Activer la double authentification (2FA) sur vos applications sociales

Table des matières

• Qu’est-ce que l’authentification à deux facteurs ?
• Pourquoi activer la 2FA
• Conseils généraux et méthodes recommandées
• Facebook
• Twitter (X)
• Instagram
• Snapchat
• WhatsApp
• Telegram
• Signal
• TikTok
• Discord
• Twitch
• Steam
• LinkedIn
• Bonnes pratiques avancées
• Playbook de récupération d’accès
• Checklists rôle par rôle
• Matrice de risques et mesures d’atténuation
• Questions fréquentes
• Résumé

Qu’est-ce que l’authentification à deux facteurs ?

L’authentification à deux facteurs (2FA) est une couche supplémentaire de sécurité qui demande, après votre mot de passe, une preuve d’identité secondaire — typiquement un code à usage unique, une clé matérielle ou un code PIN. Définition rapide : la 2FA combine quelque chose que vous savez (mot de passe) et quelque chose que vous avez (téléphone, clé) ou quelque chose que vous êtes (biométrie).

Vous pouvez recevoir le code par SMS ou utiliser une application d’authentification (par ex. Google Authenticator, Authy, Microsoft Authenticator). Les applications générant des codes TOTP fonctionnent hors connexion — elles n’ont pas besoin d’Internet pour afficher le code.

Pourquoi activer la 2FA

• Protège contre le vol de mot de passe (phishing, réutilisation de mot de passe).
• Rend l’accès non autorisé nettement plus difficile même si le mot de passe fuit.
• Recommandée pour comptes liés à un business, un portefeuille, ou des informations sensibles.

Important : la 2FA n’est pas une garantie absolue — certaines attaques ciblées (SIM swap, malware) peuvent contourner certains facteurs. Utilisez une combinaison d’authentificateur et, si possible, de clé de sécurité matérielle pour une résistance maximale.

Conseils généraux et méthodes recommandées

• Préférez une application d’authentification ou une clé de sécurité aux SMS quand c’est possible. Les SMS sont vulnérables au SIM swapping.
• Sauvegardez vos codes de récupération dans un gestionnaire de mots de passe ou imprimés stockés en lieu sûr.
• Activez la vérification en deux étapes sur tous les comptes importants (e-mail, réseaux sociaux, banques).
• Utilisez un gestionnaire de mots de passe unique et fort pour chaque service.
• Pour comptes professionnels, privilégiez les clés FIDO2 (USB / NFC / Bluetooth) lorsqu’elles sont prises en charge.

Note : Certaines plateformes exigent que vous ayez déjà activé la méthode SMS avant d’ajouter une clé de sécurité.

Facebook

Pour activer la 2FA sur Facebook, allez dans les paramètres du compte. Les options principales : application d’authentification, SMS ou clé de sécurité. L’application est la méthode recommandée.

PC

1. Ouvrez Facebook dans votre navigateur et cliquez sur la flèche vers le bas en haut à droite.
2. Sélectionnez « Paramètres et confidentialité ».

3. Cliquez sur « Paramètres ».

4. Dans le menu de gauche, choisissez « Sécurité et connexion ».

5. Sur la droite, repérez « Authentification à deux facteurs » et cliquez dessus.
6. Trois options apparaissent : application d’authentification (recommandée), SMS, clé de sécurité (USB/NFC).

7. Pour l’app recommandée : cliquez sur « Utiliser une application d’authentification ». Un QR code est généré.

8. Ouvrez votre application d’authentification sur le téléphone, scannez le QR code, puis saisissez le code généré dans Facebook pour valider.

Astuce de sauvegarde : dans le même panneau, configurez une méthode de secours (SMS, clé ou codes de récupération) au cas où vous perdriez l’accès à votre application.

Mobile

1. Ouvrez l’application Facebook.
2. Appuyez sur le menu (hamburger) en haut à droite, descendez et sélectionnez « Paramètres et confidentialité ».

3. Appuyez sur « Paramètres », puis « Mot de passe et sécurité ».

4. Sélectionnez « Utiliser l’authentification à deux facteurs » et choisissez la méthode souhaitée.

Conseil : activez au moins une méthode de secours immédiatement après avoir configuré l’app d’authentification.

