ITSkillsCenter
Cybersécurité

Tutoriel : Configurer l’authentification à deux facteurs partout

5 min de lecture

Le 2FA : la protection qui bloque 99% des piratages

L’authentification a deux facteurs (2FA) ajoute une deuxieme verification apres votre mot de passe. Meme si un attaquant connait votre mot de passe, il ne peut pas se connecter sans le deuxieme facteur. Google a confirme que le 2FA bloque 99,9% des attaques automatisees sur les comptes.

Au Senegal, ou les piratages de comptes Facebook, WhatsApp et email sont en forte hausse, activer le 2FA sur tous vos comptes est devenu une necessite absolue.

Les methodes de 2FA classees par securite

Methode Securite Praticite Cout Recommandation
Cle physique (YubiKey) Excellente Moyenne ~20 000 FCFA Ideal pour les comptes critiques
Application TOTP Tres bonne Bonne Gratuit Recommande pour tout le monde
Notification push Bonne Excellente Gratuit Pratique (Google, Microsoft)
SMS OTP Moyenne Bonne Gratuit Mieux que rien, mais vulnerable au SIM swapping
Email OTP Faible Moyenne Gratuit A eviter si possible

Pourquoi eviter le SMS pour le 2FA au Senegal

Le SMS est vulnerable au SIM swapping, une attaque particulierement repandue en Afrique de l’Ouest :

  • Le fraudeur obtient un duplicata de votre SIM en agence (faux documents ou complicite interne)
  • Il recoit tous vos SMS, y compris les codes 2FA
  • Il accede a vos comptes malgre le 2FA par SMS
  • Solution : utilisez une application d’authentification (Google Authenticator, Authy) plutot que le SMS

Configurer Google Authenticator

  1. Installez Google Authenticator depuis le Play Store ou App Store
  2. Quand un site vous demande de configurer le 2FA TOTP, il affiche un QR code
  3. Ouvrez Google Authenticator > appuyez sur « + » > « Scanner un QR code »
  4. Scannez le QR code. L’application genere maintenant des codes a 6 chiffres qui changent toutes les 30 secondes
  5. Entrez le code affiche pour confirmer la configuration
  6. IMPORTANT : sauvegardez les codes de recuperation donnes par le site. Si vous perdez votre telephone, ces codes sont le seul moyen de recuperer l’acces

Google Authenticator vs Authy

Fonctionnalite Google Authenticator Authy
Sauvegarde cloud Oui (depuis 2023) Oui (chiffree)
Multi-appareils Non Oui (synchronise entre telephone et PC)
Fonctionne hors ligne Oui Oui
Open source Non Non
Simplicite Tres simple Correct

Conseil : si vous avez peur de perdre votre telephone, choisissez Authy qui synchronise vos codes entre plusieurs appareils. Sinon, Google Authenticator est plus simple.

Configurer le 2FA sur chaque plateforme

Google / Gmail

  1. Allez sur myaccount.google.com > Securite > Validation en 2 etapes
  2. Cliquez sur « Commencer »
  3. Google propose d’abord les notifications push (Google Prompt) : acceptez
  4. Ajoutez l’application d’authentification comme methode supplementaire
  5. Telechargez les codes de secours et rangez-les en lieu sur

Facebook

  1. Parametres > Securite et connexion > Authentification a deux facteurs
  2. Choisissez « Application d’authentification »
  3. Scannez le QR code avec Google Authenticator
  4. Entrez le code de verification
  5. Configurez aussi les « Contacts de confiance » en cas de perte d’acces

WhatsApp

  1. Parametres > Compte > Verification en deux etapes
  2. Activez et definissez un code PIN a 6 chiffres
  3. Ajoutez une adresse email de recuperation
  4. WhatsApp demandera periodiquement ce PIN pour verifier que c’est bien vous
  5. Note : ce n’est pas un TOTP classique mais une protection specifique a WhatsApp contre le vol de compte

Instagram

  1. Parametres > Securite > Authentification a deux facteurs
  2. Choisissez « Application d’authentification »
  3. Scannez le QR code avec Google Authenticator
  4. Sauvegardez les codes de recuperation

