MFA : pourquoi votre app Google Authenticator vous trahit

Un client me montre fièrement son “2FA”. Google Authenticator, synchronisé avec son compte Google, backup activé sur Google Drive. Son compte Google avait été compromis le mois précédent. L’attaquant avait en un seul mouvement récupéré l’intégralité de ses codes TOTP — et avait accès à tout.

Le piège habituel

“J’ai le 2FA activé, je suis protégé.” C’est la phrase que j’entends le plus souvent. Et c’est la phrase la plus dangereuse du vocabulaire de la sécurité personnelle.

Le problème : le 2FA n’est pas une catégorie unique. C’est un spectre qui va du presque-rien au vraiment-robuste. Mettre tous les MFA dans le même sac, c’est comme dire “j’ai une serrure” sans préciser si c’est un loquet de salle de bains ou un cylindre Abloy certifié.

La conséquence directe : des gens qui pensent être protégés alors qu’ils ne le sont pas, et qui n’investissent pas dans les vraies protections parce qu’ils croient déjà avoir coché la case. Le pire des deux mondes.

La hiérarchie réelle de robustesse

Voici la réalité, du pire au meilleur.

OTP par SMS — à abandonner sur tout compte sérieux

Le SMS comme second facteur, c’est pratique, omniprésent, et fondamentalement cassable. Les vecteurs d’attaque sont multiples.

Le SIM swap : votre opérateur bascule votre numéro sur une SIM contrôlée par l’attaquant. Un coup de téléphone, trois informations publiques (nom, date de naissance, adresse), et le conseiller fait la manipulation. La Princeton University a testé cinq opérateurs américains majeurs en 2020 : tous échouaient à des attaques d’ingénierie sociale simples dans une majorité des cas.

Les attaques SS7 : le réseau SS7, qui gère l’acheminement des SMS au niveau mondial, présente des vulnérabilités connues depuis les années 2000. Un attaquant avec accès à ce réseau — opérateur mal sécurisé, revendeur de capacité réseau — peut intercepter les SMS de n’importe qui, n’importe où. Ce n’est pas théorique : des journalistes allemands du Chaos Computer Club l’ont démontré en direct à la télévision en 2017, interceptant les SMS d’un député.

Le social engineering à l’opérateur : même sans SIM swap complet, certains services permettent de faire réacheminer des appels ou SMS temporairement. Les scripts d’ingénierie sociale pour tromper les opérateurs circulent librement.

Quand le SMS est-il acceptable ? Pour un compte forum sans donnée sensible, ou un service qui n’offre littéralement aucune autre option. Jamais sur votre email principal, votre banque, votre gestionnaire de mots de passe.

TOTP avec backup cloud — le faux ami

TOTP (Time-based One-Time Password) génère des codes à 6 chiffres qui changent toutes les 30 secondes. Techniquement, RFC 6238, basé sur HMAC-SHA1. C’est robuste sur le papier. Le problème est dans l’implémentation.

Google Authenticator propose depuis 2023 la synchronisation des TOTP avec votre compte Google. Pratique : si vous perdez votre téléphone, vous retrouvez vos codes sur le prochain appareil. Mais la sécurité de vos TOTP est désormais exactement égale à la sécurité de votre compte Google.

Authy, pendant longtemps la référence pour les TOTP, activeait le multi-device par défaut — vos codes synchronisés sur tous vos appareils via leurs serveurs. En 2022, Twilio (propriétaire d’Authy) a été victime d’un breach qui a exposé 33 millions de numéros de téléphone associés à des comptes Authy. En 2024, Authy a connu un autre incident.

Microsoft Authenticator avec sync activé, Samsung Pass, et tout autre TOTP cloud tombent dans la même catégorie.

TOTP local sans cloud — nettement mieux

Aegis Authenticator (Android, open source) et Ente Auth (Android/iOS, open source, chiffrement bout-en-bout sur serveurs propres) stockent vos secrets TOTP localement sur votre appareil. Pas de sync automatique vers un cloud tiers. Raivo (iOS, open source) fait de même.

La robustesse est structurellement différente : pour compromettre vos TOTP, l’attaquant doit accéder physiquement à votre appareil ou compromettre votre sauvegarde locale.

Le risque réel : perte du téléphone sans backup de vos secrets TOTP = perte d’accès à tous vos comptes simultanément. La mitigation est simple mais nécessite de la rigueur.

Stratégie de backup pour TOTP local :

1. Aegis permet un export chiffré (AES-256-GCM) de tous vos secrets. Faites cet export, chiffrez-le avec un mot de passe fort, stockez-le sur un support offline (clé USB dans un coffre, par exemple).
2. Pour chaque service critique, imprimez le QR code de configuration TOTP et stockez-le physiquement.
3. N’oubliez pas les codes de récupération — la plupart des services en fournissent lors de l’activation du MFA. Imprimez-les, mettez-les dans un coffre.

FIDO2 hardware — la seule option vraiment résistante au phishing

FIDO2 (Fast IDentity Online 2), spécifié par la FIDO Alliance, est fondamentalement différent des autres méthodes. Il n’y a pas de secret partagé entre vous et le service. À la place, le protocole utilise de la cryptographie asymétrique : une clé privée reste dans la clé hardware, une clé publique est enregistrée chez le service.

Ce qui change tout : la résistance au phishing est native. Quand vous utilisez une YubiKey sur bank.example.com, la clé vérifie cryptographiquement qu’elle communique bien avec bank.example.com. Si un attaquant vous dirige vers bank-evil.example.com, la clé refuse de s’authentifier — pas parce qu’elle a détecté une fraude, mais parce que le protocole ne le permet pas structurellement. C’est la différence entre “je vérifie si c’est suspect” et “ça ne peut pas fonctionner autrement”.

