Votre mot de passe est à une fuite de base de données près de ne plus rien valoir. Ça paraît dramatique, jusqu'à ce que ça vous arrive — et de nos jours, ça finit par arriver à presque tout le monde. La meilleure parade prend environ deux minutes par compte et ne coûte rien : activer l'authentification à deux facteurs.

Ce guide explique comment activer l'authentification à deux facteurs (2FA) sans jargon — ce que c'est vraiment, quelle méthode choisir (elles ne se valent pas), les étapes exactes, et la seule chose que la plupart des gens oublient, celle qui les enferme dehors de leurs propres comptes plus tard.

Ce qu'est vraiment l'authentification à deux facteurs

La 2FA — aussi appelée double authentification ou validation en deux étapes — consiste à prouver votre identité avec deux choses différentes au lieu d'une :

  • Quelque chose que vous savez (votre mot de passe), plus
  • Quelque chose que vous avez (votre téléphone, une appli, une clé physique) ou quelque chose que vous êtes (votre empreinte ou votre visage).

L'idée est simple : même si quelqu'un vole votre mot de passe — via une fuite, un e-mail de phishing ou une supposition — il ne peut toujours pas entrer, parce que le second facteur est dans votre poche. Les chercheurs en sécurité constatent régulièrement qu'activer la 2FA bloque l'écrasante majorité des tentatives automatisées de piratage de compte. C'est, euro pour euro et minute pour minute, l'habitude de sécurité la plus rentable qui soit.

Les méthodes 2FA, classées (ce passage compte)

Tous les seconds facteurs ne se valent pas. Les voici du plus faible au plus fort — choisissez le meilleur que chaque compte propose.

1. Codes par SMS — mieux que rien, mais le plus faible

Un code vous est envoyé par texto. Universel et facile, mais avec de vraies failles : un attaquant peut détourner votre numéro par échange de carte SIM (SIM-swapping), et les codes peuvent être hameçonnés en temps réel. N'utilisez le SMS que lorsqu'un compte n'offre rien d'autre — et activez-le plutôt que de laisser la 2FA désactivée.

2. Applis d'authentification (TOTP) — la bonne base pour la plupart des gens

Une appli sur votre téléphone génère un nouveau code à six chiffres toutes les 30 secondes. Google Authenticator, Microsoft Authenticator et Authy le font, et la plupart des bons gestionnaires de mots de passe aussi. Ça marche hors ligne, aucun numéro à détourner, et c'est gratuit. Pour 99 % des gens, c'est le juste milieu — solide, simple et disponible presque partout.

3. Validations par notification (Push) — pratiques, avec un piège

Certains services envoient une invite « Était-ce vous ? Approuver / Refuser » dans leur appli. Agréable et rapide — mais méfiez-vous des attaques par lassitude (MFA fatigue), où un attaquant qui a déjà votre mot de passe vous noie de notifications en espérant que vous tapiez « Approuver » par réflexe ou agacement. Règle : n'approuvez jamais une invite que vous n'avez pas vous-même déclenchée.

4. Clés de sécurité physiques — la plus forte

Une petite clé physique (comme une YubiKey) que vous branchez ou approchez. Elles sont résistantes au phishing par conception — elles ne livreront tout simplement rien à un faux site — d'où leur adoption par les comptes à haut risque et les professionnels de la sécurité. Cela en vaut la peine si vous êtes journaliste, dirigez une entreprise, ou voulez simplement le meilleur.

5. Les passkeys — la direction que tout cela prend

Les passkeys remplacent le mot de passe et la seconde étape par une connexion cryptographique unique, liée à l'empreinte ou au visage de votre appareil. Elles résistent au phishing comme les clés physiques, mais sont intégrées au téléphone que vous possédez déjà. Nous les décryptons dans les passkeys expliquées — si un compte propose une passkey, c'est souvent la meilleure option de la liste.

Comment activer la 2FA — les étapes universelles

La formulation varie un peu selon le service, mais le chemin est presque toujours le même :

  1. Installez d'abord une appli d'authentification (Google Authenticator, Microsoft Authenticator, Authy, ou celle intégrée à votre gestionnaire de mots de passe).
  2. Sur le compte, allez dans Paramètres → Sécurité → Authentification à deux facteurs / Validation en deux étapes.
  3. Choisissez « Appli d'authentification » (pas le SMS, si vous avez le choix).
  4. Le site affiche un QR code. Ouvrez votre appli d'authentification, touchez ajouter, et scannez-le.
  5. L'appli affiche alors un code à 6 chiffres. Resaisissez-le sur le site pour confirmer le lien.
  6. Le site affiche ensuite des codes de secours. Ne sautez pas cette étape — voir la section suivante.

