Trois applications gratuites. Une seule couche de sécurité critique. Google Authenticator, Authy et Microsoft Authenticator protègent des centaines de millions de comptes en ligne, mais leurs différences en matière de sauvegarde, de chiffrement et de récupération peuvent décider si vous perdez l’accès à vos services, ou si un attaquant y accède à votre place. La violation de données Authy de juin 2024, qui a exposé 33 millions de numéros de téléphone via un point de terminaison non authentifié (CVE-2024-39891), a remis la question de fond sur la table : votre générateur TOTP est-il vraiment sécurisé ?
Ce comparatif analyse les trois leaders de l’authentification à deux facteurs sous l’angle de la sécurité, de la portabilité, de la récupération et des besoins entreprise, avec des données techniques précises tirées du standard RFC 6238 et des rapports d’incidents publics. Le verdict est inclus pour chaque profil d’utilisation.
Ce que mesure ce comparatif
L’authentification à deux facteurs (2FA) par application génératrice de codes TOTP (Time-based One-Time Password) représente aujourd’hui la méthode 2FA la plus déployée après les SMS, mais aussi la plus sécurisée parmi les options grand public. Contrairement aux codes par SMS, vulnérables au SIM swapping, les codes TOTP sont générés localement sur votre appareil sans passer par un réseau mobile. L’objectif de ce comparatif est triple : identifier laquelle des trois applications offre le meilleur compromis sécurité, portabilité et récupération pour les particuliers ; laquelle convient à un déploiement enterprise ; et laquelle résiste le mieux à un scénario de perte ou de vol de téléphone.
Les critères évalués sont : la sécurité du chiffrement des sauvegardes, la gestion multi-appareils, la récupération après perte de téléphone, la compatibilité plateforme, les fonctionnalités entreprise, la transparence face aux incidents de sécurité, et la conformité au standard TOTP (RFC 6238 / RFC 4226).
Le standard TOTP expliqué : RFC 6238 et HMAC-SHA-1
Avant de comparer les applications, comprendre le standard qu’elles implémentent est indispensable. Le TOTP (RFC 6238, publié en 2011) est une extension du standard HOTP (RFC 4226, HMAC-based One-Time Password). Le principe : un secret partagé entre le service et l’application, combiné à l’heure Unix arrondie à 30 secondes, génère un code à 6 chiffres via la fonction HMAC-SHA-1. Ce code change toutes les 30 secondes et n’est valide qu’une seule fois.
Paramètres techniques du standard RFC 6238 :
- Algorithme de hachage par défaut : HMAC-SHA-1 (SHA-256 et SHA-512 également autorisés par le RFC)
- Pas de temps : 30 secondes (configurable, mais 30 s est universel en pratique)
- Longueur du code : 6 chiffres par défaut (8 chiffres autorisés)
- Secret partagé : encodé en Base32, typiquement 80 à 160 bits
- Tolérance de dérive : 1 intervalle avant/après (soit ±30 secondes) pour les horloges désynchronisées
- Fonctionnement hors ligne : aucune connexion réseau requise pour générer un code
Les trois applications de ce comparatif implémentent toutes RFC 6238 de manière interopérable : un code généré sur Google Authenticator fonctionne exactement de la même façon que celui généré sur Authy ou Microsoft Authenticator pour le même compte. La différence se situe dans la couche applicative, pas dans le protocole cryptographique sous-jacent. C’est ce qui rend la migration techniquement possible, tout en la rendant opérationnellement complexe.
Google Authenticator : simple, gratuit, mais les sauvegardes posent question
Google Authenticator est l’application 2FA de référence depuis son lancement en 2010. Son modèle repose sur la simplicité maximale. L’application génère des codes TOTP localement, sans compte obligatoire, sans synchronisation réseau forcée. Elle est disponible sur Android et iOS, entièrement gratuite, et supporte un nombre illimité de comptes. L’ajout d’un nouveau service se fait par scan d’un QR code ou saisie manuelle d’une clé secrète encodée en Base32, exactement conformément au standard otpauth:// de Google.
En mai 2023, Google a introduit la sauvegarde des secrets TOTP dans le compte Google de l’utilisateur, une fonctionnalité longtemps attendue par la communauté. Cette mise à jour a résolu le problème historique de Google Authenticator : la perte irrémédiable de l’accès à tous les comptes en cas de perte ou de remplacement du téléphone. Cependant, la publication de cette fonctionnalité a déclenché une critique sérieuse et documentée de la part de chercheurs en sécurité : la sauvegarde des secrets TOTP dans le cloud Google ne s’effectue pas avec un chiffrement de bout en bout. Wirecutter, publication de référence en matière de technologie grand public, a explicitement confirmé que Google n’utilise pas le chiffrement de bout en bout pour ces sauvegardes cloud.
