2FA : l'authentification à deux facteurs

En bref

La 2FA, ou authentification à deux facteurs, ajoute une seconde preuve d'identité à votre mot de passe : un code, votre téléphone ou votre empreinte. Si votre mot de passe est volé, ce second facteur bloque l'accès. La MFA en est la version élargie, à deux facteurs ou plus. Toutes les méthodes ne se valent pas : le SMS reste le maillon faible, l'application d'authentification et la clé physique sont nettement plus sûres. Activez-la d'abord sur votre messagerie et votre banque.

2FA, MFA : de quoi parle-t-on

Un mot de passe seul ne protège plus grand-chose. Il peut fuiter lors du piratage d'un site, être deviné s'il est trop simple ou récupéré par hameçonnage. La double authentification répond à ce risque en exigeant une seconde preuve au moment de la connexion. Concrètement, après avoir saisi votre mot de passe, le service vous demande une confirmation supplémentaire : un code provisoire, la validation d'une notification sur votre téléphone ou votre empreinte. Même si un pirate connaît votre mot de passe, il lui manque ce second élément, qu'il ne possède pas.

On croise plusieurs sigles pour la même idée. La 2FA (two-factor authentication) désigne exactement deux facteurs. La MFA (multi-factor authentication) est le terme générique pour deux facteurs ou plus : la 2FA en est un cas particulier. Les services parlent aussi de « validation en deux étapes ». Ce guide prolonge notre guide de sécurité numérique et complète nos conseils sur le mot de passe fort et le gestionnaire.

Les trois familles de facteurs

Une authentification est dite à deux facteurs lorsqu'elle combine deux preuves appartenant à des catégories différentes. La CNIL et l'ANSSI en distinguent trois.

La connaissance — Quelque chose que vous êtes seul à savoir : un mot de passe, un code PIN ou une réponse secrète. C'est le facteur le plus répandu, mais aussi le plus exposé aux fuites de données.
La possession — Quelque chose que vous seul détenez : votre smartphone qui reçoit une notification, une application qui génère un code, ou une clé de sécurité physique que vous branchez.
L'inhérence — Quelque chose que vous êtes : une empreinte digitale, la reconnaissance faciale ou vocale. Ce facteur biométrique sert souvent à déverrouiller l'appareil qui héberge le second facteur.

Le principe clé : les deux facteurs doivent venir de familles distinctes. Deux mots de passe, ou un mot de passe et une question secrète, ne forment pas une double authentification, puisqu'ils relèvent tous deux de la connaissance. Une combinaison solide associe par exemple votre mot de passe (connaissance) et votre téléphone (possession).

Les méthodes : du plus pratique au plus sûr

Plusieurs méthodes existent pour apporter ce second facteur. Elles n'offrent pas le même niveau de protection. Voici les principales, de la plus courante à la plus robuste.

Le code par SMS ou e-mail — Le service vous envoie un code provisoire à recopier. C'est la méthode la plus simple à mettre en place, mais la plus vulnérable.
L'application d'authentification (TOTP) — Une application génère sur votre téléphone un code temporaire qui change toutes les 30 secondes. Le code ne transite pas par le réseau mobile.
La notification push — Au lieu d'un code, vous validez ou refusez une demande qui s'affiche directement dans l'application du service ou de votre banque.
La clé de sécurité physique (FIDO2) — Un petit boîtier, type YubiKey ou Titan, que vous branchez ou approchez. C'est la méthode la plus résistante à l'hameçonnage.
La biométrie — Empreinte ou visage, le plus souvent utilisée pour déverrouiller l'application ou la clé d'accès qui porte le second facteur.

