Compare toutes les méthodes de protection de connexion. Découvre comment fonctionnent les applications d'authentification, les clés physiques et les Passkeys, et laquelle choisir.
Soyons honnêtes. Ton mot de passe est probablement nul.
C’est peut-être le nom de ton chien suivi de ton année de naissance. Tu réutilises peut-être le même depuis 2014. Ou alors t’as un “système” où tu ajoutes un chiffre à la fin. Password1, Password2, Password3… malin, non ?
Mais même un bon mot de passe ne suffit plus. Le credential stuffing récupère les mots de passe qui ont fuité lors d’une brèche et les teste partout ailleurs. Le phishing te piège pour que tu tapes ton mot de passe sur une fausse page. Les fuites de données continuent d’exposer des milliards de comptes - tu peux vérifier si le tien a fuité dès maintenant.
Un mot de passe seul, c’est un mur fissuré. Il te faut une deuxième couche de protection. Alors comparons toutes les options et voyons lesquelles valent vraiment le coup.
Tu te connectes, ton téléphone vibre, tu tapes un code à six chiffres. C’est la forme de 2FA la plus répandue, mais aussi la plus faible.
Les codes SMS passent par le réseau de ton opérateur, qui peut être détourné via un SIM swapping ou des failles SS7. Les codes par email ne sont pas vraiment mieux - si quelqu’un a accès à ta boîte mail, ces codes sont à lui.
On a écrit un article complet sur les faiblesses du 2FA par SMS si tu veux creuser le sujet.
Verdict : Mieux que rien, mais c’est ton dernier recours. Change dès qu’une meilleure option est disponible.
C’est là que ça devient intéressant. Au lieu de recevoir un code par SMS, une appli le génère directement sur ton appareil. Aucun réseau impliqué.
Quand tu configures le tout, ton appli et le service échangent un secret partagé. Imagine une poignée de main secrète qui change toutes les 30 secondes. Ton appli génère un code à partir de ce secret et de l’heure actuelle, le serveur fait le même calcul, et si ça correspond, t’es connecté. C’est le TOTP (Time-based One-Time Password).
Les plus : Fonctionne hors ligne, gratuit, supporté presque partout, et ton opérateur ne peut pas se faire piéger pour donner tes codes.
Les moins : Toujours vulnérable au phishing si un attaquant transmet ton code au vrai site en temps réel. Et si tu perds ton téléphone sans sauvegarde, t’es bloqué.
Conseil important : Garde ton appli 2FA séparée de ton gestionnaire de mots de passe. Si quelqu’un compromet ton gestionnaire et qu’il contient aussi tes codes TOTP, il récupère tout d’un coup. Deux applis distinctes signifient qu’un attaquant devrait pirater les deux.
Choisis une appli open-source, qui supporte les sauvegardes chiffrées et qui ne demande pas de compte cloud.
Au lieu de taper un code, tu reçois une notification : “Quelqu’un essaie de se connecter. C’était toi ?” Tu appuies sur approuver. Terminé.
Le service envoie un challenge à ton appareil enregistré, tu confirmes d’un tap (parfois avec la biométrie), et une réponse signée est renvoyée. Pas de code à taper, pas de chiffres à relire.
Les plus : Super simple, plus difficile à phisher que le TOTP puisqu’il n’y a pas de code à intercepter.
Les moins : Il faut une connexion internet des deux côtés. T’es dépendant du fournisseur du service. Et il y a une technique vicieuse appelée MFA fatigue - un attaquant qui a ton mot de passe te spamme de notifications push à 3h du matin jusqu’à ce que tu appuies sur “Approuver” à moitié endormi, juste pour que ça arrête.
Si tu reçois des notifications push que tu n’as pas déclenchées, refuse-les toujours et change ton mot de passe immédiatement.
Un petit appareil physique USB ou NFC que tu branches ou approches quand tu te connectes. Si les applis d’authentification sont un bon verrou, les clés physiques sont une porte de coffre-fort.
La clé génère une paire de clés unique : une clé privée (enfermée dans l’appareil pour toujours) et une clé publique (partagée avec le service). Quand tu te connectes, le service envoie un challenge, la clé le signe, et le service vérifie. Simple.
La fonctionnalité qui fait toute la différence, c’est l’origin binding. La clé vérifie le vrai domaine du site avant de signer quoi que ce soit. Sur google.com ? Elle répond. Sur g00gle-login.com ? Elle refuse. Automatiquement. La page de phishing la plus convaincante du monde ne marchera pas, parce que la clé refuse catégoriquement de coopérer avec un faux site.
