Le 2FA : la protection qui bloque 99% des piratages
L’authentification a deux facteurs (2FA) ajoute une deuxieme vérification après votre mot de passe. Même si un attaquant connait votre mot de passe, il ne peut pas se connecter sans le deuxieme facteur. Google a confirme que le 2FA bloque 99,9% des attaques automatisees sur les comptes.
Au Sénégal, ou les piratages de comptes Facebook, WhatsApp et email sont en forte hausse, activer le 2FA sur tous vos comptes est devenu une nécessité absolue.
Les méthodes de 2FA classees par sécurité
| Méthode | Sécurité | Praticite | Cout | Recommandation |
|---|---|---|---|---|
| Clé physique (YubiKey) | Excellente | Moyenne | ~20 000 FCFA | Ideal pour les comptes critiques |
| Application TOTP | Très bonne | Bonne | Gratuit | Recommande pour tout le monde |
| Notification push | Bonne | Excellente | Gratuit | Pratique (Google, Microsoft) |
| SMS OTP | Moyenne | Bonne | Gratuit | Mieux que rien, mais vulnerable au SIM swapping |
| Email OTP | Faible | Moyenne | Gratuit | A éviter si possible |
Pourquoi éviter le SMS pour le 2FA au Sénégal
Le SMS est vulnerable au SIM swapping, une attaque particulierement repandue en Afrique de l’Ouest :
- Le fraudeur obtient un duplicata de votre SIM en agence (faux documents ou complicite interne)
- Il recoit tous vos SMS, y compris les codes 2FA
- Il accédé a vos comptes malgre le 2FA par SMS
- Solution : utilisez une application d’authentification (Google Authenticator, Authy) plutôt que le SMS
Configurer Google Authenticator
- Installez Google Authenticator depuis le Play Store ou App Store
- Quand un site vous demande de configurer le 2FA TOTP, il affiche un QR code
- Ouvrez Google Authenticator > appuyez sur « + » > « Scanner un QR code »
- Scannez le QR code. L’application genere maintenant des codes a 6 chiffres qui changent toutes les 30 secondes
- Entrez le code affiche pour confirmer la configuration
- IMPORTANT : sauvegardez les codes de récupération donnes par le site. Si vous perdez votre téléphone, ces codes sont le seul moyen de récupérer l’accès
Google Authenticator vs Authy
| Fonctionnalité | Google Authenticator | Authy |
|---|---|---|
| Sauvegarde cloud | Oui (depuis 2023) | Oui (chiffree) |
| Multi-appareils | Non | Oui (synchronise entre téléphone et PC) |
| Fonctionne hors ligne | Oui | Oui |
| Open source | Non | Non |
| Simplicite | Très simple | Correct |
Conseil : si vous avez peur de perdre votre téléphone, choisissez Authy qui synchronise vos codes entre plusieurs appareils. Sinon, Google Authenticator est plus simple.
Configurer le 2FA sur chaque plateforme
Google / Gmail
- Allez sur myaccount.google.com > Sécurité > Validation en 2 étapes
- Cliquez sur « Commencer »
- Google propose d’abord les notifications push (Google Prompt) : acceptez
- Ajoutez l’application d’authentification comme méthode supplementaire
- Telechargez les codes de secours et rangez-les en lieu sur
- Paramètres > Sécurité et connexion > Authentification a deux facteurs
- Choisissez « Application d’authentification »
- Scannez le QR code avec Google Authenticator
- Entrez le code de vérification
- Configurez aussi les « Contacts de confiance » en cas de perte d’accès
- Paramètres > Compte > Vérification en deux étapes
- Activez et definissez un code PIN a 6 chiffres
- Ajoutez une adresse email de récupération
- WhatsApp demandera periodiquement ce PIN pour vérifier que c’est bien vous
- Note : ce n’est pas un TOTP classique mais une protection spécifique a WhatsApp contre le vol de compte
- Paramètres > Sécurité > Authentification a deux facteurs
- Choisissez « Application d’authentification »
- Scannez le QR code avec Google Authenticator
- Sauvegardez les codes de récupération
Twitter / X
- Paramètres > Sécurité et accès au compte > Sécurité > Authentification a deux facteurs
- Choisissez « Application d’authentification »
- Scannez le QR code
- Note : le 2FA par SMS est devenu payant (Twitter Blue). L’application TOTP reste gratuite
- Paramètres > Connexion et sécurité > Vérification en deux étapes
- Choisissez « Application d’authentification »
- Suivez les instructions pour scanner le QR code
Microsoft (Outlook, Office 365)
- account.microsoft.com > Sécurité > Vérification en deux étapes
- Installez Microsoft Authenticator ou utilisez Google Authenticator
- Microsoft Authenticator offre la connexion sans mot de passe (notification push)
WordPress (votre site)
Protegez l’accès administrateur de votre site WordPress :
- Installez le plugin WP 2FA (gratuit) ou Wordfence (2FA inclus)
- Activez le 2FA pour tous les comptes administrateurs
- Forcez le 2FA pour tous les editeurs si vous avez une équipe
Hébergement web (cPanel, Plesk)
- cPanel : Sécurité > Authentification a deux facteurs > Activer
- Protegez l’accès a votre hébergement car il contrôle tout votre site et vos emails
Gérer les codes de récupération
Les codes de récupération sont votre bouee de sauvetage si vous perdez l’accès a votre application 2FA :
- Imprimez-les et rangez-les dans un endroit sur (pas sur votre bureau, pas dans votre portefeuille)
- Stockez-les chiffres : dans un fichier 7-Zip protégé par mot de passe sur une clé USB
- Ne les stockez PAS en clair sur votre téléphone, dans vos emails ou sur Google Drive non chiffré
- Gestionnaire de mots de passe : Bitwarden peut stocker vos codes de récupération de maniere sécurisée
Que faire si vous perdez votre téléphone (et votre 2FA)
- Codes de récupération : utilisez-les pour vous connecter et reconfigurer le 2FA sur un nouveau téléphone
- Authy : si vous utilisez Authy, reinstallez-le sur un nouveau téléphone et recuperez vos comptes via la synchronisation cloud
- Google Authenticator : depuis 2023, les codes sont sauvegardes dans votre compte Google. Reinstallez l’app et connectez-vous
- Contacts de confiance Facebook : utilisez-les pour récupérer votre compte
- En dernier recours : contactez le support de chaque service avec une preuve d’identité
2FA pour les entreprises au Sénégal
- Imposez le 2FA a tous les employes pour les emails professionnels (Google Workspace ou Microsoft 365 le permettent dans la console admin)
- Comptes partagés : pour les comptes réseaux sociaux de l’entreprise, utilisez Authy qui permet le multi-appareils
- Formation : formez les employes a utiliser Google Authenticator lors de l’onboarding
- Politique : integrez l’obligation du 2FA dans votre politique de sécurité informatique
- Cles physiques : pour les dirigeants et comptables qui gerent des comptes financiers, investissez dans des YubiKey
Checklist 2FA
- Google Authenticator ou Authy installé
- 2FA activé sur Google/Gmail
- 2FA activé sur Facebook
- Vérification en deux étapes activée sur WhatsApp
- 2FA activé sur Instagram
- 2FA activé sur LinkedIn
- 2FA activé sur le compte Microsoft
- 2FA activé sur l’admin WordPress
- 2FA activé sur l’hébergement web
- 2FA activé sur les comptes bancaires en ligne
- Codes de récupération sauvegardes et ranges en lieu sur
- Méthode de récupération testee au moins une fois