Ce que cela signifie concrètement : Google peut techniquement accéder aux secrets TOTP sauvegardés dans les serveurs Google. En cas de compromission du compte Google de l’utilisateur par un attaquant, les secrets 2FA stockés en sauvegarde sont potentiellement accessibles. La question n’est pas théorique : un attaquant qui obtient un accès persistant à un compte Google bénéficie d’une visibilité sur les secrets 2FA de tous les services configurés. En 2025, Google a annoncé travailler sur l’implémentation du chiffrement de bout en bout pour ces sauvegardes, sans date de déploiement public confirmée à la date de publication de cet article (juin 2026). Les instructions de configuration officielle sont disponibles via la page d’aide Google Authenticator.
Côté fonctionnalités positives : Google Authenticator intègre le déverrouillage biométrique (empreinte digitale, reconnaissance faciale selon le modèle de téléphone) pour protéger l’accès à l’application. Le transfert de comptes entre appareils Android fonctionne via un QR code généré dans l’application, permettant une migration manuelle contrôlée. L’application gère les codes TOTP et HOTP (counter-based), même si HOTP est rarement utilisé en pratique par les services modernes.
Points forts et limites de Google Authenticator
Points forts : interface épurée et accessible à tous profils, aucun compte obligatoire en mode local, déverrouillage biométrique, disponible sur iOS et Android, compatible avec l’ensemble des services qui supportent TOTP, aucune limite sur le nombre de comptes configurés.
Limites : pas d’application desktop native, pas de synchronisation multi-appareils sans compte Google actif, sauvegarde cloud sans chiffrement E2E (confirmé par Wirecutter), pas de fonctionnalités entreprise dédiées, récupération après perte de téléphone complexe sans sauvegarde préalable activée.
Authy : la fuite de 33 millions de numéros qui a tout changé
Authy, développée par Twilio, était longtemps considérée comme l’alternative supérieure à Google Authenticator grâce à sa synchronisation multi-appareils native et sa sauvegarde chiffrée de bout en bout. L’application permettait d’utiliser les mêmes codes TOTP sur plusieurs téléphones, tablettes ou ordinateurs simultanément, avec une sauvegarde chiffrée dans le cloud Twilio dont la clé reste exclusivement entre les mains de l’utilisateur. En juin 2024, cette réputation a été sérieusement mise à l’épreuve par un incident de sécurité majeur.
Le 26 juin 2024, Twilio a confirmé qu’un acteur malveillant avait exploité un point de terminaison API non authentifié pour énumérer les données associées aux comptes Authy. L’exploitation de cette vulnérabilité, référencée CVE-2024-39891, a exposé les informations suivantes pour chaque compte affecté : numéro de téléphone, identifiant de compte Authy, statut du compte (actif ou inactif), et nombre d’appareils enregistrés. Selon le rapport d’incident publié par Twilio, le volume de données exposées s’élevait à 33 millions de numéros de téléphone.
Ce qui n’a pas été compromis dans cet incident : les secrets TOTP eux-mêmes, les mots de passe des comptes Authy, ni les données d’authentification des services protégés par Authy. L’attaquant n’a pas pu accéder aux codes générés ni aux clés secrètes sous-jacentes, qui restaient chiffrées avec le Backup Password de l’utilisateur. Twilio a corrigé le point de terminaison vulnérable dans les 24 heures suivant la découverte et a invité les utilisateurs à mettre à jour l’application vers la version la plus récente. Cependant, les 33 millions de numéros de téléphone exposés représentent un risque non négligeable : ces données permettent aux attaquants de cibler des opérations de SIM swapping ou des campagnes de phishing très précisément ciblées contre des utilisateurs 2FA actifs.
Troy Hunt, chercheur en sécurité fondateur de Have I Been Pwned, a intégré les données de la fuite Authy dans sa base pour permettre aux utilisateurs affectés de vérifier si leur numéro figure parmi les données exposées. Troy Hunt a commenté l’incident en soulignant que même si les secrets TOTP n’ont pas été exposés directement, la fuite de numéros de téléphone associés à des comptes 2FA actifs constitue une information précieuse pour les attaquants qui pratiquent le SIM swapping : ils savent désormais quels numéros sont associés à des comptes protégés par Authy, ce qui facilite le ciblage.
Les fonctionnalités qui ont fait la réputation d’Authy
Avant et après l’incident, Authy conserve plusieurs avantages fonctionnels distincts. La sauvegarde chiffrée dans le cloud utilise une clé dérivée d’un “Backup Password” que l’utilisateur définit séparément du compte Twilio. Cette clé n’est jamais transmise aux serveurs Twilio. Les données chiffrées stockées sur les serveurs Twilio sont donc inutilisables sans le Backup Password, même pour Twilio. Ce modèle est architecturalement robuste, mais dépend entièrement de la qualité du mot de passe de sauvegarde choisi par l’utilisateur et de sa capacité à le mémoriser.