À lire aussi : Comment sécuriser votre compte Facebook

Twitter

Twitter (X) propose SMS, application d’authentification et clé de sécurité. Les pas sont similaires sur PC et mobile.

PC

1. Dans la barre latérale gauche, cliquez sur « Plus ».

2. Choisissez « Paramètres et confidentialité ».

3. Sélectionnez « Sécurité et accès au compte », puis « Sécurité ».

4. Cliquez sur « Authentification à deux facteurs » et sélectionnez la méthode.

Remarque : pour activer une clé de sécurité, vous devez d’abord activer SMS ou application.

Mobile

1. Appuyez sur le menu hamburger en haut à gauche, allez dans « Paramètres et confidentialité ».

2. Sélectionnez « Sécurité et accès au compte », puis « Sécurité ».

3. Choisissez « Authentification à deux facteurs » et activez la méthode souhaitée.

Instagram

Instagram permet la 2FA sur mobile et PC, mais le bureau peut être limité aux SMS. L’application d’authentification est recommandée.

PC

1. Ouvrez Instagram sur votre navigateur et cliquez sur votre photo de profil en haut à droite.

2. Sélectionnez « Paramètres », puis « Confidentialité et sécurité ».

3. Dans « Authentification à deux facteurs », cliquez sur « Modifier le réglage de l’authentification à deux facteurs ».

4. Activez « Utiliser un message texte » si vous êtes sur PC ou préférez SMS.

Mobile

1. Ouvrez l’application, appuyez sur votre profil en bas à droite.

2. Ouvrez le menu (hamburger), appuyez sur « Paramètres », puis « Sécurité ».

3. Appuyez sur « Authentification à deux facteurs », puis « Commencer ».

4. Choisissez entre SMS et application d’authentification. L’application est recommandée pour plus de sécurité.

Snapchat

Snapchat appelle la 2FA « Vérification de connexion ». Elle est disponible uniquement sur mobile.

1. Ouvrez Snapchat et touchez votre icône de profil en haut à gauche.

2. Touchez l’icône d’engrenage (Paramètres) en haut à droite, puis « Vérification de connexion ».

3. Touchez « Continuer » et choisissez SMS ou application d’authentification selon votre préférence.

Conseil : sauvegardez les codes de récupération Snapchat si proposés.

À lire aussi : 4 choses amusantes et inattendues à faire avec Snapchat

WhatsApp

WhatsApp propose une vérification en deux étapes depuis l’application mobile : vous définissez un code PIN à six chiffres et pouvez ajouter un e-mail en secours.

1. Ouvrez WhatsApp, touchez le menu ⋮ puis « Paramètres ».

2. Allez dans « Compte », puis « Vérification en deux étapes ».

3. Appuyez sur « Activer » et choisissez un code PIN à 6 chiffres.

4. Optionnel : ajoutez une adresse e-mail de secours pour réinitialiser le PIN si vous l’oubliez.

Conseil de sécurité : ne partagez jamais votre code PIN WhatsApp, même si quelqu’un prétend être du support technique.

À lire aussi : Comment ajouter, utiliser et gérer les stickers WhatsApp

Telegram

Telegram propose « mot de passe en deux étapes » (Two-Step Verification) : un mot de passe additionnel à saisir en plus du code SMS. Disponible sur PC et mobile.

PC

1. Ouvrez Telegram Desktop et cliquez sur le menu hamburger en haut à gauche.

2. Sélectionnez « Paramètres », puis « Confidentialité et sécurité ».

3. Cliquez sur « Activer la vérification en deux étapes » et créez un mot de passe supplémentaire.

4. Vous aurez besoin de ce mot de passe + le code SMS pour vous connecter sur un nouvel appareil.

Mobile

1. Ouvrez Telegram, ouvrez le menu hamburger, puis « Paramètres ».

2. Allez dans « Confidentialité et sécurité », puis « Vérification en deux étapes ».

3. Touchez « Définir un mot de passe » et suivez les étapes.

Astuce : choisissez une phrase de passe longue et unique plutôt qu’un mot simple.

