L'authentification à deux facteurs, souvent appelée 2FA, est une fonctionnalité de sécurité qui nécessite un deuxième élément de preuve au-delà de votre mot de passe pour vous connecter à un compte. Le premier facteur est quelque chose que vous connaissez : votre mot de passe. Le deuxième facteur est quelque chose que vous possédez – généralement votre téléphone, qui reçoit un code temporaire que vous devez également saisir pour terminer la connexion. Même si un pirate informatique a volé votre mot de passe via une violation de données ou une attaque de phishing, il ne peut pas accéder à votre compte sans également avoir votre téléphone, qui est beaucoup plus difficile à voler.
L’amélioration de la sécurité est spectaculaire. Microsoft a publié une étude montrant que l'activation de l'authentification à deux facteurs bloque 99,9 % des tentatives automatisées de piratage de compte. Google a publié des chiffres similaires. La raison est simple : la grande majorité des attaques en ligne reposent sur le vol ou la devination de mots de passe, et un mot de passe volé est inutile pour un attaquant s'il ne peut pas également obtenir le deuxième facteur. L'authentification à deux facteurs élimine essentiellement la forme la plus courante de compromission de compte.
Et pourtant, malgré la simplicité et l’énorme avantage, moins de 10 % des adultes américains de plus de 60 ans disposent de l’authentification à deux facteurs activée sur leurs comptes les plus importants. La raison est en partie parce que le terme « authentification à deux facteurs » semble technique et intimidant, et en partie parce que le processus de configuration semble mystérieux avant que vous ne l'ayez fait. La réalité est que l’activer prend environ cinq minutes par compte, et l’expérience quotidienne qui suit ajoute environ trois secondes à une connexion. Le coût est insignifiant. Le bénéfice est énorme.
Voici à quoi ressemble réellement l’expérience d’utilisation de 2FA, au quotidien.
Vous allez sur le site Web de votre banque et cliquez sur « Connexion ». Vous entrez votre nom d'utilisateur et votre mot de passe comme d'habitude. Au lieu de vous diriger immédiatement vers votre compte, le site Web affiche désormais une petite boîte demandant un « code de vérification ». Votre téléphone vibre avec un message texte contenant un code à six chiffres (ou votre application d'authentification affiche un code à six chiffres qui change toutes les 30 secondes). Vous tapez les six chiffres dans la case et vous êtes connecté. Temps total ajouté : environ trois secondes.
Si un pirate informatique a volé votre mot de passe et tente de se connecter depuis un autre pays, il arrivera au même point que vous, mais il n'aura pas votre téléphone. Le code de vérification sera envoyé à votre numéro, pas au leur. La connexion échouera. Le pirate informatique se déplacera vers des cibles plus faciles. Votre compte est en sécurité.
Les « trois secondes supplémentaires » représentent le coût total de l’expérience utilisateur de l’authentification à deux facteurs, et elles sont largement récompensées par la protection qu’elle offre. La plupart des gens qui l'allument disent au bout d'une semaine qu'ils le remarquent à peine, et au bout d'un mois, cela semble tout à fait naturel.
Lorsque vous activez 2FA, la plupart des sites Web vous offrent le choix entre deux méthodes pour recevoir le deuxième facteur : des codes de message texte (SMS) ou une application d'authentification. Les deux fonctionnent, et les deux sont nettement meilleurs que l’absence de 2FA du tout, mais les applications d’authentification sont plus sécurisées.
Les codes de message texte sont l’option la plus simple. Le site Web envoie un code à six chiffres à votre téléphone par SMS et vous le saisissez sur le site Web. L’avantage est qu’il ne nécessite aucune configuration autre que la confirmation de votre numéro de téléphone. L'inconvénient est que les messages texte peuvent théoriquement être interceptés par des attaquants sophistiqués en utilisant une technique appelée échange de carte SIM, dans laquelle l'attaquant convainc votre opérateur téléphonique de transférer votre numéro de téléphone sur une carte SIM qu'il contrôle. L'échange de cartes SIM est rare pour les cibles ordinaires, mais cela arrive, et il a été utilisé pour voler des cryptomonnaies et accéder à des comptes importants.
Les applications d'authentification sont plus sécurisées. Au lieu de recevoir un code par SMS, vous disposez d'une application sur votre téléphone (Google Authenticator, Microsoft Authenticator, Authy ou l'authentificateur intégré de 1Password) qui génère un nouveau code à six chiffres toutes les 30 secondes. L'application ne nécessite aucun signal ni message texte : elle génère le code localement sur votre téléphone à l'aide d'un algorithme cryptographique. L'échange de carte SIM ne l'affecte pas. L'inconvénient est que la configuration initiale est légèrement plus compliquée (vous scannez un code QR avec l'application) et vous devez installer l'application sur votre téléphone.