La synchronisation multi-appareils est l’atout historique d’Authy : les mêmes codes TOTP sont disponibles simultanément sur tous les appareils enregistrés, qu’il s’agisse de plusieurs smartphones, tablettes ou, jusqu’en mars 2024, d’applications desktop. En 2024, Twilio a annoncé la fin du support des applications desktop Authy (Windows, macOS, Linux), qui ne sont plus disponibles en téléchargement depuis le 19 mars 2024. Cette suppression a déçu une partie de la communauté qui utilisait Authy comme solution centralisée sur ordinateur. L’application Authy mobile supporte également watchOS, permettant d’afficher les codes directement sur une Apple Watch, une fonctionnalité qu’aucune des deux autres applications comparées ne propose.
Concernant la gestion des tokens : Authy ne supporte que le format TOTP (RFC 6238) et ne permet pas l’export des secrets vers d’autres applications. Cette restriction délibérée crée une dépendance à l’écosystème Authy qui a régulièrement fait l’objet de critiques dans la communauté sécurité.
Microsoft Authenticator : la solution entreprise par excellence
Microsoft Authenticator s’impose comme la solution de référence pour les environnements d’entreprise utilisant Microsoft 365, Azure Active Directory (rebaptisé Microsoft Entra ID) ou tout service Microsoft. Au-delà de la génération de codes TOTP standard, l’application offre des fonctionnalités qui la distinguent nettement des deux autres dans un contexte professionnel.
La fonctionnalité la plus distinctive de Microsoft Authenticator est le push d’approbation : au lieu de saisir un code à 6 chiffres, l’utilisateur reçoit une notification push sur son téléphone demandant d’approuver ou refuser une connexion. Ce mécanisme est plus rapide et plus convivial que la saisie manuelle d’un code TOTP. Il inclut des informations contextuelles (localisation approximative, application utilisée) pour aider l’utilisateur à détecter les tentatives d’intrusion. Microsoft a renforcé ce dispositif avec le “number matching” : l’utilisateur doit saisir sur son téléphone le numéro affiché à l’écran de connexion, empêchant les attaques de type MFA fatigue où un attaquant bombarde l’utilisateur de demandes d’approbation push jusqu’à ce qu’il en accepte une par inadvertance ou épuisement.
Microsoft Authenticator prend également en charge Microsoft Verified ID, un système d’identité décentralisée basé sur des Verifiable Credentials (standard W3C), et le stockage de mots de passe, adresses et informations de paiement via le gestionnaire de mots de passe Microsoft intégré. La sauvegarde des comptes TOTP tiers s’effectue via iCloud sur iOS et Microsoft Cloud sur Android, avec protection biométrique de l’accès à l’application.
Pour les organisations, Microsoft Authenticator est gratuit en tant qu’application mobile. Les fonctionnalités d’authentification avancées liées à Microsoft Entra ID, notamment la gestion des politiques d’accès conditionnel, l’authentification sans mot de passe et les rapports d’authentification détaillés, nécessitent une licence Entra ID P1 (environ 6 euros par utilisateur par mois) ou Entra ID P2 (environ 9 euros par utilisateur par mois). La plupart des abonnements Microsoft 365 Business incluent déjà Entra ID P1.
Authentification sans mot de passe avec Microsoft
Microsoft Authenticator est la pièce centrale de la stratégie “passwordless” de Microsoft. Avec la configuration appropriée dans Entra ID, les utilisateurs peuvent se connecter aux services Microsoft uniquement via leur téléphone et leur biométrie, sans jamais saisir de mot de passe. Ce flux d’authentification sans mot de passe est disponible pour les comptes Microsoft personnels et professionnels. Pour les organisations cherchant à réduire l’exposition au phishing de mots de passe, c’est un avantage décisif que les deux autres applications de ce comparatif ne peuvent pas égaler. Notre article sur la double authentification dans Node.js détaille l’implémentation côté serveur pour les développeurs.
Tableau comparatif complet : 16 critères
Les données du tableau ci-dessous sont issues des spécifications officielles des éditeurs et des sources vérifiées citées dans cet article (juin 2026).
| Critère | Google Authenticator | Authy | Microsoft Authenticator |
|---|---|---|---|
| Prix | Gratuit | Gratuit | Gratuit |
| iOS | Oui | Oui | Oui |
| Android | Oui | Oui | Oui |
| Application desktop | Non | Non (supprimé mars 2024) | Non (extension navigateur disponible) |
| Apple Watch (watchOS) | Non | Oui | Non |
| Sauvegarde cloud | Via compte Google | Via serveurs Twilio (E2E) | Via Microsoft Cloud / iCloud |
| Chiffrement E2E des sauvegardes | Non (confirmé Wirecutter 2023) | Oui (Backup Password séparé) | Non documenté pour TOTP tiers |
| Synchronisation multi-appareils | Via compte Google uniquement | Oui (natif, tous appareils) | Oui (via compte Microsoft) |
| Déverrouillage biométrique | Oui | Oui | Oui |
| Notifications push d’approbation | Non | Non | Oui (comptes Microsoft) |
| Standard TOTP (RFC 6238) | Oui | Oui | Oui |
| Support HOTP (RFC 4226) | Oui | Non | Non |
| Authentification sans mot de passe | Non | Non | Oui (écosystème Microsoft) |
| Fonctionnalités enterprise | Limitées | Limitées | Complètes (Entra ID P1/P2) |
| Export des secrets TOTP | Transfert interne uniquement | Non disponible | Partiel |
| Open source | Non | Non | Non |
| Incident de sécurité documenté (2022-2026) | Aucun | CVE-2024-39891 (33M numéros) | Aucun |
| Stockage de mots de passe intégré | Non | Non | Oui |
Sécurité et chiffrement : analyse technique détaillée
La sécurité d’une application 2FA repose sur plusieurs couches. La première, le protocole TOTP lui-même, est identique et standardisée (RFC 6238) pour les trois applications. Les différences se situent dans la couche applicative : comment les secrets TOTP sont stockés localement, comment ils sont sauvegardés dans le cloud, et quel niveau d’accès l’éditeur conserve sur ces données.
