TOTP, 2FA, MFA — qu'est-ce que c'est
et comment activer la double authentification?

Un mot de passe seul, même fort, peut être volé sans que vous le sachiez : fuite massive sur un site piraté, message d'hameçonnage qui imite votre service bancaire, frappe capturée par un logiciel malveillant. La double authentification ajoute une deuxième couche : même si quelqu'un connaît votre mot de passe, il lui manque encore quelque chose que vous seul avez — typiquement votre téléphone qui génère un code temporaire. Ce module explique les trois acronymes courants et donne la marche à suivre pour activer la protection sur les comptes qui comptent vraiment.

Les trois acronymes définis simplement

Voici les définitions que vous croiserez en activant la fonction sur un site ou dans une application :

• 2FA — double authentification (en anglais two-factor authentication). Vous fournissez deux preuves différentes pour vous connecter : ce que vous savez (le mot de passe) + ce que vous avez (un code reçu sur le téléphone, ou une clé matérielle). Exemple du quotidien : le code par SMS envoyé par la banque après le mot de passe.
• MFA — authentification multi-facteurs (en anglais multi-factor authentication). Pareil que la 2FA, mais le nombre de preuves peut être supérieur à deux. C'est le terme générique. En pratique, 2FA et MFA désignent souvent la même chose dans la communication grand public.
• TOTP — code temporaire à durée limitée (en anglais Time-based One-Time Password). C'est une méthode de double authentification : une application installée sur votre téléphone affiche un code à six chiffres qui change toutes les 30 secondes. Vous l'entrez après votre mot de passe pour valider la connexion.

En résumé : 2FA et MFA = principe (avoir plusieurs preuves), TOTP = une méthode concrète parmi plusieurs pour fournir la deuxième preuve.

Pourquoi le code par SMS perd du terrain en 2026

Le SMS reste mieux que rien, mais il a deux faiblesses connues que les méthodes plus modernes corrigent :

• Un attaquant peut convaincre votre opérateur de transférer votre numéro vers une nouvelle carte SIM (technique appelée SIM-swap) et recevoir vos codes à votre place.
• Les messages SMS transitent par des protocoles téléphoniques anciens et peuvent être interceptés dans certains contextes.

Le US National Institute of Standards and Technology (NIST) — l'organisme américain qui publie les meilleures pratiques de sécurité informatique pour les gouvernements — a formalisé en 2025 sa préférence pour les méthodes résistantes à l'hameçonnage (TOTP via application, clés matérielles). En 2026, le SMS reste fonctionnel mais n'est plus la méthode recommandée pour les comptes critiques. Si un service propose TOTP ou clé matérielle en plus du SMS, choisissez-les.

Quelle application installer pour les codes TOTP?

Plusieurs options gratuites font le travail. Si vous avez déjà installé KeePassXC au module précédent comme gestionnaire de mots de passe, il peut aussi générer vos codes TOTP — vous évitez d'installer une application supplémentaire. Sinon, une application dédiée sur le téléphone reste l'approche la plus courante.

Si vous préférez une application téléphone dédiée, voici les options recommandées :

• Ente Auth — recommandation principale en application téléphone. Logiciel libre et open source, disponible sur iOS, Android, ordinateur (incluant Linux) et web. Sauvegarde chiffrée de bout en bout (Ente ne peut pas lire vos codes), export libre de vos secrets si vous décidez de changer d'application. Site officiel : ente.io/auth.
• Aegis Authenticator — Android uniquement, logiciel libre également, sauvegarde chiffrée optionnelle. Bonne alternative si vous êtes exclusivement sur Android.
• 2FAS — iOS et Android, logiciel libre, sauvegarde sur votre propre cloud (iCloud ou Google Drive), extension navigateur disponible.
• Google Authenticator — solution populaire, gratuit, synchronisation via le compte Google. Simple, fonctionnel, lié à l'écosystème Google.
• Microsoft Authenticator — solution populaire, gratuit, synchronisation via le compte Microsoft. Intéressant si votre poste utilise déjà Microsoft 365.

Le critère principal pour choisir : la portabilité de vos secrets. Si votre téléphone est perdu, volé ou remplacé, pourrez-vous récupérer vos codes ailleurs? KeePassXC, Ente Auth et 2FAS le permettent par export ou sauvegarde chiffrée. Google et Microsoft Authenticator vous attachent à leur écosystème.

Activer la double authentification sur trois comptes critiques

Reprenez votre fiche cartographie du module 1 et identifiez vos trois comptes les plus importants. Typiquement :

• Le courriel principal — c'est la porte d'entrée vers le reste (réinitialisations de mots de passe, accès aux services connectés). À sécuriser en priorité.
• La banque ou les services financiers.
• Un compte professionnel critique — plateforme employeur, outil métier principal, accès distant.

Pour chacun, la procédure suit la même logique :

• Connectez-vous au compte et cherchez la section « Sécurité », « Authentification » ou « Paramètres de connexion ».
• Activez l'option « Double authentification » et choisissez la méthode « Application d'authentification » (par opposition au SMS, quand l'option existe).
• Le site affiche un QR code (code-barres en damier). Ouvrez votre application TOTP, choisissez « Ajouter un compte » et scannez le QR code.
• L'application affiche un code à six chiffres pour ce service. Entrez-le sur le site pour confirmer le couplage.
• Le site propose ensuite des codes de récupération — généralement huit à dix codes à usage unique. Sauvegardez-les dans votre gestionnaire de mots de passe (module 3) ou imprimez-les et rangez-les dans un endroit sûr.

Comptez 5 à 10 minutes par compte. Faites-le un compte à la fois, en testant la reconnexion avant de fermer la session pour vérifier que tout fonctionne.

Les clés matérielles — quand y penser?

Une clé matérielle est un petit appareil physique (forme d'une clé USB ou d'un porte-clé) qui se connecte à l'ordinateur par USB ou au téléphone par contact NFC. Au lieu d'entrer un code, vous appuyez sur la clé pour valider la connexion. Deux avantages majeurs : impossible à voler à distance (l'attaquant doit avoir la clé en main) et résistant aux pages d'hameçonnage qui imitent un vrai site.

Deux modèles courants en 2026 :

• YubiKey 5 NFC ou 5C NFC — fabricant Yubico, environ 80 à 90 $ canadiens selon le revendeur. Standard d'industrie, supporté par presque tous les services modernes.
• Token2 — fabricant suisse, alternative économique (environ 20 $ américains), USB-C et NFC, supporte également les codes TOTP en plus de la clé matérielle.

Recommandation : si votre courriel professionnel est vraiment critique (accès à des données sensibles, fonction d'administration), une clé matérielle ajoute une couche de protection que le code TOTP n'offre pas. Pour la majorité des comptes employés toutefois, le TOTP par application est suffisant. Parlez-en à votre dirigeant si vous pensez en avoir besoin.

Pièges à éviter

En résumé

2FA et MFA désignent le principe d'avoir plusieurs preuves d'identité pour se connecter. TOTP est l'une des méthodes concrètes pour fournir cette deuxième preuve — un code temporaire généré par une application sur le téléphone. Ente Auth est une bonne option par défaut, gratuite, libre, exportable. Activer la double authentification sur trois comptes critiques (courriel principal, banque, compte pro important) prend une demi-heure et représente la mesure de sécurité avec le meilleur rapport effort / protection après le gestionnaire de mots de passe.