Twitter / X

  1. Parametres > Securite et acces au compte > Securite > Authentification a deux facteurs
  2. Choisissez « Application d’authentification »
  3. Scannez le QR code
  4. Note : le 2FA par SMS est devenu payant (Twitter Blue). L’application TOTP reste gratuite

LinkedIn

  1. Parametres > Connexion et securite > Verification en deux etapes
  2. Choisissez « Application d’authentification »
  3. Suivez les instructions pour scanner le QR code

Microsoft (Outlook, Office 365)

  1. account.microsoft.com > Securite > Verification en deux etapes
  2. Installez Microsoft Authenticator ou utilisez Google Authenticator
  3. Microsoft Authenticator offre la connexion sans mot de passe (notification push)

WordPress (votre site)

Protegez l’acces administrateur de votre site WordPress :

  • Installez le plugin WP 2FA (gratuit) ou Wordfence (2FA inclus)
  • Activez le 2FA pour tous les comptes administrateurs
  • Forcez le 2FA pour tous les editeurs si vous avez une equipe

Hebergement web (cPanel, Plesk)

  • cPanel : Securite > Authentification a deux facteurs > Activer
  • Protegez l’acces a votre hebergement car il controle tout votre site et vos emails

Gerer les codes de recuperation

Les codes de recuperation sont votre bouee de sauvetage si vous perdez l’acces a votre application 2FA :

  • Imprimez-les et rangez-les dans un endroit sur (pas sur votre bureau, pas dans votre portefeuille)
  • Stockez-les chiffres : dans un fichier 7-Zip protege par mot de passe sur une cle USB
  • Ne les stockez PAS en clair sur votre telephone, dans vos emails ou sur Google Drive non chiffre
  • Gestionnaire de mots de passe : Bitwarden peut stocker vos codes de recuperation de maniere securisee

Que faire si vous perdez votre telephone (et votre 2FA)

  1. Codes de recuperation : utilisez-les pour vous connecter et reconfigurer le 2FA sur un nouveau telephone
  2. Authy : si vous utilisez Authy, reinstallez-le sur un nouveau telephone et recuperez vos comptes via la synchronisation cloud
  3. Google Authenticator : depuis 2023, les codes sont sauvegardes dans votre compte Google. Reinstallez l’app et connectez-vous
  4. Contacts de confiance Facebook : utilisez-les pour recuperer votre compte
  5. En dernier recours : contactez le support de chaque service avec une preuve d’identite

2FA pour les entreprises au Senegal

  • Imposez le 2FA a tous les employes pour les emails professionnels (Google Workspace ou Microsoft 365 le permettent dans la console admin)
  • Comptes partages : pour les comptes reseaux sociaux de l’entreprise, utilisez Authy qui permet le multi-appareils
  • Formation : formez les employes a utiliser Google Authenticator lors de l’onboarding
  • Politique : integrez l’obligation du 2FA dans votre politique de securite informatique
  • Cles physiques : pour les dirigeants et comptables qui gerent des comptes financiers, investissez dans des YubiKey

Checklist 2FA

  • Google Authenticator ou Authy installe
  • 2FA active sur Google/Gmail
  • 2FA active sur Facebook
  • Verification en deux etapes activee sur WhatsApp
  • 2FA active sur Instagram
  • 2FA active sur LinkedIn
  • 2FA active sur le compte Microsoft
  • 2FA active sur l’admin WordPress
  • 2FA active sur l’hebergement web
  • 2FA active sur les comptes bancaires en ligne
  • Codes de recuperation sauvegardes et ranges en lieu sur
  • Methode de recuperation testee au moins une fois
#2fa #authentification #sécurité
Besoin d'un site web ?

Confiez-nous la Création de Votre Site Web

Site vitrine, e-commerce ou application web — nous transformons votre vision en réalité digitale. Accompagnement personnalisé de A à Z.

À partir de 350.000 FCFA
Parlons de Votre Projet
Publicité

Articles Similaires