Pour la plupart des personnes âgées, la recommandation pratique est la suivante : utilisez les codes SMS pour tout, car ils sont simples et nettement mieux que rien. Pour vos comptes les plus sensibles (e-mail, banque, comptes de retraite, gestionnaire de mots de passe), passez à une application d'authentification pour une sécurité supplémentaire. Quoi qu’il en soit, n’ignorez pas complètement le 2FA simplement parce que vous ne pouvez pas choisir entre les deux méthodes.
Si vous n’activez 2FA que sur cinq comptes, ce sont les cinq qui comptent le plus.
E-mail. Votre compte de messagerie est la clé du royaume : si un pirate informatique a accès à votre messagerie, il peut demander la réinitialisation du mot de passe de tous les autres comptes que vous possédez, et la plupart de ces réinitialisations seront envoyées à votre messagerie. Activez d'abord 2FA sur votre compte de messagerie. Pour Gmail, accédez aux paramètres de votre compte Google et recherchez la section Sécurité ; pour Outlook, accédez aux paramètres de votre compte Microsoft ; pour Yahoo, accédez à Sécurité du compte. Chaque prestataire a des instructions claires.
Compte bancaire. Le site Web de votre banque prend presque certainement en charge 2FA. Accédez à la section sécurité ou paramètres et activez-la. La banque peut vous demander de confirmer d'abord votre numéro de téléphone. Une fois activé, vous devrez saisir un code à chaque fois que vous vous connecterez (ou à chaque fois que vous vous connecterez depuis un nouvel appareil, selon la banque).
Comptes de courtage et de retraite. Vanguard, Fidelity, Schwab et d'autres maisons de courtage prennent toutes en charge 2FA, et votre épargne-retraite mérite au moins la même protection que votre compte courant. Activez-le.
Compte en ligne de la Sécurité Sociale. Le portail en ligne de l'Administration de la sécurité sociale (mySocialSecurity sur ssa.gov) prend en charge 2FA, et étant donné la quantité d'informations sensibles qui y résident, il devrait s'agir de l'un de vos comptes protégés.
Gestionnaire de mots de passe. Si vous avez suivi les conseils de l'article sur le gestionnaire de mots de passe et configuré Bitwarden ou 1Password, activez 2FA sur le gestionnaire de mots de passe lui-même. Il s’agit du compte le plus important de votre vie numérique – il contient tous les autres – et il mérite la protection la plus solide possible.
Après ces cinq comptes, vous pouvez progressivement activer 2FA sur d’autres comptes au fur et à mesure que vous vous y connectez. La plupart des principaux services le prennent désormais en charge : Amazon, Facebook, Apple ID, Microsoft, PayPal, Venmo et bien d'autres. Plus vous l’activez sur de comptes, plus votre risque global diminue.
Les étapes exactes varient selon le site Web, mais le processus général est similaire partout. Voici à quoi cela ressemble pour un compte bancaire typique.
Première étape : connectez-vous au compte en utilisant votre mot de passe existant. Accédez aux paramètres du compte ou à la section profil. Recherchez une catégorie intitulée « Sécurité », « Sécurité de connexion », « Vérification en deux étapes » ou « Authentification à deux facteurs ».
Deuxième étape : cliquez pour activer l’authentification à deux facteurs. Le site Web vous demandera probablement de confirmer votre mot de passe avant d'effectuer la modification.
Troisième étape : choisissez votre méthode. Si vous choisissez les SMS, entrez votre numéro de téléphone et le site Web vous enverra un code de test pour le confirmer. Tapez le code sur le site Web. La configuration est terminée.
Quatrième étape : si vous choisissez une application d'authentification, le site Web affichera un code QR sur votre écran. Ouvrez votre application d'authentification, appuyez sur l'option permettant d'ajouter un nouveau compte et scannez le code QR avec l'appareil photo de votre téléphone. L'application ajoutera le compte et commencera à générer des codes à six chiffres pour celui-ci. Entrez le code actuel à six chiffres sur le site Web pour confirmer la configuration.
