Tutoriel : Configurer l’authentification à deux facteurs partout

Pourquoi le 2FA est devenu non-négociable ?

Microsoft et Google publient le même chiffre : la 2FA bloque 99,9 % des attaques automatisées sur les comptes. Concrètement, un mot de passe seul est aujourd’hui considéré comme « perdu d’avance » — il finira tôt ou tard dans une fuite de données. Le 2FA ajoute une seconde porte que l’attaquant ne peut pas franchir à distance, même avec votre mot de passe en clair. Au Sénégal, où le SIM swapping et l’ingénierie sociale sont en hausse, c’est la mesure de sécurité la plus rentable de toutes (gratuite, 2 minutes par compte).

Le 2FA : la protection qui bloque 99% des piratages

L’authentification a deux facteurs (2FA) ajoute une deuxieme vérification après votre mot de passe. Même si un attaquant connait votre mot de passe, il ne peut pas se connecter sans le deuxieme facteur. Google a confirme que le 2FA bloque 99,9% des attaques automatisees sur les comptes.

Au Sénégal, ou les piratages de comptes Facebook, WhatsApp et email sont en forte hausse, activer le 2FA sur tous vos comptes est devenu une nécessité absolue.

Les méthodes de 2FA classees par sécurité

Pourquoi éviter le SMS pour le 2FA au Sénégal

Le SMS est vulnerable au SIM swapping, une attaque particulierement repandue en Afrique de l’Ouest :

• Le fraudeur obtient un duplicata de votre SIM en agence (faux documents ou complicite interne)
• Il recoit tous vos SMS, y compris les codes 2FA
• Il accédé a vos comptes malgre le 2FA par SMS
• Solution : utilisez une application d’authentification (Google Authenticator, Authy) plutôt que le SMS

Configurer Google Authenticator

1. Installez Google Authenticator depuis le Play Store ou App Store
2. Quand un site vous demande de configurer le 2FA TOTP, il affiche un QR code
3. Ouvrez Google Authenticator > appuyez sur « + » > « Scanner un QR code »
4. Scannez le QR code. L’application genere maintenant des codes a 6 chiffres qui changent toutes les 30 secondes
5. Entrez le code affiche pour confirmer la configuration
6. IMPORTANT : sauvegardez les codes de récupération donnes par le site. Si vous perdez votre téléphone, ces codes sont le seul moyen de récupérer l’accès

Google Authenticator vs Authy

Conseil : si vous avez peur de perdre votre téléphone, choisissez Authy qui synchronise vos codes entre plusieurs appareils. Sinon, Google Authenticator est plus simple.

Configurer le 2FA sur chaque plateforme

Google / Gmail

1. Allez sur myaccount.google.com > Sécurité > Validation en 2 étapes
2. Cliquez sur « Commencer »
3. Google propose d’abord les notifications push (Google Prompt) : acceptez
4. Ajoutez l’application d’authentification comme méthode supplementaire
5. Telechargez les codes de secours et rangez-les en lieu sur

Facebook

1. Paramètres > Sécurité et connexion > Authentification a deux facteurs
2. Choisissez « Application d’authentification »
3. Scannez le QR code avec Google Authenticator
4. Entrez le code de vérification
5. Configurez aussi les « Contacts de confiance » en cas de perte d’accès

WhatsApp

1. Paramètres > Compte > Vérification en deux étapes
2. Activez et definissez un code PIN a 6 chiffres
3. Ajoutez une adresse email de récupération
4. WhatsApp demandera periodiquement ce PIN pour vérifier que c’est bien vous
5. Note : ce n’est pas un TOTP classique mais une protection spécifique a WhatsApp contre le vol de compte

Instagram

1. Paramètres > Sécurité > Authentification a deux facteurs
2. Choisissez « Application d’authentification »
3. Scannez le QR code avec Google Authenticator
4. Sauvegardez les codes de récupération

Twitter / X

1. Paramètres > Sécurité et accès au compte > Sécurité > Authentification a deux facteurs
2. Choisissez « Application d’authentification »
3. Scannez le QR code
4. Note : le 2FA par SMS est devenu payant (Twitter Blue). L’application TOTP reste gratuite

LinkedIn

1. Paramètres > Connexion et sécurité > Vérification en deux étapes
2. Choisissez « Application d’authentification »
3. Suivez les instructions pour scanner le QR code

Microsoft (Outlook, Office 365)

1. account.microsoft.com > Sécurité > Vérification en deux étapes
2. Installez Microsoft Authenticator ou utilisez Google Authenticator
3. Microsoft Authenticator offre la connexion sans mot de passe (notification push)

WordPress (votre site)

Protegez l’accès administrateur de votre site WordPress :

• Installez le plugin WP 2FA (gratuit) ou Wordfence (2FA inclus)
• Activez le 2FA pour tous les comptes administrateurs
• Forcez le 2FA pour tous les editeurs si vous avez une équipe

Hébergement web (cPanel, Plesk)

• cPanel : Sécurité > Authentification a deux facteurs > Activer
• Protegez l’accès a votre hébergement car il contrôle tout votre site et vos emails