Le bon choix dépend du service et de l'enjeu. Pour un compte sensible, l'ANSSI recommande de privilégier, dans l'ordre, la clé FIDO2, puis l'application d'authentification, puis la notification, le SMS arrivant en dernier recours. La logique est toujours la même : plus la méthode résiste à l'hameçonnage, plus elle est conseillée. Le SMS et le code par e-mail peuvent être interceptés ou recopiés sur un faux site ; la clé FIDO2, elle, refuse tout simplement de fonctionner ailleurs que sur le site légitime. Entre les deux, l'application d'authentification offre un excellent équilibre, accessible sans matériel supplémentaire.

SMS : pratique mais le maillon faible

Le code reçu par SMS a un mérite : il est universel et ne demande aucune installation. Une double authentification par SMS vaut toujours mieux que pas de double authentification du tout. Mais c'est aussi la méthode la plus fragile, et l'ANSSI déconseille d'en faire le premier choix pour les accès sensibles.

Pourquoi le SMS est vulnérable

Trois attaques visent particulièrement le code par SMS. Le SIM swapping consiste, pour un fraudeur, à se faire attribuer une nouvelle carte SIM à votre numéro auprès de l'opérateur, en usurpant votre identité : il reçoit alors vos codes. Les failles des réseaux mobiles (protocole de signalisation) permettent dans certains cas d'intercepter les messages. Enfin, l'hameçonnage en temps réel vous attire sur un faux site qui vous demande de saisir le code à la volée, pour le rejouer immédiatement sur le vrai service. Réservez le SMS aux comptes sans grand enjeu, et passez à une application ou une clé dès que c'est possible.

Application d'authentification (TOTP)

L'application d'authentification est le meilleur compromis entre sécurité et simplicité pour la plupart des usages. Elle génère un code à usage unique, calculé localement, qui change toutes les 30 secondes : on parle de TOTP (time-based one-time password). Comme le code ne circule pas sur le réseau mobile, il échappe au SIM swapping et à l'interception. Les applications les plus connues sont Google Authenticator et Microsoft Authenticator, mais de nombreux gestionnaires de mots de passe intègrent cette fonction.

Voici comment l'activer, en général.

Ouvrez les réglages de sécurité du service concerné, à la rubrique « double authentification » ou « validation en deux étapes ».
Choisissez l'application d'authentification comme méthode, plutôt que le SMS.
Scannez le QR code affiché à l'écran avec votre application : le compte s'ajoute automatiquement.
Saisissez le code à six chiffres généré pour confirmer que tout fonctionne.
Conservez les codes de secours que le service vous propose, hors ligne, pour récupérer l'accès si vous perdez votre téléphone.

Une limite subsiste : le TOTP reste sensible à l'hameçonnage en temps réel, car le code peut être recopié sur un faux site. Ne saisissez jamais un code sur une page dont vous n'êtes pas certain de l'adresse. Cette méthode s'applique aussi bien à votre compte Google qu'à votre compte PayPal.

Clés d'accès (passkeys) : l'après-mot de passe

Les clés d'accès, ou passkeys, représentent l'évolution la plus récente. Elles s'appuient sur le standard FIDO2 et remplacent purement le mot de passe par une paire de clés cryptographiques. À la connexion, vous déverrouillez simplement votre appareil avec votre empreinte, votre visage ou le code de l'écran : aucun mot de passe ni code à saisir.

Leur grand atout est la résistance native à l'hameçonnage. Une passkey est liée au site légitime pour lequel elle a été créée et ne fonctionne pas sur un faux site : même un utilisateur trompé ne peut pas livrer son identifiant à un pirate. Les clés d'accès se synchronisent entre vos appareils via votre compte Apple, Google ou Microsoft, ou peuvent être stockées sur une clé physique pour les usages les plus exigeants. Apple, Google et Microsoft ont adopté ce standard, et de plus en plus de services grand public le proposent. À noter : une passkey associe possession (l'appareil) et inhérence ou connaissance (la biométrie ou le code d'écran), elle constitue donc à elle seule une authentification forte.

Où l'activer en priorité

Vous n'avez pas besoin de tout sécuriser le même jour. Cybermalveillance.gouv.fr conseille d'activer la double authentification partout où elle est proposée, en commençant par les comptes les plus sensibles.