Les plus : La meilleure protection contre le phishing qui existe. La clé privée ne peut jamais être extraite. Fonctionne hors ligne. Rien à taper. Pas de batterie à recharger.
Les moins : Ça coûte de l’argent, il faut la porter sur toi, et perdre ta seule clé sans codes de secours, c’est un cauchemar.
Conseil pratique : Achète toujours deux clés. Enregistre-les toutes les deux partout. Une sur ton trousseau, une en sécurité chez toi. Cherche la certification FIDO2 et le support USB-C/NFC.
Tu as peur que quelqu’un te vole ta clé ? Pas de stress. Il lui faudrait quand même ton mot de passe, et la plupart des clés supportent aussi la protection par PIN.
La même crypto que les clés physiques, mais la clé vit sur ton téléphone, ton ordinateur ou ton gestionnaire de mots de passe au lieu d’un appareil séparé. C’est la solution qui rend enfin la sécurité forte sans effort.
Ton appareil génère une paire de clés, stocke la clé privée dans son enclave sécurisée, et quand tu te connectes, tu vérifies avec la biométrie (empreinte digitale, visage) ou un PIN. Pas de mot de passe à retenir, pas de code à taper, pas d’appareil à brancher. Et comme les clés physiques, le domaine est vérifié automatiquement - le phishing est bloqué.
Les plus : Résistant au phishing, rien à retenir, intégré à tous les principaux OS et navigateurs, synchronisable entre appareils, remplace le mot de passe ET le 2FA en une seule étape.
Les moins : Tous les sites ne les supportent pas encore. La synchronisation entre plateformes peut être déroutante si tu changes d’écosystème. Et si c’est synchronisé via un compte cloud, tu fais confiance à ce fournisseur.
Il existe deux variantes : les synced passkeys sont sauvegardées dans le cloud et apparaissent sur tous tes appareils (pratique, mais tu fais confiance au cloud), et les device-bound passkeys restent uniquement sur un seul appareil (plus sécurisé, mais si tu le perds, c’est fini). Les Hardware Security Keys sont en fait des device-bound passkeys sous forme physique.
Pour la plupart des gens, des synced passkeys dans un gestionnaire de mots de passe fiable, c’est le meilleur compromis.
| Critère | SMS/Email | Applis auth. | Push | Hardware Keys | Passkeys |
|---|---|---|---|---|---|
| Protection phishing | Aucune | Aucune (relais temps réel) | Partielle | Forte | Forte |
| Fonctionne hors ligne | Non | Oui | Non | Oui | Oui |
| Facilité de configuration | Très facile | Facile | Facile | Moyenne | Facile |
| Facilité au quotidien | Facile | Facile | Très facile | Facile (brancher+tap) | Très facile (biométrie) |
| Récupération en cas de perte | Facile | Difficile sans sauvegarde | Moyenne | Clé de secours nécessaire | Dépend de la synchro |
| Coût | Gratuit | Gratuit | Gratuit | Achat unique | Gratuit |
| Support par les sites | Universel | Très large | Limité | En croissance | En forte croissance |
Tu remarques que les Passkeys trouvent le meilleur équilibre : sécurité forte avec une utilisation quotidienne ultra simple. C’est pour ça que toute l’industrie pousse dans cette direction.
Comptes critiques (email, gestionnaire de mots de passe, banque) : Hardware Security Keys ou Passkeys. Idéalement les deux - Passkey pour l’usage quotidien, clé physique en secours.
Comptes importants (réseaux sociaux, stockage cloud, travail) : Passkeys si c’est supporté, sinon TOTP avec une appli d’authentification. Sauvegarde toujours les codes de secours.
Tout le reste (forums, newsletters) : appli d’authentification si disponible, SMS uniquement s’il n’y a rien d’autre. N’importe quel deuxième facteur vaut mieux qu’un simple mot de passe.
Règles générales : Utilise les Passkeys en priorité dès que c’est disponible. Configure toujours une méthode de secours. Abandonne le SMS en commençant par tes comptes les plus importants.
Voici ton plan d’action :
Si tu comptes encore sur les codes SMS, c’est le moment de passer à autre chose.
Commence par tes comptes les plus importants, améliore-les un par un, et tu auras une configuration vraiment difficile à percer. Ton futur toi te remerciera.