Utiliser un téléphone Android comme clé de sécurité Google

Pourquoi c’est important

La vérification en deux étapes (2SV) ajoute une couche de sécurité : quelque chose que vous savez (mot de passe) + quelque chose que vous avez (appareil). Si un attaquant vole votre mot de passe, il ne pourra pas se connecter sans l’élément matériel supplémentaire. Google propose désormais d’utiliser un téléphone Android compatible comme « clé de sécurité » afin de simplifier et de renforcer la protection.

Faits clés

• Nécessite un téléphone Android avec Android 7.0 (Nougat) ou version ultérieure.
• Remplace une clé physique comme Titan pour l’authentification FIDO.
• Idéal pour comptes Google (Gmail, Play Store, YouTube, Workspace).

Important

• Conservez des codes de secours imprimés ou sauvegardés hors ligne au cas où vous perdriez le téléphone.

1. Ajouter votre compte Google sur le téléphone

Avant tout, vérifiez que le même compte Google est présent sur l’ordinateur et sur le téléphone.

1. Ouvrez l’application Google sur votre téléphone.
2. Touchez votre photo de profil en haut à droite.
3. Si le compte désiré apparaît, sélectionnez-le. Sinon, touchez Ajouter un autre compte.
4. Confirmez votre identité par empreinte digitale ou code PIN si demandé.
5. Saisissez l’adresse e-mail et suivez les instructions jusqu’à la fin de l’ajout.

Conseil : utilisez une adresse déjà synchronisée dans Chrome sur votre ordinateur pour éviter tout décalage.

2. Activer la vérification en deux étapes

1. Sur l’ordinateur, rendez-vous sur : Enroll in Two-Step Verification for Your Google Account
2. Cliquez sur Démarrer.

3. Choisissez le compte et connectez-vous.
4. Vérifiez la notification sur votre téléphone et touchez Oui.
5. Choisissez un numéro de téléphone de secours si nécessaire.

6. Si vous n’avez pas d’autre numéro, utilisez l’option Utiliser une autre option de secours.
7. Imprimez ou enregistrez les codes de sauvegarde affichés.

8. Cliquez sur Suivant et activez la vérification en deux étapes.

Note : ces codes vous permettent d’accéder à votre compte si le téléphone est indisponible.

3. Tester la connexion et déverrouiller le compte

1. Déconnectez-vous de votre compte Google dans Chrome sur l’ordinateur.
2. Connectez-vous de nouveau avec votre mot de passe.
3. Sur l’écran de connexion, suivez l’invite indiquant de vérifier votre téléphone.

4. Sur votre téléphone, touchez Oui pour valider la tentative de connexion.

Résultat : vous êtes connecté et la clé smartphone a été utilisée comme méthode d’authentification.

Alternatives et cas d’usage

• Authentificateur logiciel (Google Authenticator, Authy) : génère des codes TOTP hors ligne. Simple et largement supporté.
• Clés de sécurité FIDO physiques (Titan, YubiKey) : niveau de sécurité le plus élevé, utile pour entreprises et administrateurs.
• Validation par SMS : moins sécurisé, utile uniquement comme recours.

Quand la méthode du téléphone échoue

• Si le téléphone est hors ligne, en mode avion ou déchargé, la notification ne sera pas reçue.
• Si le téléphone n’est pas présent ou s’il est réinitialisé, seul un code de secours ou une clé physique permettra l’accès.

Checklist par rôle

Checklist pour un utilisateur final

• Avoir un téléphone Android 7.0+.
• Ajouter le même compte Google sur le téléphone et l’ordinateur.
• Activer la vérification en deux étapes.
• Générer et sauvegarder les codes de secours hors ligne.
• Configurer un numéro de secours.

Checklist pour un administrateur IT

• Vérifier la compatibilité des versions Android au sein de l’organisation.
• Communiquer la procédure et fournir un guide de secours.
• Déployer des clés physiques pour les rôles à haut risque.
• Mettre en place une politique de récupération d’accès sécurisée.

Dépannage courant

• Je ne vois pas la notification sur le téléphone : vérifiez la connexion réseau, les notifications de l’app Google, et que le compte est bien ajouté.
• Le téléphone est perdu : utilisez les codes de secours ou une clé physique. Révoquez l’accès du téléphone perdu depuis la gestion des appareils Google.
• La vérification échoue malgré la notification : assurez-vous que l’heure du téléphone est correcte et que le système Android est à jour.

Mini-méthodologie pour la migration

1. Inventaire des devices compatibles.
2. Communication et formation des utilisateurs.
3. Déploiement pilote pour 10–20% des équipes à risque.
4. Recueil des retours, ajustements des procédures de secours.
5. Déploiement complet.

Matrice de compatibilité (rapide)

• Android 7.0 (Nougat) et versions ultérieures : compatible.
• iPhone : non pris en charge comme clé Android (utiliser clés physiques ou solutions Apple si disponibles).
• Compte Google : requis.

Sécurité et bonnes pratiques

• Protégez l’écran de verrouillage de votre téléphone par code, empreinte ou visage.
• Activez la mise à jour automatique du système Android et de l’app Google.
• Conservez des codes de secours imprimés dans un endroit sûr.
• Pour les postes administrateurs, préférez une clé FIDO matérielle en complément.

Confidentialité et conformité

Utiliser le téléphone comme clé implique des métadonnées de connexion (heure, appareil). Google utilise ces informations pour vérifier l’authenticité. Si vous gérez des données sensibles soumises à des contraintes réglementaires (GDPR ou autre), documentez les traitements et assurez-vous que la politique de conservation des logs respecte vos obligations.

Important

• Ne partagez pas vos codes de secours.

FAQ

Q : Puis-je utiliser plusieurs téléphones comme clés de sécurité ?

R : Oui. Ajoutez le même compte Google sur plusieurs appareils et activez la méthode 2SV. Conservez au moins un moyen de secours.

Q : Que faire si je change de téléphone ?

R : Avant de réinitialiser l’ancien téléphone, ajoutez le nouveau à votre compte Google et vérifiez qu’il reçoit les notifications. Ensuite, révoquez l’ancien appareil si nécessaire.

Q : Est-ce aussi sécurisé qu’une clé Titan physique ?

R : C’est une solution sécurisée basée sur les standards FIDO, mais une clé physique dédiée reste la meilleure option pour les profils à très haut risque.

1-ligne glossaire

• 2SV : Vérification en deux étapes — méthode d’authentification à deux éléments.
• FIDO : Consortium pour l’authentification sans mot de passe standardisée.

Résumé

Utiliser un téléphone Android comme clé de sécurité Google simplifie la protection de votre compte tout en maintenant un niveau élevé de sécurité. Assurez-vous d’avoir des moyens de secours et de suivre les bonnes pratiques de sécurité pour éviter les blocages d’accès.

Extras — modèle de décision (Mermaid)

flowchart TD
  A[Je veux sécuriser mon compte Google] --> B{Avez-vous un téléphone Android 7.0+ ?}
  B -- Oui --> C[Ajouter compte sur le téléphone]
  C --> D[Activer la vérification en deux étapes]
  D --> E[Tester la connexion]
  B -- Non --> F{Avez-vous une clé FIDO ?}
  F -- Oui --> G[Utiliser clé FIDO physique]
  F -- Non --> H[Installer Authenticator ou acheter clé physique]

Texte de fin

Suivre cette procédure améliore sensiblement votre sécurité pour Gmail, YouTube, Play Store et les autres services Google. Planifiez la sauvegarde et la récupération avant de basculer pour éviter toute interruption d’accès.