Google Authenticator : En mode sans compte Google, les secrets TOTP sont stockés uniquement sur l’appareil, dans le stockage sécurisé Android ou iOS (Android Keystore / Secure Enclave iOS). Aucune donnée ne quitte le téléphone. C’est le mode le plus sécurisé en termes d’exposition au cloud, mais aussi le plus risqué en cas de perte d’appareil. Avec la sauvegarde Google activée, les secrets sont synchronisés dans le compte Google sans chiffrement de bout en bout : Google détient techniquement les clés de déchiffrement. Pour les utilisateurs à haut risque (journalistes, activistes, cibles étatiques), ce mode de sauvegarde est déconseillé par l’ANSSI et les praticiens de la sécurité opérationnelle.
Authy : La sauvegarde chiffrée d’Authy utilise une architecture distincte. Les secrets TOTP sont chiffrés sur l’appareil avec une clé dérivée d’un “Backup Password” que l’utilisateur définit séparément de son compte Twilio. Cette clé n’est jamais transmise aux serveurs Twilio. Les données chiffrées stockées chez Twilio sont donc inutilisables sans le Backup Password. Ce modèle est robuste architecturalement, mais son efficacité dépend de la qualité du mot de passe de sauvegarde. Un Backup Password faible ou réutilisé annule les bénéfices du chiffrement E2E. Par ailleurs, la récupération de compte nécessite l’accès au numéro de téléphone enregistré, ce qui réintroduit la vulnérabilité au SIM swapping dans le processus de récupération, même si pas dans la génération des codes elle-même.
Microsoft Authenticator : La sauvegarde concerne les comptes TOTP tiers (non-Microsoft). Elle s’effectue via iCloud sur iOS ou Microsoft Cloud sur Android. La documentation Microsoft ne spécifie pas explicitement si le chiffrement de bout en bout s’applique aux sauvegardes des comptes TOTP tiers dans ce flux. Pour les comptes Microsoft eux-mêmes, les credentials sont gérés par l’infrastructure d’identité Microsoft Entra ID, avec des protections au niveau de l’infrastructure cloud enterprise, des journaux d’audit, et des alertes de connexion suspecte.
Récupération après perte de téléphone : le test décisif
Le scénario de perte ou de vol du téléphone est le vrai test d’une application 2FA. C’est là que les différences architecturales deviennent concrètes et que les utilisateurs réalisent souvent trop tard l’importance de la préparation.
Avec Google Authenticator : Si la sauvegarde Google est activée, l’installation de Google Authenticator sur un nouvel appareil et la connexion au même compte Google restaure automatiquement tous les comptes TOTP. Si la sauvegarde n’est pas activée, ou si le compte Google lui-même est compromis, la récupération doit passer par les codes de secours fournis par chaque service au moment de l’activation du 2FA. Ces codes doivent être conservés hors ligne au moment de la configuration initiale. Pour en savoir plus sur la gestion sécurisée des accès, notre comparatif Passkeys vs Mots de passe détaille les alternatives à long terme.
Avec Authy : La récupération nécessite le numéro de téléphone associé au compte Authy ET le Backup Password défini lors de la configuration. Sur un nouvel appareil, l’installation d’Authy, la vérification du numéro de téléphone par SMS ou appel, et la saisie du Backup Password restaurent l’ensemble des comptes configurés. Ce mécanisme est robuste mais dépend de l’accès au numéro de téléphone d’origine. Un attaquant ayant réussi un SIM swapping peut potentiellement déclencher une restauration sur son propre appareil.
Avec Microsoft Authenticator : La récupération des comptes Microsoft passe par le compte Microsoft (flux de réinitialisation d’identité Microsoft). Les comptes TOTP tiers sauvegardés via iCloud ou Microsoft Cloud sont restaurés depuis le cloud lors de la réinstallation. Pour les environnements d’entreprise, les administrateurs Entra ID peuvent réinitialiser les facteurs d’authentification d’un utilisateur depuis le portail d’administration, sans intervention de l’utilisateur sur l’ancien téléphone.
| Scénario | Google Authenticator | Authy | Microsoft Authenticator |
|---|---|---|---|
| Perte téléphone, sauvegarde active | Restauration auto via compte Google | Restauration via numéro tel + Backup Password | Restauration via compte Microsoft / iCloud |
| Perte téléphone, sans sauvegarde | Codes de secours service par service | Impossible sans Backup Password | Admin Entra peut réinitialiser |
| Compte principal compromis | Risque élevé : secrets potentiellement accessibles | Non-critique : E2E protège les secrets | Via Microsoft Entra Identity Protection |
| Attaque SIM swapping | Non affecté (pas de vérif. par SMS pour les codes) | Risque de récupération frauduleuse | Non affecté pour la génération TOTP tiers |
| Perte du Backup Password | N/A | Perte définitive des sauvegardes Authy | N/A |
Cinq cas d’usage réels : qui devrait utiliser quoi ?
