hygiene numerique

Activer la double authentification partout : le guide express

Comptes Google, Meta, X, banques : activer la 2FA en 10 minutes. App d'auth recommandée incluse.

Par Étienne Aubry · · 9 min de lecture
Illustration : activation de la double authentification 2FA sur tous les comptes

Activer la double authentification partout : le guide express

La double authentification (2FA) est, mathématiquement, la mesure de sécurité la plus rentable que vous puissiez prendre cette année. Sur les comptes critiques, elle réduit le risque de piratage de plus de 99 % selon les études internes Google publiées en 2024. Et son activation prend en moyenne 90 secondes par compte.

Cet article vous donne le parcours exact, compte par compte, pour activer la 2FA sur les services les plus utilisés en France. Plus une recommandation sur l’application authentificatrice à choisir, et le débat « SMS vs app vs clé physique » réglé une fois pour toutes.

Quel type de 2FA choisir

Trois familles, par ordre croissant de robustesse :

SMS (à éviter sauf si rien d’autre n’est possible)

Un code à 6 chiffres reçu par SMS sur votre téléphone à chaque connexion. C’est mieux que rien, mais vulnérable au SIM swap : la fraude consistant à transférer frauduleusement votre numéro vers une carte SIM contrôlée par l’attaquant. En 2025, ce type de fraude a explosé de +517 % en France selon Cybermalveillance.gouv.fr.

Utilisez la 2FA SMS uniquement si l’application n’a pas d’autre option. C’est le cas de quelques banques françaises qui n’ont pas encore migré.

Application authentificatrice (recommandé pour 95 % des cas)

Une application sur votre smartphone qui génère, toutes les 30 secondes, un code à 6 chiffres unique pour chaque compte. Vous tapez ce code à la connexion. Gratuit, robuste, ne dépend pas de votre opérateur télécom.

Trois bonnes options :

  • Microsoft Authenticator — gratuit, multi-comptes, sauvegarde cloud chiffrée (utile si vous changez de téléphone).
  • Google Authenticator — gratuit, simple, sauvegarde cloud disponible depuis 2023.
  • Bitwarden Authenticator — gratuit, intégré à votre gestionnaire de mots de passe si vous utilisez Bitwarden.

Évitez Authy : la version desktop a été supprimée en 2024, et le service est moins fiable depuis le rachat par Twilio.

Clé de sécurité physique (pour cibles exposées)

Un petit dongle USB ou NFC que vous branchez ou approchez du téléphone à la connexion. C’est le niveau ultime de protection, recommandé si vous gérez du patrimoine numérique significatif (entrepreneur, profession libérale, journaliste, élu).

Deux marques fiables : YubiKey (Yubico, marque historique) et Titan Security Key (Google). Compter 25 à 50 € par clé. Achetez-en toujours deux : une principale d’usage quotidien, une de secours rangée chez vous. Si vous perdez votre seule clé, certains comptes (Google Protection Avancée notamment) deviennent irrécupérables.

Activation : Google / Gmail

C’est le compte le plus important à protéger, parce qu’il sert d’adresse de récupération à presque tout le reste.

  1. Allez sur myaccount.google.com/security.
  2. Cliquez sur « Validation en deux étapes ».
  3. Cliquez « Commencer », suivez le parcours guidé.
  4. Choisissez « Application d’authentification » plutôt que SMS (option toujours visible en bas).
  5. Scannez le QR code avec votre application authentificatrice. Validez avec le premier code généré.
  6. Imprimez ou notez les codes de secours que Google génère. Rangez-les chez vous (carnet papier dans un tiroir). Vous en aurez besoin si vous perdez votre téléphone.

Si vous êtes une cible exposée, allez plus loin avec le Programme Protection Avancée sur g.co/advancedprotection. Il impose la clé physique mais offre la meilleure protection grand public disponible.

Activation : Facebook

  1. Sur facebook.com, allez dans Paramètres → Sécurité et connexion.
  2. Cliquez « Utiliser l’authentification à deux facteurs ».
  3. Choisissez « Application d’authentification ».
  4. Scannez le QR code dans votre application.
  5. Notez les codes de récupération générés.

Activation : Instagram

  1. Dans l’app Instagram, allez dans Paramètres → Centre de comptesMot de passe et sécurité.
  2. Cliquez « Authentification à deux facteurs ».
  3. Choisissez votre compte, puis « Application d’authentification ».
  4. Suivez le parcours QR code + validation.

Activation : WhatsApp

WhatsApp utilise une terminologie différente : ils appellent la 2FA « vérification en deux étapes ». Activez-la pour vous protéger contre la prise de contrôle de votre numéro WhatsApp.

  1. Dans l’app, Paramètres → CompteVérification en deux étapes.
  2. Activer, choisir un code PIN à 6 chiffres (différent du code de votre téléphone).
  3. Renseigner une adresse e-mail de récupération.

Notez bien le code PIN dans votre gestionnaire de mots de passe ou votre carnet papier — vous l’oublierez sinon.