À lire aussi : 7 façons de corriger Telegram qui n’enregistre pas les images

Signal

Signal propose une protection dite « Verrou d’enregistrement » (Registration Lock) sur mobile : un PIN Signal requis pour réenregistrer le numéro sur un nouvel appareil. Signal ne supporte pas actuellement les applications d’authentification externes ni les codes de secours classiques.

1. Ouvrez Signal, appuyez sur ⋮ puis « Paramètres ».

2. Allez dans « Compte » puis activez « Verrou d’enregistrement ».

3. Choisissez votre code PIN Signal.

Remarque : Signal ne propose pas les applications d’authentification ni les codes de récupération pour le moment.

TikTok

TikTok permet la 2FA par SMS ou e-mail via l’application mobile.

1. Ouvrez TikTok, allez sur « Profil », puis ouvrez le menu (hamburger) en haut à droite.

2. Allez dans « Paramètres et confidentialité », puis « Sécurité et connexion ».

3. Touchez « Vérification en deux étapes » et activez par SMS ou e-mail selon votre préférence.

Discord

Discord utilise principalement une application d’authentification pour la 2FA.

PC

1. Ouvrez Discord, cliquez sur l’icône d’engrenage en bas à droite pour accéder à « Mon compte ».

2. Cliquez sur « Activer l’authentification à deux facteurs ». Saisissez votre mot de passe et continuez.

3. Scannez le QR avec une application d’authentification et entrez le code à 6 chiffres.

Mobile

1. Ouvrez l’app Discord, touchez votre icône en bas à droite, puis « Mon compte ».

2. Appuyez sur « Activer l’authentification à deux facteurs », entrez votre mot de passe et suivez les étapes avec votre application d’authentification.

Twitch

Twitch propose la 2FA par SMS et envoie d’abord un e-mail de vérification avant d’activer la fonctionnalité.

PC

1. Sur Twitch, cliquez sur votre photo de profil en haut à droite, puis allez dans « Sécurité et confidentialité ».

2. Cliquez sur « Configurer l’authentification à deux facteurs » puis « Activer la 2FA ».

3. Twitch enverra d’abord un code de vérification par e-mail, puis un code par SMS si nécessaire.

Mobile

1. Ouvrez l’application Twitch, touchez votre photo en haut à gauche, puis « Paramètres du compte ».

2. Choisissez « Authentification à deux facteurs » et appuyez sur « Activer la 2FA ».

3. Entrez votre numéro de téléphone et suivez les instructions.

Steam

Steam propose la 2FA via « Steam Guard » soit par l’application Steam (authenticator), soit par e-mail.

PC

1. Ouvrez le client Steam, allez dans Steam -> Paramètres.

2. Dans la section Compte, cliquez sur « Gérer la sécurité du compte Steam Guard ».

3. Choisissez d’utiliser l’application Steam Mobile pour recevoir les codes ou l’e-mail.

4. Si vous utilisez l’application mobile : ouvrez l’app Steam, menu hamburger -> Steam Guard -> Ajouter un authentificateur.

Conseil : activer Steam Guard sur le téléphone protège aussi les transactions et l’accès à votre inventaire.

À lire aussi : Comment partager des jeux Steam en famille

LinkedIn

LinkedIn propose la 2FA par application d’authentification ou SMS, utile pour protéger les informations professionnelles.

Bureau

1. Cliquez sur votre photo de profil et sélectionnez « Paramètres et confidentialité ».

2. Dans la colonne de gauche, choisissez « Connexion et sécurité ».

3. Développez « Vérification en deux étapes » et cliquez sur « Activer ».

4. Sélectionnez application d’authentification ou numéro de téléphone et suivez la procédure.

Mobile

1. Ouvrez l’app LinkedIn, touchez votre avatar en haut à gauche et sélectionnez « Paramètres ».

2. Allez dans « Connexion et sécurité », puis « Vérification en deux étapes ».

3. Touchez « Configurer » et choisissez la méthode.

À lire aussi : Les meilleures applications d’authentification qui synchronisent plusieurs appareils

Bonnes pratiques avancées

1. Priorité des méthodes : clé matérielle > application d’authentification > SMS > e-mail.
2. Stockage des codes de secours : utilisez un gestionnaire de mots de passe chiffré ou une copie papier gardée en lieu sûr.
3. Rotation : si vous suspectez une compromission de votre téléphone, révoquez et régénérez vos clés 2FA.
4. Comptes liés : sécurisez également l’adresse e-mail liée à vos comptes sociaux — si l’e-mail est compromis, l’attaquant peut réinitialiser la 2FA dans certains cas.
5. Pour entreprises : activez la 2FA obligatoire pour les employés ayant accès aux outils critiques.