La meilleure application 2FA dépend du profil d’utilisation. Voici cinq scénarios concrets avec une recommandation argumentée pour chacun.
Cas 1 : L’utilisateur particulier avec un seul smartphone. Si vous gérez une dizaine de comptes en ligne (banque, email, réseaux sociaux, services cloud) sur un seul téléphone et que vous n’avez pas de besoins de synchronisation multi-appareils, Google Authenticator couvre tous vos besoins. Sa simplicité d’utilisation est maximale, la sauvegarde via compte Google est pratique pour la récupération, et l’interface épurée limite les erreurs de manipulation. Activez la sauvegarde cloud et notez vos codes de secours sur papier lors de chaque nouvelle configuration 2FA.
Cas 2 : Le professionnel nomade qui travaille sur plusieurs appareils. Si vous utilisez régulièrement un smartphone et une tablette, ou si vous changez souvent de téléphone professionnel, la synchronisation native d’Authy reste la plus fluide des trois options, malgré la suppression de l’application desktop en 2024 et l’incident CVE-2024-39891. L’architecture de chiffrement E2E de la sauvegarde Authy offre une meilleure garantie de confidentialité que la sauvegarde Google. Configurez un Backup Password fort, unique, et stockez-le dans votre gestionnaire de mots de passe. Voir notre comparatif Bitwarden vs 1Password pour choisir le meilleur gestionnaire.
Cas 3 : L’employé d’une organisation Microsoft 365. Microsoft Authenticator s’impose sans discussion. Les notifications push avec number matching, l’authentification sans mot de passe pour les services Microsoft, et l’intégration native avec Entra ID réduisent la friction quotidienne tout en renforçant considérablement la sécurité. Votre service IT peut gérer les politiques d’authentification depuis un portail centralisé.
Cas 4 : Le journaliste, militant ou utilisateur à haut risque. Pour ce profil, aucune des trois applications cloud n’est idéale sans précautions supplémentaires. L’option la plus sécurisée est Google Authenticator en mode local sans sauvegarde cloud, combinée avec des codes de secours papier stockés en lieu sûr, ou mieux encore, une clé de sécurité physique FIDO2 pour les services qui le supportent. La sauvegarde cloud, quelle que soit l’application, introduit une surface d’attaque supplémentaire. L’ANSSI recommande les clés FIDO2 physiques pour les comptes d’administration et les utilisateurs à haut risque.
Cas 5 : La PME qui cherche à déployer le 2FA à toute l’équipe. Microsoft Authenticator avec Microsoft Entra ID est la solution la plus cohérente si la PME utilise déjà Microsoft 365. La gestion centralisée des facteurs d’authentification, les politiques d’accès conditionnel, et le support enterprise font la différence. Si la PME est indépendante de l’écosystème Microsoft, des solutions comme Duo Security (Cisco) méritent d’être étudiées. Notre article sur l’authentification avec Keycloak et OAuth 2.0 couvre les architectures d’authentification pour les équipes techniques.
Avis d’experts : ce que disent les spécialistes
Jeff Delaney, connu sous le nom de Fireship, développeur et créateur de contenus éducatifs suivi par plus de 3 millions d’abonnés sur YouTube, aborde régulièrement la question des applications 2FA dans ses vidéos sur la sécurité web. Sa position récurrente est que la 2FA par application TOTP est significativement plus sécurisée que la 2FA par SMS, mais qu’elle introduit un nouveau vecteur de risque : la sauvegarde des secrets dans le cloud sans contrôle utilisateur. Il préconise une approche “defense in depth” : application 2FA locale pour les comptes courants, combinée avec des clés FIDO2 physiques pour les infrastructures critiques et les comptes à privilèges élevés.
ThePrimeagen (Michael Paulson), développeur et streameur reconnu pour ses prises de position directes sur la sécurité et les outils pour développeurs, a exprimé des réserves sur les applications 2FA grand public qui synchronisent les secrets dans le cloud sans chiffrement E2E contrôlé par l’utilisateur. Sa recommandation pratique pour les développeurs : utiliser des gestionnaires de mots de passe avec génération TOTP intégrée (Bitwarden, 1Password), ce qui centralise le stockage chiffré des secrets et réduit la dépendance à une application 2FA séparée. Il reconnaît toutefois que pour les non-développeurs, la facilité d’utilisation prime sur l’architecture de sécurité théoriquement idéale.
