Même si on a mis toutes les chances de notre côté (📅Jour 3), un mot de passe peut fuiter, être deviné ou volé. La double authentification ajoute un “deuxième verrou” : même si quelqu’un connaît votre mot de passe, il lui manque un second facteur pour entrer. Aujourd’hui, vous allez activer la 2FA sur vos comptes clés (email, banque, réseaux) et choisir la méthode la plus adaptée et surtout la moins « rugueuse » et pénible pour vous.
Promis, c’est fastoche et presque amusant. Ces petits mots de passe éphémères façon tirage Euromillion, j’adore, et les pirates ne gagnent jamais le gros lot 🥳 !
En 30 minutes, vous activerez aujourd’hui la double authentification sur 3 à 5 comptes de priorité “P1” de votre inventaire (reprenez votre carnet !).
Comprendre en 60 secondes (sans jargon)
L’authentification multifactorielle (2FA/MFA), c’est combiner plusieurs méthodes d’authentification appartenant à des catégories différentes : connaissance d’un mot de passe, saisie d’un mot de passe « tournant » toutes les 30 secondes ou encore preuve que vous avez dans vos mains un appareil réputé vous appartenir. Si plusieurs preuves ne sont pas apportées, la connexion est refusée. Simple, efficace, cela évite la plupart des attaques « bêtes » !
En pratique, ça se présente souvent sous la forme “mot de passe + code”. Ce code peut arriver par SMS/e-mail ou être généré par une application (TOTP), ou via une clé physique.
A titre perso, je suis convaincu que le SMS/Email n’est pas du tout la solution à privilégier. Un numéro de téléphone est facilement usurpable dans des attaques complexes et l’envoi par mail ne sert à rien si votre mail a justement été piraté.
Sans parler de clé physique (usages professionnel ou utilisateurs très spécifiques, profils sensibles), je vous conseille de privilégier « une application TOTP » sur votre smartphone ou tablette. Le SMS/mail est donc à éviter. C’est peut être mieux que rien mais ce n’est pas la panacée.
Et voilà comment empêcher qu’un accès soit accordé uniquement sur identifiant + mot de passe.
Activer la double authentification (2FA) au bon endroit
Choisissez vos 3–5 comptes à protéger en premier (5 min)
Prenez votre inventaire (Jour 1 ou 2) et sélectionnez :
- Votre email principal (priorité absolue ❗).
- Site de banque/paiement, pensez à Paypal !
- Votre réseau social principal (ou messagerie utilisée pour le quotidien).
Activez la double authentification (2FA) dans les paramètres de sécurité (15–30 min)
Sur chaque service :
Ouvrez les Paramètres. C’est souvent dans le menu Sécurité et Authentification à deux facteurs / Validation en 2 étapes / MFA (les noms varient).
Configurez le 2FA avec si possible l’option la plus sécurisée et simple d’utilisation : une application d’authentification sur votre téléphone/tablette. Elle génère des codes temporaires (30 secondes).
💡Je vous conseille Aegis (Android), Raivo (iOS), Ente Auth (multi-plateforme) pour leur côté open-source et respect des données personnelles.
🫤Je recommande un peu moins Authy (multi-plateforme), Google Authentificator (vous devinez chez qui !) et Microsoft authentificator (pareil), ProtonPass (tous les œufs dans le même panier). Si vous les avez, tentez de migrer ou gardez les, après tout c’est votre choix et l’objectif de double authentification est quand même rempli, c’est l’essentiel !
Je vous conseille si possible d’installer l’app TOTP de votre choix sur votre smartphone et votre tablette si vous en avez une. En cas de perte, vous aurez encore accès à l’app générant les codes TOTP. Et si possible, exportez de temps en temps le fichier (chiffré 🔐!) de l’app TOTP pour le sauvegarder localement sur un support non connecté au web (parano ++ 😂).
- Faites vraiment gaffe : des codes de « récupération » vont vous être donnés sur chaque service, au cas où vous perdiez l’accès à l’app de double authentification. Enregistrer les dans votre gestionnaire de mots de passe, dans la « fiche » du site correspondant. Parfois, un second appareil de secours peut être ajouté. Faites le. Le but est de ne pas être coincé si vous perdez votre téléphone.
- Testez ensuite une déconnexion puis reconnexion : le service doit vous demander maintenant un second mode d’authentification.
Agissez !
- 😉Facile : activez la 2FA sur l’email principal + 1 autre compte critique.
- 🧐Intermédiaire : activez-la sur 5 comptes (email, banque, 1 réseau social, 1 messagerie, 1 service d’achats).
- 😰Avancé : Activez la 2FA partout où cela est possible sur vos comptes de priorité 1 et 2 et par le biais d’une application 2FA quand cela est possible.
Les pièges
❌Activer la 2FA puis oublier les codes de secours. 😱
✅Sauvegardez les codes de récupération, sinon vous risquez de perdre l’accès à votre compte ! Privilégiez une app multiplateforme, par exemple qui peut s’installer sur PC et ordinateur, pas uniquement sur son téléphone (car en cas de vol c’est la galère, même avec le code de secours).
❌Protéger votre email avec un code… envoyé sur ce même email.
✅Utiliser une appli d’authentification ou une autre méthode de possession si disponible.
❌Croire que la 2FA “remplace” un bon mot de passe.
✅Il faut considérer la 2FA comme un deuxième verrou qui vient en plus (mot de passe unique + 2FA). Cela ne doit pas vous dispenser d’un mot de passe robuste et unique comme vu en 📅Jour 3.
On a bien bossé !
- J’ai activé la double authentification (2FA) sur l’email principal (pas par un envoi sur ce même mail hein ? 😤).
- J’ai activé la 2FA sur au moins 2 autres comptes vitaux (banque, réseau social, etc.).
- J’ai choisi une méthode costaud quand disponible (par clé physique ou à minima par une appli TOTP)
- J’ai sauvegardé les codes de récupération et installé l’appli TOTP sur deux appareils si possible (tablette et téléphone).
Au programme du Jour 5
Demain (📅Jour 5), on s’attaque à votre email : le sécuriser (on a déjà bien commencé) et le compartimenter (2 ou 3 adresses) pour limiter les dégâts en cas de fuite et reprendre la main sur vos données perso.