Gérer les codes de récupération

Les codes de récupération sont votre bouee de sauvetage si vous perdez l’accès a votre application 2FA :

• Imprimez-les et rangez-les dans un endroit sur (pas sur votre bureau, pas dans votre portefeuille)
• Stockez-les chiffres : dans un fichier 7-Zip protégé par mot de passe sur une clé USB
• Ne les stockez PAS en clair sur votre téléphone, dans vos emails ou sur Google Drive non chiffré
• Gestionnaire de mots de passe : Bitwarden peut stocker vos codes de récupération de maniere sécurisée

Que faire si vous perdez votre téléphone (et votre 2FA)

1. Codes de récupération : utilisez-les pour vous connecter et reconfigurer le 2FA sur un nouveau téléphone
2. Authy : si vous utilisez Authy, reinstallez-le sur un nouveau téléphone et recuperez vos comptes via la synchronisation cloud
3. Google Authenticator : depuis 2023, les codes sont sauvegardes dans votre compte Google. Reinstallez l’app et connectez-vous
4. Contacts de confiance Facebook : utilisez-les pour récupérer votre compte
5. En dernier recours : contactez le support de chaque service avec une preuve d’identité

2FA pour les entreprises au Sénégal

• Imposez le 2FA a tous les employes pour les emails professionnels (Google Workspace ou Microsoft 365 le permettent dans la console admin)
• Comptes partagés : pour les comptes réseaux sociaux de l’entreprise, utilisez Authy qui permet le multi-appareils
• Formation : formez les employes a utiliser Google Authenticator lors de l’onboarding
• Politique : integrez l’obligation du 2FA dans votre politique de sécurité informatique
• Cles physiques : pour les dirigeants et comptables qui gerent des comptes financiers, investissez dans des YubiKey

Erreurs fréquentes

1. Stocker les codes de secours dans Gmail

Cause : on enregistre les backup codes Google dans un email à soi-même. Si quelqu’un compromet votre Gmail (le scénario même que la 2FA tente d’éviter), il accède aux codes et désactive la 2FA.

Solution : stockez les codes dans Bitwarden (entrée « Note sécurisée ») ou imprimés dans un coffre. JAMAIS en clair dans le service que vous protégez.

2. Authy desktop : l’app a été abandonnée en 2024

Cause : Twilio a arrêté Authy pour Windows/Mac/Linux en mars 2024. Les codes ne sont plus accessibles que sur mobile.

Solution : Authy mobile fonctionne toujours. Pour avoir une option desktop, migrez vers 2FAS (open source) ou Aegis Authenticator sur Android.

3. Activer 2FA SMS sur le téléphone qu’on perd

Cause : 2FA SMS sur le téléphone qui contient l’app Bitwarden. Si vous perdez le téléphone, vous perdez à la fois le mot de passe et le 2FA — accès impossible.

Solution : séparez les facteurs : 2FA via app TOTP installée sur le téléphone, codes de secours imprimés en coffre, mot de passe maître Bitwarden noté sur papier en lieu sûr.

4. Ne pas tester la récupération avant l’urgence

Cause : on configure la 2FA mais on ne vérifie jamais que les codes de secours fonctionnent. Le jour où on les utilise, surprise : ils étaient pour un autre service.

Solution : tous les 6 mois, testez UN code de secours par service critique (Gmail, Microsoft, Bitwarden). Régénérez ensuite la liste pour invalider l’ancienne.

5. Activer 2FA sur compte Bitwarden sans clé physique

Cause : on active la 2FA TOTP sur Bitwarden avec Google Authenticator… stocké dans Bitwarden. Boucle : pas d’accès à Bitwarden = pas d’accès au TOTP = blocage total.

Solution : pour Bitwarden et autres comptes critiques, utilisez une clé physique YubiKey (~20 000 FCFA) ou un second appareil totalement séparé. Et conservez les codes de secours imprimés.

Checklist 2FA

• Google Authenticator ou Authy installé
• 2FA activé sur Google/Gmail
• 2FA activé sur Facebook
• Vérification en deux étapes activée sur WhatsApp
• 2FA activé sur Instagram
• 2FA activé sur LinkedIn
• 2FA activé sur le compte Microsoft
• 2FA activé sur l’admin WordPress
• 2FA activé sur l’hébergement web
• 2FA activé sur les comptes bancaires en ligne
• Codes de récupération sauvegardes et ranges en lieu sur
• Méthode de récupération testee au moins une fois

Lectures complémentaires

• Créer des mots de passe inviolables — la 2FA n’est utile que sur un mot de passe déjà fort.
• Protéger votre WhatsApp — application directe du PIN 2FA WhatsApp.
• Détecter et éviter les arnaques au Sénégal — pour reconnaître les attaques que la 2FA bloque.
• Reconnaître un email de phishing — vecteur n°1 de vol de codes 2FA.
• Référence officielle : CISA — Multi-Factor Authentication.
• Outils gratuits open source : 2FAS (mobile + extension navigateur), Aegis Authenticator (Android).