Authentification deux facteurs guide complet : TOTP, SMS, clé physique

## Authentification à deux facteurs : pourquoi les mots de passe seuls ne suffisent plus

L’authentification à deux facteurs (2FA) est devenue indispensable dans toute architecture de sécurité moderne. Et c’est le premier sujet que j’aborde lors de mes missions de conseil CISO : avant de s’intéresser aux gestionnaires de mots de passe, aux firewalls, ou à la segmentation réseau, l’activation du 2FA sur les comptes critiques est la mesure avec le meilleur rapport effort/sécurité disponible.

Du point de vue sécurité, les statistiques parlent d’elles-mêmes : Microsoft a publié une étude en 2019 indiquant que le 2FA bloque plus de 99,9% des attaques de compromission de compte. C’est probablement la mesure de sécurité individuelle la plus efficace disponible aujourd’hui.

Mais tous les 2FA ne se valent pas. Le SMS est vulnérable. Le TOTP est bien meilleur. Les clés physiques FIDO2 sont les seules à résister aux attaques de phishing avancées. Comprendre ces nuances est essentiel pour choisir la bonne méthode selon vos besoins.

## Les trois grandes familles d’authentification à deux facteurs

Le 2FA repose sur le principe de « quelque chose que vous savez » (mot de passe) combiné avec « quelque chose que vous avez » (téléphone, clé physique) ou « quelque chose que vous êtes » (biométrie).

### Famille 1 : Codes SMS et appels téléphoniques (OTP par SMS)

C’est la forme de 2FA la plus répandue et la moins sécurisée des alternatives sérieuses.

**Comment ça fonctionne :** Après votre mot de passe, le service envoie un SMS avec un code à usage unique (OTP — One-Time Password) valide quelques minutes.

**Avantages :** Universel (tous les téléphones sans application), pas de configuration complexe.

**Vulnérabilités connues :**

**SIM Swapping :** Un attaquant convainc votre opérateur (via ingénierie sociale ou corruption d’un employé) de transférer votre numéro sur une SIM qu’il contrôle. Il intercepte ensuite tous vos SMS de vérification. Des cas documentés ont permis de voler des millions d’euros en crypto via cette technique.

**SS7 Attacks :** Le protocole SS7 (le système de routage des SMS) a des vulnérabilités connues depuis 2014. Des acteurs avec accès à l’infrastructure SS7 (opérateurs, services de renseignement, certains cybercriminels) peuvent intercepter les SMS en transit.

**Phishing :** Un faux site peut vous demander votre code SMS en temps réel et le transmettre immédiatement au vrai site avant qu’il n’expire.

Ce que révèle l’audit : le 2FA par SMS est bien meilleur que l’absence de 2FA. Mais si vous protégez des comptes sensibles (banque, crypto, email principal, accès entreprise), le SMS 2FA ne doit pas être votre choix par défaut.

### Famille 2 : TOTP (Time-based One-Time Password) — Applications Authenticator

Le TOTP est la méthode que je recommande pour la grande majorité des usages. Les applications comme Google Authenticator, Authy, ou le TOTP intégré dans Bitwarden Premium génèrent des codes qui changent toutes les 30 secondes.

**Comment ça fonctionne techniquement :**

1. Lors de l’activation du 2FA, le service génère un **secret partagé** (une clé aléatoire)
2. Ce secret est encodé dans un QR code que vous scannez avec votre application Authenticator
3. L’application et le serveur utilisent ce secret + l’heure actuelle pour calculer un code TOTP (algorithme HOTP/TOTP, RFC 6238)
4. Les codes changent toutes les 30 secondes. Un code n’est valide que pendant sa fenêtre de 30 secondes (plus parfois ±30 secondes de tolérance)

**Avantages :**
– Les codes ne transitent pas par un réseau externe (pas d’SMS, pas de notification push) — résistant au SIM swapping
– Générés localement sur votre appareil
– Le secret est en dehors du circuit de communication (lié à votre application, pas à votre numéro)

**Vulnérabilités :**
– **Phishing en temps réel :** Un attaquant peut vous demander votre code TOTP sur un faux site et l’utiliser dans la fenêtre de 30 secondes. Les attaques AiTM (Adversary in the Middle) utilisent un proxy transparent pour relayer votre authentification TOTP en temps réel.
– **Compromission de l’appareil :** Si votre téléphone est compromis et l’application Authenticator accessible, les codes peuvent être lus.

**Les meilleures applications TOTP :**

**Authy** : Ma recommandation principale. Sauvegardes chiffrées dans le cloud (récupération si vous perdez votre téléphone), disponible sur iOS, Android, et desktop (Chrome, Windows, Mac). La sauvegarde cloud est chiffrée avec un mot de passe que vous seul connaissez.

**Google Authenticator** : Simple mais depuis 2023, il propose aussi une synchronisation cloud. Auparavant, la perte du téléphone = perte de tous les codes 2FA.