Votre messagerie d'abord — C'est le compte pivot : elle sert à réinitialiser les mots de passe de tous les autres services. La protéger en priorité empêche un effet domino.
Votre banque et vos paiements — L'authentification forte y est déjà imposée par la directive DSP2. Vérifiez aussi vos comptes de paiement comme PayPal.
Vos réseaux sociaux — Un compte détourné sert souvent à arnaquer vos contacts ou à usurper votre identité.
Vos comptes administratifs et marchands — Impôts, sites d'achat, espaces santé : tout ce qui contient des données personnelles ou un moyen de paiement.

Un réflexe utile : conservez vos codes de secours dans un endroit sûr et hors ligne, et envisagez une seconde méthode de récupération. Perdre son téléphone sans solution de repli peut bloquer l'accès à un compte protégé. De nombreux services permettent d'enregistrer plusieurs facteurs en parallèle, par exemple une application et une clé physique : cette redondance évite de rester verrouillé dehors en cas de perte ou de vol de l'un d'eux. Pour aller plus loin sur la solidité de vos identifiants, consultez notre guide du mot de passe fort et du gestionnaire.

Sources et références

Questions fréquentes

Quelle est la différence entre 2FA et MFA ?

La 2FA (authentification à deux facteurs) exige exactement deux preuves d'identité issues de catégories différentes : connaissance, possession ou inhérence. La MFA (authentification multifacteur) est le terme plus large qui désigne l'usage d'au moins deux facteurs, sans plafond. Autrement dit, la 2FA est un cas particulier de MFA. Dans le langage courant, on parle aussi de double authentification, de validation en deux étapes ou de vérification en deux étapes pour désigner la même protection.

Le code reçu par SMS est-il vraiment moins sûr ?

Oui. Le SMS reste très utile et vaut mieux que pas de double authentification du tout, mais c'est le maillon faible. L'ANSSI déconseille d'en faire le premier choix pour les accès sensibles, car il est exposé à plusieurs attaques : l'échange de carte SIM (SIM swapping), l'interception via les failles du protocole de signalisation des réseaux mobiles, ou l'hameçonnage en temps réel où un faux site vous demande de saisir le code à la volée. Préférez une application d'authentification ou une clé physique quand le service le permet.

Qu'est-ce qu'une application d'authentification (TOTP) ?

Une application comme Google Authenticator, Microsoft Authenticator ou un gestionnaire de mots de passe génère un code temporaire à usage unique, dit TOTP, qui change toutes les 30 secondes environ. Au moment de vous connecter, vous recopiez le code affiché. Comme il est calculé localement sur votre appareil, il ne transite pas par le réseau mobile et résiste mieux que le SMS. Son principal point faible reste l'hameçonnage en temps réel : ne saisissez jamais un code sur un site dont vous n'êtes pas certain.

Qu'est-ce qu'une clé d'accès (passkey) ?

Une clé d'accès, ou passkey, remplace le mot de passe par une paire de clés cryptographiques fondée sur le standard FIDO2. Vous vous connectez en déverrouillant votre appareil avec votre empreinte, votre visage ou votre code d'écran. La passkey est liée au site légitime, ce qui la rend résistante à l'hameçonnage : elle ne fonctionne pas sur un faux site. Elle peut être synchronisée entre vos appareils via votre compte Apple, Google ou Microsoft, ou stockée sur une clé physique.

Sur quels comptes activer la double authentification en priorité ?

Commencez par votre messagerie, car elle sert à réinitialiser tous vos autres mots de passe : la perdre revient à perdre l'ensemble de vos comptes. Activez-la ensuite sur votre banque (l'authentification forte y est imposée par la directive DSP2), vos comptes de paiement comme PayPal, vos réseaux sociaux et vos comptes administratifs. Cybermalveillance.gouv.fr recommande de l'activer partout où elle est proposée.