Qu'est-ce que l'authentification à deux facteurs (2FA) ? (2026)

Les mots de passe sont hameçonnés, fuités et réutilisés — c’est pourquoi un mot de passe seul ne suffit plus à protéger un compte. L’authentification à deux facteurs (2FA) corrige la principale faiblesse en exigeant une seconde preuve d’identité. Ce guide explique ce qu’est la 2FA, les méthodes de la plus faible à la plus forte, les limites honnêtes, et comment l’activer.

La définition courte

L’authentification à deux facteurs exige deux types de preuve différents pour se connecter : votre mot de passe, plus un second facteur qu’un voleur a peu de chances de posséder aussi. Même si quelqu’un vole ou devine votre mot de passe, il est bloqué à la seconde étape. On parle aussi de validation en deux étapes, et c’est la chose la plus efficace que la plupart des gens puissent faire pour sécuriser leurs comptes.

Les trois types de facteur

Les facteurs de sécurité se rangent en trois catégories, et la 2FA en combine deux :

• Quelque chose que vous savez — un mot de passe ou un code PIN.
• Quelque chose que vous avez — votre téléphone, une appli d’authentification, ou une clé de sécurité physique.
• Quelque chose que vous êtes — une donnée biométrique comme une empreinte ou la reconnaissance faciale.

Utiliser deux facteurs de types différents est ce qui rend le tout robuste. Deux mots de passe ne sont pas deux facteurs ; un mot de passe plus un code venu de votre téléphone, si.

Comment ça marche

Le déroulé est simple : vous saisissez votre mot de passe comme d’habitude, puis le service demande un second facteur — un code, une approbation dans une appli, ou une pression sur une clé de sécurité. Vous n’entrez que si les deux sont validés. Comme le second facteur est lié à un appareil que vous contrôlez physiquement, un attaquant qui n’a que votre mot de passe reste dehors.

Les méthodes, de la plus faible à la plus forte

Toutes les 2FA ne se valent pas :

• Codes par SMS — un code envoyé par texto. Mieux que rien, mais le plus faible : vulnérable au SIM-swap, où un criminel transfère votre numéro vers son appareil.
• Applis d’authentification (TOTP) — des applis qui génèrent hors ligne un code à 6 chiffres tournant. Bien plus sûres que le SMS et largement supportées.
• Approbations push — le service envoie une invite « c’était vous ? » à une appli. Pratique, mais attention à ne pas approuver aveuglément une invite que vous n’avez pas déclenchée (une vraie technique d’attaque).
• Clés de sécurité physiques — une clé physique (via FIDO2/WebAuthn) que vous touchez ou branchez. L’option la plus forte, résistante à l’hameçonnage car la clé vérifie le vrai site.
• Biométrie — empreinte ou visage, débloquant en général une clé stockée sur votre appareil.

Si un service le propose, préférez une appli d’authentification ou une clé physique au SMS.

Les limites honnêtes

La 2FA est puissante mais pas magique. Les codes SMS peuvent être interceptés via SIM-swap ; les invites push peuvent être détournées si vous les approuvez sans réfléchir ; et les codes de récupération (les codes de secours fournis par un service) doivent être stockés en lieu sûr, car ils contournent la 2FA par conception. Configurez une méthode de secours pour ne pas vous verrouiller dehors, et gardez ces codes de récupération en sécurité.

Un gestionnaire de mots de passe simplifie la 2FA

Beaucoup de gestionnaires de mots de passe peuvent stocker vos codes 2FA à côté de vos identifiants, en générant pour vous le code TOTP tournant — ainsi mots de passe forts et second facteur vivent dans un même espace chiffré.

À retenir honnêtement

L’authentification à deux facteurs est l’action de sécurité la plus rentable que beaucoup n’utilisent pas encore partout. Activez-la d’abord pour votre messagerie et vos comptes financiers — l’e-mail est la clé maîtresse qui réinitialise tout le reste — et préférez une appli d’authentification ou une clé physique au SMS. Gardez les codes de secours en sécurité, et un mot de passe fuité cesse d’être un compte volé.