configurée qui se soit fait voler un compte.

Besoin d’aide pour configurer vos clés sur tous vos comptes critiques, ou pour déployer FIDO dans votre PME de Québec ou Montréal? ou passez par sequr.ca/contact. On configure tout avec vous, on imprime les codes de récupération ensemble, et vous sortez de la rencontre avec une sécurité au niveau entreprise.