6 min

Double authentification (2FA) : du TOTP aux passkeys, le guide 2026

2026-05-13

Je conçois et j'exploite des systèmes où la compromission d'un compte n'est pas un désagrément, c'est un incident : plateformes électorales nationales, boutiques e-commerce à fort trafic. Sur ces projets, le mot de passe seul a disparu depuis longtemps. La double authentification (2FA) et, plus largement, l'authentification à facteurs multiples (MFA) forment le socle minimal. Voici les bases, puis le tri entre ce qui protège réellement en 2026 et ce qui n'offre qu'une fausse impression de sécurité.

Ce qu'est vraiment la double authentification

La double authentification est un cas particulier de l'authentification à facteurs multiples. L'idée tient en une phrase : pour prouver votre identité, un seul secret ne suffit plus, il en faut deux de nature différente. Si un attaquant vole votre mot de passe, il lui manque encore le second facteur pour entrer. La force de la méthode ne vient pas du nombre de preuves, mais du fait de combiner deux types distincts. Deux mots de passe restent un seul facteur, donc une seule serrure.

Les trois facteurs d'authentification

Toute méthode d'authentification se range dans l'une de ces trois familles.

  • Ce que vous connaissez : un mot de passe, un code PIN, la réponse à une question secrète.
  • Ce que vous possédez : votre téléphone, une application qui génère des codes, une clé de sécurité physique.
  • Ce que vous êtes : votre empreinte digitale, votre visage, votre iris.

Une vraie MFA pioche dans deux familles différentes. Un mot de passe (ce que vous connaissez) plus un code à usage unique lu sur votre téléphone (ce que vous possédez) : voilà de la 2FA correcte. Un mot de passe plus une question secrète reste dans la même famille, et ne vaut guère mieux qu'un mot de passe seul.

Le SMS, le maillon faible

Pendant des années, le code reçu par SMS a été la porte d'entrée de la 2FA grand public. En 2026, c'est la méthode que je déconseille dès qu'une alternative existe. Le SMS souffre de deux faiblesses structurelles. La première est le SIM-swap : un attaquant convainc (ou soudoie) votre opérateur de transférer votre numéro vers sa propre carte SIM, et reçoit vos codes à votre place. La seconde est l'interception : le réseau téléphonique historique (SS7) n'a jamais été conçu pour transporter des secrets, et un code affiché sur un écran verrouillé se lit sans même déverrouiller l'appareil. Le NIST déconseille l'usage du SMS comme canal d'authentification depuis 2016. Mieux vaut un code SMS que rien du tout, mais traitez-le comme un dernier recours, jamais comme votre défense principale.

Le TOTP, un code à six chiffres toutes les 30 secondes

La solution qui remplace avantageusement le SMS s'appelle le TOTP, pour Time-based One-Time Password (mot de passe à usage unique fondé sur le temps). Le principe est plus simple qu'il n'y paraît. À l'activation, le site vous montre un QR code : il contient une clé secrète, partagée une seule fois entre le site et votre application. Ensuite, votre application combine cette clé avec l'heure courante, découpée en fenêtres de 30 secondes, et en dérive un code à six chiffres. Le site fait le même calcul de son côté et compare. Comme les deux parties connaissent la clé et lisent la même horloge, elles obtiennent le même code sans jamais rien échanger sur le réseau. C'est pour cela que le TOTP fonctionne en avion, sans la moindre connexion : tout se calcule localement, et le code change toutes les 30 secondes.

Quelle application d'authentification choisir

Google Authenticator reste la plus connue, mais elle n'est pas la seule, et longtemps elle n'a offert ni sauvegarde ni export. Ce qui compte vraiment, c'est de pouvoir chiffrer et récupérer vos secrets le jour où vous changez de téléphone. Mes recommandations :

  • Aegis (Android) : open source, coffre chiffré, export propre. Mon choix par défaut sur Android.
  • 2FAS (iOS et Android) : interface soignée, sauvegardes chiffrées, extension navigateur.
  • Bitwarden : pratique si vous utilisez déjà ce gestionnaire de mots de passe, tout est au même endroit.
  • FreeOTP : open source et soutenu par Red Hat. Julian T. me l'avait conseillé il y a des années, et c'est resté une valeur sûre.

Un mot d'attention : regrouper mots de passe et codes TOTP dans le même coffre est commode, mais cela réunit vos deux facteurs au même endroit. Pour un compte critique, gardez-les séparés.

Les clés matérielles FIDO2 et la MFA résistante au phishing

Le TOTP a une limite qu'il faut connaître : un code peut être hameçonné. Un faux site, glissé entre vous et le vrai service, vous demande votre code et le rejoue en temps réel avant qu'il n'expire. C'est là qu'interviennent les clés de sécurité matérielles (YubiKey et équivalents) fondées sur les standards FIDO2 et WebAuthn. Leur particularité : la clé vérifie le domaine exact du site avant de répondre. Sur un faux domaine, elle refuse, tout simplement. On parle de MFA résistante au phishing, et c'est un saut qualitatif, pas une simple amélioration. Sur mes projets, les accès d'administration et les comptes à fort enjeu passent par une clé matérielle, sans exception.

Les passkeys, la fin du mot de passe

Les passkeys sont l'aboutissement de tout ce qui précède, et la grande bascule des années 2024 à 2026. Elles reposent sur le même socle FIDO2/WebAuthn que les clés matérielles, mais poussent la logique jusqu'au bout : elles remplacent le mot de passe au lieu de s'y ajouter. Concrètement, votre appareil génère une paire de clés cryptographiques. La clé privée ne quitte jamais l'appareil (ou se synchronise, chiffrée, via votre écosystème ou votre gestionnaire). Pour vous connecter, vous déverrouillez cette clé par votre empreinte, votre visage ou le code de l'appareil. Trois conséquences majeures : rien à retenir ni à taper, résistance native au phishing (la clé est liée au domaine), et surtout aucun secret partagé stocké côté serveur. Une fuite de la base de données ne livre alors plus aucun mot de passe à voler. Apple, Google et Microsoft les prennent en charge, et la liste des sites compatibles s'allonge chaque mois. Quand un service propose une passkey, activez-la.

Les codes de secours, votre filet de sécurité

Un point que trop de gens négligent, jusqu'au jour où ils perdent leur téléphone. À l'activation de la 2FA, la plupart des services vous remettent une liste de codes de secours (souvent une dizaine, à usage unique). Ce sont vos clés de rechange : ils vous permettent d'entrer même sans votre application ni votre téléphone. Notez-les hors ligne ou dans votre gestionnaire de mots de passe, à l'abri. Sans eux, la perte d'un appareil peut vous verrouiller définitivement hors de votre propre compte. Quand vous avez épuisé la liste, régénérez-en une nouvelle.

Par où commencer

La marche à suivre tient en cinq gestes. Activez la MFA partout où elle existe, en commençant par votre e-mail et votre gestionnaire de mots de passe (ce sont les clés de tout le reste). Préférez toujours le TOTP au SMS. Activez les passkeys dès qu'un service les propose. Réservez une clé matérielle à vos comptes les plus sensibles. Et conservez vos codes de secours en lieu sûr. C'est exactement la hiérarchie que j'applique quand je construis des plateformes sécurisées, et rien n'empêche de l'appliquer à vos comptes personnels dès aujourd'hui.

Une question sur la mise en place de la MFA pour votre organisation ? Écrivez-moi, j'y réponds volontiers.