Activation : Microsoft / Outlook / Office 365

  1. Allez sur account.microsoft.com/security.
  2. Cliquez « Sécurité avancée » puis « Activer » sous Vérification en deux étapes.
  3. Choisissez l’application authentificatrice. Idéalement Microsoft Authenticator pour le confort (validation par notification push, pas seulement par code).

Activation : Apple ID

L’Apple ID a une 2FA particulièrement bien faite : à chaque connexion sur un nouvel appareil, un code de 6 chiffres s’affiche automatiquement sur vos appareils Apple déjà connectés.

  1. Sur iPhone/iPad : Réglages → votre nom → Mot de passe et sécuritéAuthentification à deux facteurs.
  2. Sur Mac : Préférences Système → Identifiant AppleMot de passe et sécurité.
  3. Suivez le parcours, ajoutez un numéro de téléphone de secours.

C’est obligatoire pour beaucoup de fonctionnalités iCloud récentes (Données iCloud sensibles chiffrées de bout en bout, etc.).

Activation : votre banque

C’est plus variable selon les banques. La plupart des banques françaises ont migré à une 2FA propriétaire via leur application bancaire (notification push à valider, ou code généré par l’app). Si votre banque vous propose cela, activez-le sans hésiter.

Si votre banque n’a pas encore d’app avec 2FA intégrée et fonctionne encore uniquement par SMS, c’est probablement le moment de changer de banque, ou au minimum d’en parler à votre conseiller.

Activation : X (Twitter)

  1. Paramètres → Sécurité et accès au compteSécurité.
  2. Authentification à deux facteurs → choisir « Application d’authentification » (X a supprimé la 2FA SMS gratuite en 2023).

Activation : LinkedIn

  1. Paramètres → Connexion et sécuritéVérification en deux étapes.
  2. Choisir application d’authentification.

LinkedIn supporte aussi les clés physiques depuis 2022 — recommandé si vous êtes une cible pro exposée.

Activation : Amazon

  1. account.amazon.fr → Connexion et sécurité2-Step Verification.
  2. Suivre le parcours, idéalement avec l’application authentificatrice.

Et après ?

Une fois la 2FA activée sur tous vos comptes principaux, trois bonnes pratiques :

Sauvegardez vos codes de récupération. Chaque service génère typiquement 8 à 10 codes de secours utilisables en cas de perte de votre téléphone. Imprimez-les ou notez-les dans un carnet papier rangé à la maison. Ne les stockez pas dans un mail (qui pourrait être piraté) ni en photo sur votre téléphone.

Désactivez la 2FA par SMS quand l’application est active sur les services qui le permettent. Sinon, l’attaquant pourra contourner la sécurité en attaquant votre numéro de téléphone.

Prévoyez le scénario « j’ai perdu mon téléphone ». Pour chaque compte critique : ai-je les codes de secours ? Puis-je accéder à mon e-mail de récupération depuis un autre appareil ? Si la réponse à ces deux questions est non, vous êtes vulnérable au moindre incident matériel.

Combien de temps ça prend en vrai

Le tableau ci-dessous donne mes mesures réelles, faites lors d’audits chez des particuliers :

  • Gmail : 4 minutes
  • Facebook : 3 minutes
  • Instagram : 3 minutes
  • WhatsApp : 2 minutes
  • Apple ID : 5 minutes (un peu plus à cause de la vérification de tous les appareils)
  • Microsoft : 4 minutes
  • Banque : 5 à 10 minutes (dépend de la banque)
  • LinkedIn / X / Amazon : 2 à 3 minutes chacun

Total pour les comptes essentiels : environ 30 à 45 minutes. Pour un investissement aussi modeste, c’est probablement le meilleur retour sécurité possible. Pour des conseils plus profonds sur l’hygiène numérique, voyez aussi notre article sur le bon mot de passe en 2026.

En résumé

Activer la 2FA, c’est rendre vos comptes quasi inviolables même si quelqu’un a votre mot de passe. Choisissez de préférence l’application authentificatrice (Microsoft Authenticator, Google Authenticator, Bitwarden Authenticator) plutôt que le SMS. Pour les cibles exposées, ajoutez une clé physique YubiKey ou Titan. Activez sur tous vos comptes critiques en commençant par votre boîte mail principale. Sauvegardez les codes de secours sur papier rangé chez vous. Comptez 45 minutes au total.

Si vous êtes au Mans ou en Sarthe et que vous voulez un accompagnement pour mettre tout cela en place sur vos comptes (et auditer en parallèle l’écosystème complet — fuites de données, gestionnaire de mots de passe, sauvegardes), je propose un Audit Sérénité Solo à 149 € (74,50 € après crédit d’impôt service à la personne). Détail sur la page audit. Premier contact gratuit au 07 51 13 37 69.

Vous voulez aller plus loin ?

Audit Sérénité Solo

Un état des lieux complet de votre hygiène numérique, à votre rythme, à votre domicile. Repartez avec un plan d'action clair et une checklist papier signée.

Réserver un audit Solo

149 € — 74,50 € après déduction fiscale