**Bitwarden Premium** : Pour les utilisateurs Bitwarden, le TOTP intégré dans le gestionnaire est très pratique — même outil pour les mots de passe et les codes 2FA.

**1Password** : Idem, 1Password intègre un générateur TOTP dans le plan individuel.

La bonne pratique c’est de sauvegarder vos secrets TOTP. Notez ou photographiez les QR codes initiaux lors de l’activation du 2FA — c’est votre seule option de récupération si vous perdez votre application.

### Famille 3 : Clés physiques FIDO2/WebAuthn (YubiKey, Google Titan…)

Les clés physiques de sécurité sont la forme la plus robuste d’authentification à deux facteurs. Du point de vue sécurité, elles sont les seules à protéger contre les attaques de phishing avancées.

**Comment ça fonctionne :**
Lors de l’authentification, le serveur envoie un challenge cryptographique. Votre clé physique signe ce challenge avec une clé privée stockée dans le hardware — une clé qui n’est jamais exportable ni accessible depuis l’extérieur du chip.

La propriété fondamentale : la clé vérifie le domaine du site avant de signer. Si vous êtes sur un faux site, même un proxy transparent, la clé refuse de signer (le domaine ne correspond pas). C’est impossible à contourner avec les attaques de phishing actuelles.

**Acteurs principaux :**

**YubiKey (Yubico) :** Le standard de l’industrie. Disponible en USB-A, USB-C, NFC. Modèles de 25€ (YubiKey 5 NFC) à 65€ (YubiKey 5C NFC). Compatible avec des milliers de services (Google, Microsoft, GitHub, AWS…) et les principaux gestionnaires de mots de passe.

**Google Titan Key :** L’alternative Google, disponible en USB-C et NFC. Prix similaire à YubiKey. Bon choix si vous êtes dans l’écosystème Google.

**Nitrokey / OnlyKey :** Solutions open source pour ceux qui veulent auditabilité du hardware également.

**Pour quels usages les clés physiques sont-elles indispensables ?**

– Accès à votre gestionnaire de mots de passe lui-même
– Comptes email principaux
– Accès administration système (AWS root, GCP, Azure)
– Comptes avec des actifs significatifs (crypto, comptes bancaires critiques)
– Accès VPN d’entreprise pour les DSI et CISO

## 2FA et gestionnaires de mots de passe : la configuration recommandée

Activez le 2FA sur votre gestionnaire de mots de passe avec la méthode la plus robuste disponible.

**NordPass :** Supporte TOTP (applications Authenticator) et backup codes. La clé physique FIDO2/WebAuthn est supportée dans les plans Business. Configuration : Paramètres → Sécurité → Authentification à deux facteurs.

**1Password :** Supporte TOTP et peut lui-même stocker et générer des codes TOTP (pratique pour les autres services). La Secret Key joue déjà un rôle similaire au 2FA (protection contre les coffres volés).

**Bitwarden :** Support TOTP, Duo, YubiKey, FIDO2/WebAuthn. La version gratuite permet seulement le 2FA par email. Le Premium (10$/an) débloque le TOTP et les clés physiques. Configuration : Account Settings → Two-step Login.

**Dashlane :** Supporte TOTP et backup codes. Les clés physiques FIDO2 sont disponibles dans les plans Business.

**Keeper :** Support TOTP, clés physiques FIDO2, Duo. Keeper Secrets Manager pour les intégrations avancées.

## Recommandations par profil d’utilisation

**Particulier standard :**
– 2FA TOTP (Authy) sur tous les comptes importants
– Priorité : email principal, gestionnaire de mots de passe, réseaux sociaux, banque (si SMS n’est pas l’unique option)

**Particulier ou professionnel sensible :**
– 1 clé physique YubiKey pour les accès les plus critiques
– TOTP pour les autres

**DSI/CISO/Admin système :**
– Clé physique FIDO2 obligatoire pour tous les accès d’administration
– Politique TOTP minimum pour tous les collaborateurs
– Audit régulier des méthodes 2FA utilisées

**Équipe en entreprise :**
Déployer un TOTP sur tous les comptes SaaS critiques. Pour les accès les plus sensibles (accès root, admin, financiers), imposer les clés physiques.

Informations sur les options 2FA dans NordPass : [nordpass.com](https://nordpass.com)
Informations 1Password : [1password.com](https://1password.com)
Informations Bitwarden : [bitwarden.com](https://bitwarden.com)

## FAQ — Authentification deux facteurs

Authentification deux facteurs guide complet : TOTP, SMS, clé physique — que choisir ?

Dashlane import mots de passe : guide complet pour migrer en 15 minutes

NordPass vs Dashlane : comparatif prix et fonctionnalités 2025

ProtonPass avis 2025 : la solution de confidentialité ultime ?

Gestionnaire de mots de passe iOS iPhone 2025 : guide pratique non-technique

La faille LastPass 2022 expliquée : que s’est-il passé ?

Bitwarden vs Dashlane : gratuit vs premium, qui gagne ?

Similar Posts