Qu'est-ce que l'authentification à deux facteurs (2FA) ?
- WeThePurple
- Se protéger
- 7 min de lecture
L'authentification à deux facteurs ajoute un second verrou : un mot de passe volé ne suffit plus à ouvrir votre compte. Ce que sont les deux facteurs, comment ça marche, lesquels sont les plus robustes, et comment l'activer en quelques minutes.
Vous tapez votre mot de passe et vous voilà connecté. C'est l'authentification à un seul facteur, et elle a une faiblesse évidente : si quelqu'un d'autre découvre votre mot de passe — via une fuite de données, un e-mail de phishing ou un identifiant réutilisé —, il entre lui aussi. L'authentification à deux facteurs, souvent abrégée 2FA, ajoute un second verrou, de sorte qu'un mot de passe volé ne suffit plus à lui seul à ouvrir votre compte.
L'authentification à deux facteurs consiste à prouver votre identité avec deux types de preuves différents avant d'être autorisé à entrer. Les professionnels de la sécurité classent ces preuves en trois catégories, ou facteurs : quelque chose que vous savez (un mot de passe ou un code PIN), quelque chose que vous possédez (un téléphone, une clé de sécurité physique ou une application qui génère des codes) et quelque chose que vous êtes (une empreinte digitale, un visage ou une autre donnée biométrique). La 2FA combine deux de ces catégories — voilà pourquoi un code envoyé sur votre téléphone compte, mais pas deux mots de passe : deux mots de passe relèvent du même facteur.
Comment fonctionne l'authentification à deux facteurs
En pratique, cela se passe généralement ainsi. Vous saisissez votre identifiant et votre mot de passe comme d'habitude. Le service réclame alors une seconde preuve : un code à six chiffres issu d'une application d'authentification, une validation sur une notification, un code par SMS ou un appui sur une clé physique. Vous n'êtes connecté que lorsque les deux vérifications sont passées. Comme le second facteur change en permanence ou est physiquement lié à un appareil que vous détenez, un attaquant qui n'a que votre mot de passe est arrêté à la seconde étape.
Tous les seconds facteurs ne se valent pas. Les codes envoyés par SMS sont les plus répandus et bien meilleurs que rien, mais les SMS peuvent être interceptés ou détournés par une technique appelée SIM swapping, où un attaquant pousse votre opérateur à transférer votre numéro vers son appareil. Les applications d'authentification — intégrées aux gestionnaires de mots de passe ou autonomes — génèrent les codes sur votre propre appareil à l'aide d'un standard ouvert (TOTP), si bien qu'il n'y a aucun message à intercepter. Les clés de sécurité physiques et les passkeys, fondées sur les standards FIDO2 et WebAuthn, vont plus loin : elles sont conçues pour résister au phishing, car la clé vérifie la véritable adresse du site avant de répondre.
Quels deuxièmes facteurs sont les plus robustes
Le phishing est précisément la faille que les seconds facteurs les plus robustes sont faits pour combler. Une fausse page de connexion convaincante peut capturer à la fois votre mot de passe et un code saisi à la main si l'on vous piège pour que vous les entriez. Une clé physique ou un passkey est lié au site authentique : même une copie parfaitement imitée ne peut s'en servir. C'est pourquoi de nombreuses équipes de sécurité recommandent désormais d'abandonner les codes SMS au profit d'une application d'authentification au minimum, et de clés ou de passkeys pour les comptes les plus sensibles.
- Activez la 2FA d'abord sur vos comptes les plus importants : e-mail principal, banque et gestionnaire de mots de passe
- Préférez une application d'authentification (TOTP) ou une clé de sécurité physique aux codes SMS, interceptables via le SIM swapping
- Utilisez des clés physiques ou des passkeys (FIDO2/WebAuthn) pour les comptes sensibles — ils résistent au phishing en vérifiant le vrai site
- Conservez les codes de secours à usage unique hors ligne pour pouvoir revenir si vous perdez votre téléphone
- Associez la 2FA à un gestionnaire de mots de passe : chaque mot de passe reste unique et robuste, et une seule fuite n'ouvre rien
L'argument pour activer la 2FA est simple : les mots de passe fuient en permanence. Des milliards d'identifiants volés circulent en ligne au gré des fuites passées, et les gens réutilisent le même mot de passe sur de nombreux sites, de sorte qu'une seule fuite peut déverrouiller plusieurs comptes. Un second facteur brise cette chaîne. Même si votre mot de passe apparaît dans une fuite, un attaquant ne peut toujours pas se connecter sans le code ou l'appareil que vous seul détenez. C'est aussi pourquoi un gestionnaire de mots de passe et la 2FA fonctionnent bien ensemble : le gestionnaire garde chaque mot de passe unique et robuste, et la 2FA protège les comptes qui comptent même si l'un d'eux est exposé.
Pourquoi l'activer, et comment
Configurer la 2FA prend quelques minutes par compte et se trouve dans les paramètres de sécurité ou de connexion de la plupart des services. Commencez par les comptes dont la perte ferait le plus de dégâts : votre e-mail principal (parce qu'il peut réinitialiser tout le reste), vos applications bancaires et de paiement, et votre gestionnaire de mots de passe lui-même. Quand vous avez le choix, préférez une application d'authentification ou une clé physique au SMS. Lorsque vous activez la 2FA, le service affiche généralement une série de codes de secours à usage unique — conservez-les en lieu sûr et hors ligne, car ce sont eux qui vous permettront de revenir si vous perdez votre téléphone.
Perdre l'accès à son second facteur est la crainte qui retient beaucoup de gens, et mieux vaut l'anticiper que l'éviter. Gardez vos codes de secours, enregistrez une seconde méthode quand le service le permet (par exemple une clé de secours ou un deuxième appareil), et certaines applications d'authentification peuvent synchroniser vos codes en toute sécurité entre vos propres appareils, de sorte qu'un téléphone perdu ne vous enferme pas dehors. Les quelques minutes consacrées aux options de récupération sont bien moins douloureuses que la perte d'un compte au profit de quelqu'un qui a deviné ou volé un seul mot de passe.
Et si vous perdez votre deuxième facteur ?
L'authentification à deux facteurs est l'une des mesures de confidentialité et de sécurité les plus rentables que vous puissiez prendre, et elle est en grande partie gratuite. Elle ne corrigera pas un mot de passe faible ou réutilisé, et les codes SMS ne sont pas infaillibles, mais ajouter n'importe quel second facteur transforme votre mot de passe d'un point de défaillance unique en un verrou parmi deux. Pour les comptes qui détiennent votre identité, votre argent et vos messages, ce second verrou vaut largement les quelques minutes nécessaires à sa mise en place.
Perdre l'accès à son second facteur est la crainte qui retient beaucoup de gens, et mieux vaut l'anticiper que l'éviter. Gardez vos codes de secours, enregistrez une seconde méthode quand le service le permet (par exemple une clé de secours ou un deuxième appareil), et certaines applications d'authentification peuvent synchroniser vos codes en toute sécurité entre vos propres appareils, de sorte qu'un téléphone perdu ne vous enferme pas dehors. Les quelques minutes consacrées aux options de récupération sont bien moins douloureuses que la perte d'un compte au profit de quelqu'un qui a deviné ou volé un seul mot de passe.