Cinquième étape : enregistrez les codes de récupération. La plupart des services vous offrent un ensemble de codes de secours à usage unique que vous pouvez utiliser si jamais vous perdez l'accès à votre téléphone. Celles-ci sont essentielles : notez-les et conservez-les dans un endroit sûr (pas sur votre téléphone). Si vous perdez votre téléphone et ne disposez pas de codes de secours, vous risquez d'être définitivement exclu du compte.
Sixième étape : testez-le en vous déconnectant et en vous reconnectant. Confirmez que le nouveau flux de connexion fonctionne comme prévu. Vous disposez désormais d’un compte avec 2FA activé, et il est considérablement plus difficile à pirater.
L’inquiétude la plus courante concernant la 2FA concerne ce qui se passe si vous perdez votre téléphone. La peur est réelle mais les solutions sont bien développées, et la perte de votre téléphone ne doit pas nécessairement vous empêcher d'accéder définitivement à vos comptes.
Première solution : codes de sauvegarde. Lorsque vous configurez 2FA, la plupart des services vous fournissent un ensemble de codes de secours à usage unique, généralement 8 à 10 codes que vous pouvez utiliser pour vous connecter si vous n'avez pas de téléphone. Notez-les, conservez-les dans un endroit sûr (pas dans votre portefeuille, ni sur votre ordinateur, ni dans votre téléphone) et utilisez-en un si jamais vous devez vous connecter sans votre téléphone. Chaque code ne peut être utilisé qu'une seule fois.
Solution 2 : récupération de compte. La plupart des principaux services disposent de processus de récupération de compte pour les utilisateurs qui ont perdu leur deuxième facteur. Le processus implique généralement de répondre à des questions de sécurité, de vérifier des informations personnelles ou d'envoyer un code de vérification à un e-mail ou un numéro de téléphone de secours. Le processus peut prendre un jour ou deux, ce qui est frustrant mais pas catastrophique.
Solution 3 : applications d'authentification synchronisées avec le cloud. Certaines applications d'authentification (Authy en particulier, ou Microsoft Authenticator avec sauvegarde cloud activée) synchronisent vos codes avec le cloud et peuvent être restaurés sur un nouveau téléphone. Si vous configurez cela correctement lors de la première installation de l'application, la récupération d'un téléphone perdu est beaucoup plus facile : vous installez l'application sur le nouveau téléphone, vous vous connectez et vos codes sont automatiquement restaurés.
Solution 4 : conserver un vieux téléphone. Certains utilisateurs 2FA conservent leur ancien téléphone dans un tiroir à la maison comme sauvegarde, avec l'application d'authentification toujours installée. S'ils perdent leur téléphone principal, ils peuvent utiliser l'ancien téléphone pour générer des codes jusqu'à ce qu'ils obtiennent un remplacement. Ce n’est pas nécessaire pour la plupart des gens, mais c’est une bonne police d’assurance si vous craignez de perdre l’accès.
Quelle que soit l’approche que vous adoptez, planifiez le scénario de perte de téléphone avant de configurer 2FA, pas après. Les cinq minutes que vous passez à écrire des codes de sauvegarde lorsque vous activez 2FA sont votre assurance contre un problème beaucoup plus frustrant plus tard.
L'authentification à deux facteurs constitue l'amélioration de sécurité la plus puissante et la plus accessible disponible pour tout utilisateur ordinaire en 2026. La configuration prend environ 30 minutes pour vos cinq comptes les plus importants. Le coût quotidien est d'environ trois secondes par connexion. L'avantage est une réduction de 99,9 % de votre risque d'être piraté, même si un mot de passe est volé.
Il n’y a essentiellement aucune bonne raison de ne pas le faire. La technologie est mature, l’expérience utilisateur est raffinée et la protection qu’elle offre est spectaculaire. Si vous vous inquiétez des escroqueries, des piratages, du vol d’identité ou de tout autre risque numérique auquel les personnes âgées sont confrontées, l’authentification à deux facteurs est la défense la plus efficace à votre disposition.
Réservez 30 minutes cette semaine. Commencez par votre compte de messagerie, qui est le plus important. Puis votre banque, puis votre maison de courtage, puis votre compte de Sécurité Sociale, puis votre gestionnaire de mots de passe. Au bout de 30 minutes, vous aurez transformé la sécurité de votre vie numérique et vous dormirez mieux en sachant que même si un mot de passe est volé quelque part, vos comptes sont toujours protégés. Il n'y a pas d'autre heure que vous puissiez consacrer à la technologie cette année qui rapportera autant en termes de sécurité, de tranquillité d'esprit et de protection contre la catastrophe lente que représente la compromission de vos comptes. Faites-le cette semaine.