MKBHD (Marques Brownlee), journaliste tech suivi par plus de 19 millions d’abonnés sur YouTube, a traité la sécurité des comptes dans le contexte de ses tests de smartphones haut de gamme. Son point de vue sur la 2FA est pragmatique : Microsoft Authenticator offre l’expérience utilisateur la plus fluide sur Android, notamment grâce aux notifications push qui suppriment la saisie manuelle de codes. Il souligne que la convivialité est un facteur de sécurité réel : une 2FA trop compliquée est souvent désactivée par les utilisateurs, ce qui est objectivement pire qu’une 2FA imparfaite mais activée et utilisée régulièrement.
Du côté institutionnel, l’ANSSI recommande l’utilisation d’applications 2FA locales pour les secrets les plus sensibles, avec une préférence explicite pour les clés de sécurité physiques FIDO2 pour les comptes d’administration. L’agence considère la 2FA par application comme acceptable pour les usages courants en entreprise, mais déconseille les solutions de sauvegarde cloud sans chiffrement E2E pour les données à caractère sensible ou les comptes à fort impact en cas de compromission.
Guide de migration : changer d’application 2FA sans perdre l’accès
Migrer d’une application 2FA à une autre est une opération délicate que de nombreux utilisateurs réalisent en urgence, souvent après une perte de téléphone. Voici la procédure recommandée pour une migration planifiée et sans risque.
Principe de base : ne jamais désactiver le 2FA sur l’ancienne application avant de l’avoir activé et testé sur la nouvelle. La migration doit se faire en parallèle, service par service, en maintenant les deux applications fonctionnelles pendant toute la durée de la transition.
Étape 1 : Installez la nouvelle application 2FA sur votre appareil. Elle peut coexister avec l’ancienne sans conflit.
Étape 2 : Pour chaque service à migrer, accédez aux paramètres de sécurité du compte. Désactivez temporairement le 2FA actuel en vous authentifiant avec l’ancienne application. Puis réactivez le 2FA en scannant le nouveau QR code avec la nouvelle application.
Étape 3 : Testez immédiatement le nouveau code généré par la nouvelle application en l’utilisant pour une connexion test au service avant de fermer la session de configuration.
Étape 4 : Téléchargez et conservez les nouveaux codes de secours fournis par le service lors de la reconfiguration 2FA. Ne réutilisez pas les anciens codes.
Étape 5 : Une fois tous les services migrés et testés, désinstallez l’ancienne application ou révoquez les configurations 2FA encore actives si l’application le permet.
Exception pour Google Authenticator : L’outil “Transférer des comptes” de Google Authenticator génère un QR code exportant tous les comptes vers un autre appareil exécutant Google Authenticator. Cette fonctionnalité ne fonctionne qu’entre deux instances de Google Authenticator et ne permet pas l’export vers Authy ou Microsoft Authenticator au format TOTP standard exportable.
Cas particulier Authy : Authy ne permet pas l’export des secrets TOTP en dehors de son écosystème. Pour quitter Authy vers Google Authenticator ou Microsoft Authenticator, vous devez reconfigurer le 2FA service par service en désactivant et réactivant manuellement la 2FA sur chaque compte. C’est la limitation la plus frustrante d’Authy et une raison valable de préférer une alternative plus portable dès le départ.
Alternatives à considérer en 2026
Au-delà des trois acteurs principaux, plusieurs alternatives méritent l’attention pour des profils spécifiques ou des exigences de transparence plus élevées.
Aegis Authenticator (Android uniquement) : Application open source disponible sur F-Droid et Google Play, avec export chiffré des secrets en AES-256-GCM. Le code source est auditable publiquement sur GitHub. C’est le choix privilégié des utilisateurs soucieux de la transparence et du contrôle total sur leurs données. Limitation principale : disponible uniquement sur Android, ce qui exclut les utilisateurs iOS.
2FAS Auth : Application open source disponible sur iOS et Android, avec sauvegarde vers iCloud ou Google Drive et extension navigateur pour remplissage automatique des codes 2FA. Option intéressante pour ceux qui veulent la simplicité de Google Authenticator avec l’avantage de la transparence du code source ouvert et une portabilité supérieure.
Bitwarden et 1Password avec TOTP intégré : Pour les utilisateurs de gestionnaires de mots de passe, l’intégration du générateur TOTP directement dans le gestionnaire est une option pragmatique. Bitwarden supporte la génération TOTP nativement en abonnement premium (10 dollars par an), tout comme 1Password (2,99 dollars par mois). Cette approche concentre les secrets dans un seul coffre chiffré, avec les avantages que cela implique pour la cohérence et les risques d’un point de défaillance unique. Notre comparatif Bitwarden vs 1Password détaille ces solutions.
