L'authentification à deux facteurs (2FA) expliquée
Mis à jour 2026-07-06
L'authentification à deux facteurs est la chose la plus efficace que vous puissiez faire pour protéger vos comptes — et sa configuration prend deux minutes. Ce guide explique ce qu'elle est, pourquoi un mot de passe seul ne suffit pas et comment choisir entre les différentes méthodes.
Ce qu'est la 2FA
L'authentification à deux facteurs (2FA), parfois appelée vérification en deux étapes, signifie prouver votre identité avec deux types de preuves différents au lieu d'un. Les trois catégories classiques sont :
- Quelque chose que vous savez — un mot de passe ou un code PIN.
- Quelque chose que vous avez — votre téléphone ou une clé matérielle.
- Quelque chose que vous êtes — une empreinte ou un scan du visage.
Un mot de passe est un facteur. La 2FA en ajoute un second, de sorte qu'un mot de passe volé ne suffit pas à lui seul pour entrer.
Pourquoi un mot de passe ne suffit pas
Les mots de passe fuient — par des violations de données, la réutilisation entre sites et l'hameçonnage. Comme expliqué dans notre guide des mots de passe forts, lorsqu'un site est piraté, les attaquants essaient ces mêmes identifiants partout ailleurs. La 2FA brise cette chaîne : même avec votre mot de passe exact, un attaquant ne peut toujours pas se connecter sans votre second facteur.
Les méthodes, de la pire à la meilleure
Codes par SMS
Un code envoyé par SMS sur votre téléphone. Bien mieux que rien, mais l'option la plus faible — les codes peuvent être interceptés, et les attaques par « échange de SIM » permettent à des criminels de détourner votre numéro. Ne l'utilisez que si c'est le seul choix.
Applis d'authentification
Une appli sur votre téléphone génère un nouveau code à 6 chiffres toutes les 30 secondes (on appelle cela TOTP). Les codes sont créés sur votre appareil et jamais envoyés sur le réseau, ils ne peuvent donc pas être interceptés comme un SMS. La configuration consiste généralement à scanner un code QR qui porte le secret partagé. C'est le point idéal pour la plupart des gens — gratuit, facile et bien plus solide que le SMS.
Clés de sécurité matérielles
Un petit appareil physique (comme une YubiKey) que vous touchez ou branchez. Fondées sur des standards modernes (FIDO2/WebAuthn), elles sont la référence absolue — quasiment immunisées contre l'hameçonnage, car la clé vérifie le vrai site web avant de répondre. Idéales pour vos comptes les plus importants.
Ne sautez pas les codes de secours
Quand vous activez la 2FA, le service vous donne un jeu de codes de secours à usage unique. Rangez-les en lieu sûr (un gestionnaire de mots de passe, ou imprimés et conservés). Ce sont votre moyen de revenir si vous perdez votre téléphone — sans eux, perdre votre second facteur peut signifier perdre le compte.
Où l'activer en premier
Commencez par les comptes qui peuvent déverrouiller les autres : votre e-mail d'abord (il peut réinitialiser la plupart de vos autres mots de passe), puis la banque et tout compte lié à votre identité ou à votre argent. Combinée à un mot de passe fort unique par site, la 2FA vous place devant l'écrasante majorité des comptes en ligne. Pour protéger vos données autrement, voyez notre guide sur les métadonnées de photos et la confidentialité.
Plus sur Sécurité & confidentialité
Voir tous les guides Sécurité & confidentialité →Outils mentionnés dans ce guide