Les options hardware sérieuses :

• YubiKey 5 series : référence de l’industrie, robuste physiquement, supporte FIDO2/WebAuthn, TOTP, PIV, OpenPGP. Environ 50-70€ l’unité.
• Nitrokey : alternative européenne, open source au niveau hardware et firmware, auditable.
• SoloKey : open source, firmware inspectable.
• Google Titan : fiable, moins polyvalent que YubiKey.

Le piège Authy en détail

Authy mérite une section séparée parce que beaucoup de gens l’utilisent en croyant qu’il est plus sécurisé que Google Authenticator. C’est vrai seulement si vous désactivez le multi-device.

Par défaut, Authy synchronise vos TOTP sur tous les appareils enregistrés, via leurs serveurs. Pour auditer et durcir :

1. Ouvrez Authy → Settings → Devices
2. Vérifiez la liste des appareils autorisés — supprimez tout ce que vous ne reconnaissez pas
3. Désactivez “Allow Multi-Device” — une fois désactivé, aucun nouvel appareil ne peut s’enregistrer

Les passkeys : prometteur mais avec des nuances

Les passkeys sont une implémentation grand-public de FIDO2. Stockées dans votre trousseau Apple (iCloud Keychain), Google Password Manager, ou un gestionnaire tiers comme 1Password ou Bitwarden, elles offrent une résistance au phishing équivalente aux clés hardware.

La nuance : les passkeys synchronisées dans iCloud ou Google sont aussi sécurisées que votre compte Apple ou Google. Si ce compte est compromis — et c’est précisément le scénario que vous cherchez à éviter pour vos comptes les plus critiques — vos passkeys le sont aussi.

Pour les comptes vraiment critiques, la passkey doit être stockée sur une clé hardware FIDO2 (YubiKey et équivalents supportent les passkeys non-synchronisées depuis les récentes versions de firmware). Dans ce cas, vous obtenez la commodité des passkeys avec la sécurité des clés hardware.

Les passkeys ne sont pas encore universelles. Vérifiez avant de compter dessus pour un service donné.

Stratégie par niveau de compte

Niveau 1 — Comptes critiques (email principal, banque, opérateur mobile, gestionnaire de mots de passe, domaines) : FIDO2 hardware minimum. Deux clés — une primaire sur vous, une backup dans un coffre. Activez les deux sur tous vos comptes critiques. Stockez les codes de récupération offline en complément.

Niveau 2 — Comptes business et réseaux sociaux : TOTP local (Aegis ou Ente Auth) avec backup chiffré offline. Pas de cloud sync TOTP. FIDO2 si le service le supporte et que votre profil de risque le justifie.

Niveau 3 — Services secondaires, forums, abonnements : TOTP ou SMS acceptable selon le risque réel. L’email associé à ces comptes doit idéalement être une adresse secondaire — pas votre adresse principale.

Gestion des clés hardware : les règles non-négociables

Minimum deux clés. Une seule clé hardware, c’est un single point of failure. Vous la perdez, vous la cassez, elle tombe dans les toilettes — accès perdu à tous vos comptes FIDO2. Achetez deux clés du même modèle, enregistrez les deux sur chaque compte critique dès l’activation.

Où stocker la backup. Pas dans le même sac que la clé primaire. Pas dans la même pièce idéalement. Options selon votre niveau : tiroir verrouillé à domicile, coffre-fort personnel, coffre en banque pour les profils les plus exposés.

Enregistrement systématique. Quand vous activez FIDO2 sur un nouveau compte, enregistrez immédiatement les deux clés. Beaucoup de gens enregistrent la clé primaire et “le font plus tard” pour la backup. “Plus tard” ne vient jamais.

Erreurs qu’on voit tout le temps

SMS sur le compte email principal. C’est la plus courante et la plus dangereuse. Votre email est la clé maîtresse de votre vie numérique — password reset, communication sensible, tout transite par là. L’avoir protégé par SMS revient à protéger votre coffre-fort avec un cadenas de vélo.

Backup cloud TOTP non audité. Des gens qui ont activé Google Authenticator avec sync Google sans réaliser que leurs TOTP sont maintenant dans leur compte Google.

Une seule clé hardware. Voir plus haut. La perte d’une YubiKey sans backup enregistrée est une catastrophe opérationnelle.

Codes de récupération dans le password manager. Si votre password manager est protégé par FIDO2 ET que vos codes de récupération FIDO2 sont dans le password manager, vous avez créé une dépendance circulaire. Les codes de récupération doivent être offline — papier dans un coffre, gravés sur métal pour les paranoïaques.

Migrer sans plan. Désactiver l’ancien MFA avant d’avoir validé que le nouveau fonctionne.

• N1 Identifier ses 5 comptes les plus critiques (email, banque, opérateur, password manager, cloud principal)
• N1 Supprimer tout MFA SMS sur ces 5 comptes
• N1 Auditer Google Authenticator et Authy pour détecter les backups cloud actifs
• N2 Installer Aegis (Android) ou Ente Auth (iOS/Android) pour le TOTP local
• N2 Migrer les comptes de niveau 2 vers TOTP local sans cloud sync
• N2 Imprimer et stocker offline les codes de récupération des comptes critiques
• N3 Acheter 2 clés YubiKey 5 (ou équivalent)
• N3 Activer FIDO2 sur tous les comptes critiques avec les 2 clés enregistrées simultanément
• N3 Stocker la clé backup dans un lieu physiquement séparé
• N3 Faire un export chiffré Aegis et le stocker offline