Important : une clé matérielle FIDO2 protège efficacement contre le phishing. Si vous gérez des comptes critiques, procurez-vous au moins une clé USB/NFC.

Playbook de récupération d’accès (pas à pas)

1. Évaluez la situation : avez-vous perdu l’appareil, changé de numéro, ou supprimé l’app d’authentification ?
2. Recherchez vos codes de récupération : gestionnaire de mots de passe, coffre physique, e-mail de secours.
3. Si vous avez une clé matérielle, tentez la connexion avec elle.
4. Si aucune méthode de secours n’est disponible, contactez le support du service (préparez preuve d’identité et détails du compte : date de création, contacts récents).
5. Après récupération, désactivez puis réactivez la 2FA, en configurant plusieurs méthodes de secours.

Playbook exemple pour perte de téléphone :

• Étape 1 : Utilisez un autre appareil où vous êtes déjà connecté.
• Étape 2 : Dans les paramètres de sécurité, désactivez l’ancienne méthode 2FA et ajoutez la nouvelle.
• Étape 3 : Enregistrez des codes de secours et notez le changement dans votre gestionnaire de mots de passe.

Checklists rôle par rôle

Checklist pour un utilisateur individuel :

• Activer 2FA sur e-mail, comptes bancaires et réseaux sociaux.
• Choisir application d’authentification ou clé matérielle.
• Stocker codes de secours dans un gestionnaire chiffré ou sur papier sécurisé.
• Mettre à jour le numéro de téléphone si changement.
• Tester la méthode de secours une fois par an.

Checklist pour administrateur IT :

• Exiger la 2FA pour toutes les comptes administratifs.
• Fournir et documenter des clés matérielles FIDO2 pour les postes sensibles.
• Mettre en place un processus de récupération d’urgence validé.
• Former les employés aux risques SIM swap et phishing.

Matrice de risques et mesures d’atténuation

• Risque : SIM swap (attaquant prend votre numéro). Mesure : éviter SMS comme facteur principal, activer un PIN fournisseur mobile.
• Risque : Perte de téléphone. Mesure : codes de secours stockés et clé matérielle de secours.
• Risque : Malware sur téléphone. Mesure : utiliser une application d’authentification sur un appareil dédié ou clé matérielle.
• Risque : Phishing. Mesure : clé matérielle FIDO2 et formation anti-phishing.

Gestion des codes de récupération

• Enregistrez les codes au moment de l’activation.
• Conservez au moins deux copies : une dans votre gestionnaire de mots de passe chiffré, une imprimée verrouillée dans un endroit sûr.
• Révoquez et générez de nouveaux codes après toute compromission.

Tests et critères d’acceptation

Test basique : tentez une connexion depuis un navigateur ou appareil inconnu ; vous devez recevoir une demande de code ou un challenge.

Critères d’acceptation :

• La 2FA doit s’activer sans perte d’accès immédiate au compte.
• Une méthode de secours doit être disponible et testée.
• L’utilisateur doit pouvoir révoquer des dispositifs 2FA obsolètes.

Scénarios où la 2FA peut échouer

• Codes expirés : les codes TOTP expirent (30 à 60 s). S’assurer de l’heure correcte sur l’appareil.
• Problème de synchronisation horaire : l’authentificateur et le service doivent avoir des horloges synchrones.
• SIM swap : l’attaquant reprend votre numéro si SMS est utilisé seul.
• Perte de l’appareil sans codes de secours : récupération longue via support.