Clés de sécurité physiques FIDO2 (YubiKey, Nitrokey) : Pour les comptes les plus critiques (infrastructure cloud, messagerie principale, gestion financière), les clés de sécurité physiques FIDO2 offrent une protection supérieure aux applications TOTP. Elles résistent au phishing car l’authentification est cryptographiquement liée à l’URL du service légitime, rendant les attaques de proxy man-in-the-middle inefficaces contre le 2FA lui-même. Les passkeys (FIDO2 sans clé physique) représentent l’évolution logique vers le grand public. Notre comparatif Passkeys vs Mots de passe détaille cette transition en cours.
Tableau des prix et fonctionnalités premium
| Application / Service | Version gratuite | Version payante | Fonctionnalités premium |
|---|---|---|---|
| Google Authenticator | Gratuit, toutes fonctionnalités | Aucune | N/A |
| Authy | Gratuit, toutes fonctionnalités (particuliers) | Aucune (particuliers) | N/A |
| Microsoft Authenticator | Gratuit (TOTP, push basique) | Via Entra ID P1 : ~6 €/utilisateur/mois | Accès conditionnel, rapports avancés, passwordless enterprise |
| Aegis Authenticator | Gratuit, open source (Android) | Aucune | N/A |
| 2FAS Auth | Gratuit, open source (iOS + Android) | Aucune | N/A |
| Bitwarden (TOTP intégré) | Limité (pas de TOTP) | 10 $/an (~9,20 €/an) | Génération TOTP, rapports de sécurité, partage de coffre |
| 1Password (TOTP intégré) | Non disponible | ~2,99 $/mois (~2,75 €/mois) | Génération TOTP, coffre partagé, audit de sécurité |
| YubiKey 5 NFC (FIDO2) | N/A (achat matériel) | ~55 € (achat unique) | FIDO2/WebAuthn, TOTP hardware, résistance au phishing totale |
Pros et cons récapitulatifs
Google Authenticator :
Pour : interface simple et accessible à tous profils, aucun compte obligatoire en mode local, déverrouillage biométrique, compatible avec tous les services TOTP, gratuit sans aucune limitation, stockage local sécurisé en mode sans sauvegarde.
Contre : sauvegarde cloud sans chiffrement E2E (confirmé Wirecutter), pas d’application desktop, synchronisation multi-appareils uniquement via compte Google, pas de fonctionnalités entreprise, récupération compliquée sans sauvegarde préalable activée.
Authy :
Pour : chiffrement E2E des sauvegardes avec Backup Password séparé (le seul des trois à proposer cela clairement), synchronisation multi-appareils native et fluide, support watchOS (Apple Watch), architecture de sauvegarde architecturalement solide.
Contre : violation CVE-2024-39891 (33 millions de numéros de téléphone exposés en 2024), application desktop supprimée en mars 2024, impossible d’exporter les secrets TOTP vers d’autres applications, dépendance au numéro de téléphone pour la récupération (risque SIM swapping).
Microsoft Authenticator :
Pour : push d’approbation avec number matching (contre MFA fatigue), authentification sans mot de passe pour l’écosystème Microsoft, meilleure intégration enterprise avec Entra ID, stockage de mots de passe intégré, aucun incident de sécurité documenté.
Contre : fonctionnalités avancées nécessitent une licence Entra ID P1 ou P2 (payant), valeur limitée hors écosystème Microsoft pour les entreprises, pas d’application desktop native, documentation de chiffrement des sauvegardes TOTP tiers peu transparente.
Verdict : quelle application choisir en juin 2026 ?
La réponse dépend de votre profil d’utilisation. Voici le verdict consolidé basé sur les données techniques et les incidents documentés de ce comparatif.
Pour la majorité des particuliers : Google Authenticator remporte le test de la simplicité et de l’accessibilité. Sa limite principale, la sauvegarde sans chiffrement E2E, peut être contournée en n’utilisant pas la sauvegarde cloud et en conservant les codes de secours de chaque service. Pour la plupart des comptes en ligne standards, cette approche offre un excellent rapport sécurité/praticité sans dépendance à des services tiers.
Pour les utilisateurs multi-appareils : Authy garde un avantage fonctionnel réel sur la synchronisation native, malgré l’incident de 2024 (qui n’a pas exposé les secrets TOTP eux-mêmes). La sauvegarde E2E d’Authy reste architecturalement supérieure à celle de Google Authenticator. Si la perte de l’application desktop en 2024 vous impact, 2FAS Auth ou Aegis Authenticator (Android) sont des alternatives open source sérieuses.
Pour les entreprises et organisations : Microsoft Authenticator avec Entra ID est la solution la plus complète pour les environnements Microsoft. Le push avec number matching, les politiques d’accès conditionnel, et la gestion centralisée des facteurs d’authentification justifient le coût de la licence Entra ID P1, déjà incluse dans la plupart des abonnements Microsoft 365 Business.
Pour les profils à haut risque : Aucune des trois applications cloud n’est suffisante seule. La combinaison recommandée est une clé FIDO2 physique pour les comptes critiques et Google Authenticator en mode local sans sauvegarde cloud pour les comptes secondaires. Les passkeys représentent l’évolution naturelle vers un modèle encore plus résistant au phishing à grande échelle.
