60 % des Français n'activent pas l'authentification à deux facteurs (2FA) sur leur compte principal, selon les enquêtes CNIL/ARCEP de 2024. Pourtant, Microsoft estime à 99,9 % le taux d'attaques de prise de compte bloquées par la 2FA. C'est probablement la mesure de cybersécurité au meilleur ratio efficacité/effort qui existe.
Cet article explique les 5 méthodes disponibles, leurs forces et faiblesses, et comment activer la 2FA sur un compte critique en moins de 3 minutes.
La 2FA n'est pas une option de geek. C'est l'équivalent numérique de la double serrure à la porte d'entrée — sauf qu'au lieu de coûter 200 €, elle coûte 0 € et 3 minutes.
Les 5 méthodes par ordre croissant de sécurité
SMS (à éviter)
FaibleVulnérable au SIM-swapping (l'attaquant fait porter votre numéro chez son opérateur). Utilisable en dépannage seulement, jamais en méthode principale.
App TOTP (Authy, Aegis, Google Authenticator)
BonCode à 6 chiffres généré localement, indépendant du réseau. Standard RFC 6238. Bon compromis sécurité/simplicité pour 99 % des usages.
Push notification (compte Apple, Microsoft, Google)
BonConfirmation par tap sur un appareil de confiance. Aussi sûr que TOTP mais plus pratique. Limité aux services qui le proposent.
Clé physique FIDO2 (YubiKey, Titan)
ExcellentLe standard OR pour les comptes critiques (banque, mail principal, gestionnaire de mots de passe). Résistant au phishing par construction. Coût : 30-60 €.
Passkey (WebAuthn)
ExcellentSuccesseur du mot de passe + 2FA. Stocké sur l'appareil, synchronisable via iCloud Keychain ou Google Password Manager. Adopté par Google, Apple, Microsoft, Amazon en 2024-2025.
L'ordre d'activation à respecter
Ne tentez pas d'activer la 2FA partout en même temps. Hiérarchisez par criticité :
- Compte mail principal (Gmail, Outlook, ProtonMail). C'est la clé de tous les autres comptes : qui contrôle votre mail peut réinitialiser la moitié de votre vie numérique. Méthode minimum : app TOTP. Méthode idéale : passkey ou FIDO2.
- Gestionnaire de mots de passe (1Password, Bitwarden, Dashlane). Si vous en utilisez un, c'est aussi critique que le mail.
- Comptes bancaires. La plupart imposent déjà une 2FA (DSP2), mais vérifiez que ce n'est pas du SMS pur. Demandez l'app de la banque ou une clé physique.
- Réseaux sociaux principaux (Facebook, Instagram, X, LinkedIn). La prise de compte sociale a un coût réputationnel élevé même pour un particulier.
- Services e-commerce avec CB enregistrée (Amazon, AliExpress, boutiques fréquentes). 2FA app TOTP suffit dans la majorité des cas.
L'erreur classique : oublier les codes de récupération
Au moment d'activer la 2FA, le service vous propose presque toujours de télécharger ou imprimer 8 à 10 codes de récupération à usage unique. Ne jamais zapper cette étape. Sans ces codes, perdre son téléphone peut vous bloquer pendant plusieurs semaines, le temps de fournir au support une pièce d'identité, des factures de carte bancaire, etc.
Stockage recommandé : impression papier dans un coffre, ou fichier chiffré dans un gestionnaire de mots de passe (à condition que le gestionnaire ait sa propre 2FA — c'est pour ça qu'il faut commencer par lui). Jamais en clair dans un mail à soi-même.
À retenir
- 60 % des Français sans 2FA sur leur compte principal.
- 99,9 % des attaques bloquées par 2FA (Microsoft 2024).
- App TOTP = bon compromis pour 90 % des usages, gratuit.
- Passkey / FIDO2 = standard 2025-2026, anti-phishing par construction.
- Codes de récupération à sauvegarder à l'inscription, sinon récupération longue.
À lire aussi
Sources et standards
Questions fréquentes
Pourquoi 60 % des Français n'activent pas la 2FA ?
Trois raisons selon les enquêtes CNIL/ARCEP 2024 : 1) ne pas savoir comment l'activer (38 %), 2) trouver la procédure trop contraignante (32 %), 3) ne pas voir l'utilité (22 %). La sensibilisation reste l'angle mort majeur — alors que Microsoft estime à 99,9 % le taux d'attaques bloquées par la 2FA.
Quelle méthode 2FA choisir pour un compte personnel ?
Pour 90 % des cas : une app TOTP gratuite (Aegis sur Android, Authy sur iOS, Google Authenticator universel). Code 6 chiffres renouvelé toutes les 30 secondes, fonctionne hors-ligne, immunisé contre le SIM-swapping qui touche le SMS. Activation 3 minutes par compte.
Le SMS est-il vraiment dangereux ?
Pour les comptes peu critiques, le SMS reste mieux que rien. Pour le mail principal, la banque, ou un gestionnaire de mots de passe, c'est insuffisant : le SIM-swapping (l'attaquant fait porter votre numéro chez son opérateur via une fausse pièce d'identité) est attesté en France depuis 2018 et reste un vecteur d'attaque actif. La CNIL et l'ANSSI recommandent depuis 2021 d'éviter le SMS pour ces usages.
Qu'est-ce qu'une passkey ?
Standard WebAuthn / FIDO2 généralisé en 2024-2025 par Google, Apple, Microsoft, Amazon. Une clé cryptographique liée au site, stockée sur votre appareil (iPhone, Mac, smartphone Android), validable par Face ID / empreinte. Avantages : 1) résistant au phishing par construction (la passkey ne fonctionne que sur le vrai domaine), 2) plus de mot de passe à retenir, 3) synchronisée entre vos appareils via le trousseau iCloud / Google Password Manager.
Une YubiKey vaut-elle 50 € ?
Pour un compte mail principal, un compte bancaire, ou un gestionnaire de mots de passe : oui. Une YubiKey 5C NFC (~55 €) protège contre toute forme de phishing, y compris les attaques sophistiquées de type man-in-the-middle. Pour les usages courants (réseaux sociaux, services secondaires), une app TOTP gratuite suffit.
Que faire si je perds mon téléphone avec mon app 2FA ?
Trois précautions à prendre AVANT cette situation : 1) sauvegarder les codes de récupération à l'inscription (papier, coffre-fort), 2) utiliser une app qui synchronise (Authy, Google Authenticator avec compte) ou exporter les seeds régulièrement, 3) avoir une seconde méthode 2FA configurée (clé FIDO2 + app, ou app + push). Sans ces précautions, la récupération peut prendre des semaines avec photo d'identité, factures, etc.