Alternatives à la 2FA classique

• Authentification sans mot de passe (passkeys) : remplace le mot de passe par des clés cryptographiques sur appareils compatibles.
• Gestion centralisée des identités (SSO) avec 2FA obligatoire pour l’entreprise.
• Authentification basée sur certificat pour usages très sensibles.

Compatibilité et migration

• Si vous changez d’appareil, utilisez la fonctionnalité de transfert proposée par votre application d’authentification lorsque possible (Authy permet la synchronisation multi-appareils si activée).
• Pour Google Authenticator, il existe un export/import manuel via QR. Toujours générer de nouveaux codes de secours lors de la migration.

Sécurité et confidentialité (notes GDPR)

• Les données de 2FA (clés TOTP) restent généralement locales ; les applications d’authentification chiffrent les secrets sur l’appareil.
• Vérifiez les politiques de confidentialité de l’application que vous utilisez si vous activez la synchronisation cloud (ex. Authy). Préférez une solution locale si vous avez des contraintes de confidentialité.

Modèle mental simple pour choisir une méthode 2FA

• Compte critique (finance, travail) : clé matérielle + application d’authentification + codes de secours.
• Compte personnel (réseaux sociaux) : application d’authentification + codes de secours.
• Si uniquement possible : SMS mieux que rien, mais considérer alternatives rapidement.

Modèle de maturité (4 niveaux)

• Niveau 0 — Aucune 2FA.
• Niveau 1 — 2FA disponible mais optionnelle (souvent SMS).
• Niveau 2 — 2FA recommandée, application d’authentification supportée.
• Niveau 3 — 2FA obligatoire pour administrateurs, support clé matérielle et politiques de secours.

Templates utiles

Exemple de fiche de sauvegarde 2FA (à garder imprimée dans un coffre) :

• Service :
• Méthode 2FA (app / SMS / clé) :
• Date d’activation :
• Numéro de secours / e-mail de secours :
• Codes de récupération (liste partielle) :

Exemple d’entrée pour gestionnaire de mots de passe : champ « 2FA backup » avec la liste des codes de secours et la méthode.

Test cases rapides

• Cas 1 : Connexion sur appareil inconnu — recevoir prompt 2FA et se connecter avec code valide.
• Cas 2 : Perte d’appareil — utiliser code de récupération pour se réauthentifier.
• Cas 3 : Changement de numéro — mettre à jour le numéro et vérifier que SMS arrive.

Questions fréquentes

1. Dois-je réinitialiser la 2FA si j’achète un nouveau téléphone ?

Cela dépend de la méthode : si vous utilisez une application d’authentification, transférez la configuration vers le nouveau téléphone via l’option d’export/import de l’app (si disponible) ou réassociez chaque compte en scannant un nouveau QR. Si votre 2FA est par SMS et que vous conservez le même numéro, vous n’avez rien à faire. Si vous changez de numéro, mettez à jour vos comptes avant de perdre l’ancien numéro.

2. Quelles sont les meilleures applications d’authentification ?

Google Authenticator est populaire, mais Authy, Microsoft Authenticator et d’autres proposent des fonctionnalités supplémentaires (sauvegarde chiffrée, multi-appareils). Choisissez selon vos besoins de synchronisation et confidentialité.

3. Mon code à six chiffres ne fonctionne pas. Que faire ?

Les codes TOTP expirent rapidement. Vérifiez l’heure du téléphone et du PC : la synchronisation horaire doit être correcte. Si le problème persiste, réinstallez l’application d’authentification ou utilisez un code de secours.

4. Que faire en cas de SIM swap ?

Contactez immédiatement votre opérateur pour bloquer la ligne, activez une méthode d’authentification indépendante du numéro (app ou clé), et modifiez les mots de passe des comptes importants.

Résumé

• Activez la 2FA sur tous vos comptes importants.
• Privilégiez les applications d’authentification ou les clés matérielles aux SMS.
• Stockez les codes de secours en lieu sûr et testez votre plan de récupération.
• Pour les comptes professionnels, appliquez une politique de 2FA obligatoire et fournissez des clés matérielles si possible.

À lire aussi : guides liés aux applications mentionnées et recommandations sur l’utilisation des applications d’authentification.