En synthèse sur les données vérifiées : Authy est la seule des trois à avoir subi un incident documenté (CVE-2024-39891, 33 millions de numéros), Google Authenticator est la seule à ne pas offrir de chiffrement E2E explicitement documenté pour les sauvegardes cloud, et Microsoft Authenticator est la seule à proposer une authentification sans mot de passe dans un écosystème enterprise complet. Il n’existe pas de solution parfaite. Le bon choix dépend de vos contraintes, de votre environnement et de votre niveau d’exposition aux menaces.
Couverture connexe
Articles liés sur shattered.io
- Authentification à deux facteurs dans Node.js : 11 étapes [2026]
- Passkeys vs Mots de passe : 8,5 s vs 31 s de connexion [2026]
- Bitwarden vs 1Password : 10 $ vs 36 $ par an [2026]
- Signal vs WhatsApp vs Telegram : 3 Md vs 1 Md d’utilisateurs [2026]
- Authentification JWT dans Node.js : 10 étapes [2026]
- Keycloak dans Node.js : OAuth 2.0 et OpenID Connect en 12 étapes [2026]
FAQ : questions fréquentes sur les applications 2FA
Google Authenticator est-il sûr en 2026 ?
Oui, Google Authenticator est sûr pour la grande majorité des usages courants. Sa principale limitation est l’absence de chiffrement de bout en bout pour les sauvegardes cloud (confirmé par Wirecutter). Pour les comptes très sensibles, utilisez-le en mode local sans sauvegarde cloud et conservez des codes de secours papier pour chaque service configuré.
Authy est-il toujours fiable après la fuite de données de 2024 ?
La fuite CVE-2024-39891 a exposé 33 millions de numéros de téléphone, mais pas les secrets TOTP eux-mêmes. L’architecture de chiffrement E2E des sauvegardes Authy (avec Backup Password séparé) a correctement tenu. Cependant, si votre numéro figure parmi les données exposées et que vous êtes une cible potentielle, la vigilance face au SIM swapping s’impose lors de toute tentative de récupération de compte.
Peut-on utiliser Microsoft Authenticator sans compte Microsoft ?
Oui. Microsoft Authenticator fonctionne comme un générateur TOTP standard pour n’importe quel service compatible, sans nécessiter de compte Microsoft. Les fonctionnalités avancées (push d’approbation, authentification sans mot de passe) sont réservées aux services Microsoft et aux environnements Entra ID.
Quelle application 2FA recommander pour une PME française ?
Si votre PME utilise Microsoft 365, Microsoft Authenticator avec Entra ID est le choix le plus cohérent et le mieux intégré, avec la gestion centralisée des authentifications. Sinon, Google Authenticator couvre les besoins de base pour les équipes, avec une configuration simple service par service. Pour une gestion centralisée sans Microsoft, Duo Security (Cisco) est une alternative enterprise reconnue.
Que se passe-t-il si je perds mon téléphone avec Google Authenticator ?
Si la sauvegarde Google était activée, réinstallez Google Authenticator sur votre nouveau téléphone et connectez-vous au même compte Google : vos codes sont restaurés automatiquement. Sans sauvegarde, vous devez utiliser les codes de secours fournis par chaque service lors de la configuration initiale du 2FA. C’est pour cette raison que conserver ces codes de secours hors ligne est une étape absolument critique à ne jamais négliger.
Les codes TOTP fonctionnent-ils sans connexion internet ?
Oui. Les trois applications génèrent les codes TOTP entièrement hors ligne. La seule connexion réseau requise est la synchronisation de l’horloge de l’appareil (NTP), mais une légère dérive est tolérée par le standard RFC 6238 (±30 secondes grâce à la fenêtre de tolérance). Vous pouvez utiliser Google Authenticator, Authy ou Microsoft Authenticator en avion, dans un sous-sol ou partout où il n’y a pas de réseau.
La 2FA par application est-elle vraiment plus sûre que la 2FA par SMS ?
Oui, significativement. Les codes par SMS sont vulnérables au SIM swapping (transfert frauduleux de votre numéro vers une autre SIM) et aux attaques SS7 sur le réseau téléphonique mondial. Les codes TOTP générés localement ne transitent par aucun réseau téléphonique et sont impossibles à intercepter via ces vecteurs. Les applications TOTP sont légèrement moins pratiques que les SMS pour la configuration initiale, mais leur niveau de sécurité est nettement supérieur pour la génération des codes d’authentification quotidiens.
Google Authenticator peut-il s’utiliser sur PC ou Mac ?
Il n’existe pas d’application Google Authenticator native pour PC ou Mac. Sur ordinateur, les codes sont accessibles via votre smartphone. Pour une solution avec support desktop, des gestionnaires de mots de passe comme Bitwarden ou 1Password intègrent la génération TOTP sur toutes les plateformes (Windows, macOS, Linux, iOS, Android). L’outil Aegis (Android) et 2FAS (iOS + Android) sont des alternatives open source qui, elles non plus, ne proposent pas d’application desktop en 2026.