C'est tout. Désormais, la connexion demande votre mot de passe et le code à 6 chiffres en cours.

L'étape que tout le monde saute : sauvegardez vos codes de secours

C'est ce qui transforme « j'ai sécurisé mon compte » en « je me suis enfermé dehors de mon compte ». En activant la 2FA, le service vous donne une série de codes de secours à usage unique. Si votre téléphone est un jour perdu, volé ou réinitialisé, ces codes sont votre porte de retour.

  • Conservez-les dans un endroit sûr et séparé de votre téléphone — idéalement dans votre gestionnaire de mots de passe, qui les chiffre et les synchronise entre vos appareils.
  • Ne les capturez pas en photo sur le même téléphone que celui qui héberge votre appli d'authentification. Si ce téléphone meurt, les deux disparaissent ensemble.
  • Une copie imprimée dans un tiroir est une très bonne sauvegarde. Traitez ces codes comme un double de clé de maison.

Voyez-y la version sécurité de la sauvegarde de vos données — on la met en place une fois, au calme, pour qu'un mauvais jour plus tard devienne un désagrément mineur plutôt qu'une catastrophe.

Quels comptes protéger en premier

Pas besoin de tout faire ce soir. Procédez par ordre de dégâts :

  1. Votre e-mail principal. C'est la clé maîtresse — les réinitialisations de mot de passe de tout le reste y atterrissent. Sécurisez-le en premier, sans exception.
  2. Comptes bancaires et financiers.
  3. Votre gestionnaire de mots de passe (oui, protégez le coffre lui-même).
  4. Stockage cloud — là où vivent vos fichiers et vos photos.
  5. Comptes sociaux et professionnels — cibles de choix pour l'usurpation et l'arnaque.

Si vous dirigez une entreprise, la 2FA sur l'e-mail et les comptes admin est l'une des défenses les moins chères à déployer — un pilier que nous couvrons dans les bases de la cybersécurité pour les petites entreprises.

Erreurs courantes à éviter

  • Se reposer sur le SMS quand une appli d'authentification est disponible.
  • Ne jamais sauvegarder ses codes de secours — la cause n°1 d'enfermement dehors.
  • Approuver des notifications Push qu'on n'a pas déclenchées — une ruse classique d'attaquant.
  • Stocker ses codes 2FA sur le même appareil que tout le reste, sans sauvegarde séparée.
  • L'activer sur les réseaux sociaux mais pas sur l'e-mail — vous avez protégé la fenêtre et laissé la porte d'entrée ouverte.

FAQ

Qu'est-ce que l'authentification à deux facteurs, simplement ? C'est une seconde preuve d'identité au-dessus de votre mot de passe — généralement un code d'une appli ou une validation sur votre téléphone. Même si quelqu'un vole votre mot de passe, il ne peut pas se connecter sans ce second facteur.

Une appli d'authentification est-elle meilleure que les codes SMS ? Oui. Le SMS peut être intercepté ou détourné par échange de SIM, tandis que les codes d'appli sont générés sur votre appareil, fonctionnent hors ligne et ne dépendent d'aucun numéro. Utilisez une appli dès que l'option existe.

Que se passe-t-il si je perds le téléphone avec mon appli d'authentification ? C'est précisément à ça que servent les codes de secours — utilisez-en un pour vous connecter, puis ré-enregistrez un nouvel appareil. Certaines applis (comme Authy ou un gestionnaire de mots de passe) synchronisent aussi vos codes dans le cloud, et un nouveau téléphone les restaure. Sauvegardez toujours ces codes dès la première activation.

Dois-je utiliser la 2FA sur tous mes comptes ? Commencez par les plus précieux — e-mail, banque, gestionnaire de mots de passe, stockage cloud — puis élargissez. L'e-mail est le plus important, car il peut réinitialiser le mot de passe de tout le reste.

La 2FA est-elle vraiment nécessaire si mon mot de passe est fort ? Oui. Un mot de passe fort et unique est essentiel, mais il peut quand même être exposé dans une fuite ou sur une page de phishing convaincante. La 2FA est le filet de sécurité qui tient même quand le mot de passe lâche.

En résumé

L'authentification à deux facteurs est cette rare amélioration de sécurité à la fois gratuite, rapide et réellement efficace. Installez une appli d'authentification, faites passer vos comptes importants du SMS aux codes d'appli, et — s'il vous plaît — sauvegardez ces codes de secours en lieu sûr. Commencez par votre e-mail aujourd'hui, ajoutez deux comptes cette semaine, et vous aurez fermé la porte à la façon la plus courante dont les gens ordinaires se font pirater. Deux minutes maintenant valent mieux qu'un très mauvais après-midi plus tard.