{"id":346,"date":"2026-06-22T20:52:47","date_gmt":"2026-06-22T20:52:47","guid":{"rendered":"https:\/\/shattered.io\/fr\/2026\/06\/22\/google-authenticator-vs-authy-microsoft-authenticator\/"},"modified":"2026-06-22T20:54:16","modified_gmt":"2026-06-22T20:54:16","slug":"google-authenticator-vs-authy-microsoft-authenticator","status":"publish","type":"post","link":"https:\/\/shattered.io\/fr\/google-authenticator-vs-authy-microsoft-authenticator\/","title":{"rendered":"Google Authenticator vs Authy : 33M Comptes Expos\u00e9s [2026]"},"content":{"rendered":"\n<p class=\"wp-block-paragraph\"><strong>Trois applications gratuites. Une seule couche de s\u00e9curit\u00e9 critique.<\/strong> Google Authenticator, Authy et Microsoft Authenticator prot\u00e8gent des centaines de millions de comptes en ligne, mais leurs diff\u00e9rences en mati\u00e8re de sauvegarde, de chiffrement et de r\u00e9cup\u00e9ration peuvent d\u00e9cider si vous perdez l&#8217;acc\u00e8s \u00e0 vos services, ou si un attaquant y acc\u00e8de \u00e0 votre place. La violation de donn\u00e9es Authy de juin 2024, qui a expos\u00e9 <strong>33 millions de num\u00e9ros de t\u00e9l\u00e9phone<\/strong> via un point de terminaison non authentifi\u00e9 (<a href=\"https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2024-39891\" target=\"_blank\" rel=\"noopener noreferrer\">CVE-2024-39891<\/a>), a remis la question de fond sur la table : votre g\u00e9n\u00e9rateur TOTP est-il vraiment s\u00e9curis\u00e9 ?<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Ce comparatif analyse les trois leaders de l&#8217;authentification \u00e0 deux facteurs sous l&#8217;angle de la s\u00e9curit\u00e9, de la portabilit\u00e9, de la r\u00e9cup\u00e9ration et des besoins entreprise, avec des donn\u00e9es techniques pr\u00e9cises tir\u00e9es du standard <a href=\"https:\/\/tools.ietf.org\/html\/rfc6238\" target=\"_blank\" rel=\"noopener noreferrer\">RFC 6238<\/a> et des rapports d&#8217;incidents publics. Le verdict est inclus pour chaque profil d&#8217;utilisation.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"ce-que-mesure-ce-comparatif\">Ce que mesure ce comparatif<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">L&#8217;authentification \u00e0 deux facteurs (2FA) par application g\u00e9n\u00e9ratrice de codes TOTP (Time-based One-Time Password) repr\u00e9sente aujourd&#8217;hui la m\u00e9thode 2FA la plus d\u00e9ploy\u00e9e apr\u00e8s les SMS, mais aussi la plus s\u00e9curis\u00e9e parmi les options grand public. Contrairement aux codes par SMS, vuln\u00e9rables au SIM swapping, les codes TOTP sont g\u00e9n\u00e9r\u00e9s localement sur votre appareil sans passer par un r\u00e9seau mobile. L&#8217;objectif de ce comparatif est triple : identifier laquelle des trois applications offre le meilleur compromis s\u00e9curit\u00e9, portabilit\u00e9 et r\u00e9cup\u00e9ration pour les particuliers ; laquelle convient \u00e0 un d\u00e9ploiement enterprise ; et laquelle r\u00e9siste le mieux \u00e0 un sc\u00e9nario de perte ou de vol de t\u00e9l\u00e9phone.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Les crit\u00e8res \u00e9valu\u00e9s sont : la s\u00e9curit\u00e9 du chiffrement des sauvegardes, la gestion multi-appareils, la r\u00e9cup\u00e9ration apr\u00e8s perte de t\u00e9l\u00e9phone, la compatibilit\u00e9 plateforme, les fonctionnalit\u00e9s entreprise, la transparence face aux incidents de s\u00e9curit\u00e9, et la conformit\u00e9 au standard TOTP (RFC 6238 \/ RFC 4226).<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"le-standard-totp-explique-rfc-6238-et-hmac-sha-1\">Le standard TOTP expliqu\u00e9 : RFC 6238 et HMAC-SHA-1<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Avant de comparer les applications, comprendre le standard qu&#8217;elles impl\u00e9mentent est indispensable. Le TOTP (RFC 6238, publi\u00e9 en 2011) est une extension du standard HOTP (RFC 4226, HMAC-based One-Time Password). Le principe : un secret partag\u00e9 entre le service et l&#8217;application, combin\u00e9 \u00e0 l&#8217;heure Unix arrondie \u00e0 30 secondes, g\u00e9n\u00e8re un code \u00e0 6 chiffres via la fonction HMAC-SHA-1. Ce code change toutes les 30 secondes et n&#8217;est valide qu&#8217;une seule fois.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Param\u00e8tres techniques du standard RFC 6238 :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Algorithme de hachage par d\u00e9faut :<\/strong> HMAC-SHA-1 (SHA-256 et SHA-512 \u00e9galement autoris\u00e9s par le RFC)<\/li>\n<li><strong>Pas de temps :<\/strong> 30 secondes (configurable, mais 30 s est universel en pratique)<\/li>\n<li><strong>Longueur du code :<\/strong> 6 chiffres par d\u00e9faut (8 chiffres autoris\u00e9s)<\/li>\n<li><strong>Secret partag\u00e9 :<\/strong> encod\u00e9 en Base32, typiquement 80 \u00e0 160 bits<\/li>\n<li><strong>Tol\u00e9rance de d\u00e9rive :<\/strong> 1 intervalle avant\/apr\u00e8s (soit \u00b130 secondes) pour les horloges d\u00e9synchronis\u00e9es<\/li>\n<li><strong>Fonctionnement hors ligne :<\/strong> aucune connexion r\u00e9seau requise pour g\u00e9n\u00e9rer un code<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Les trois applications de ce comparatif impl\u00e9mentent toutes RFC 6238 de mani\u00e8re interop\u00e9rable : un code g\u00e9n\u00e9r\u00e9 sur Google Authenticator fonctionne exactement de la m\u00eame fa\u00e7on que celui g\u00e9n\u00e9r\u00e9 sur Authy ou Microsoft Authenticator pour le m\u00eame compte. La diff\u00e9rence se situe dans la couche applicative, pas dans le protocole cryptographique sous-jacent. C&#8217;est ce qui rend la migration techniquement possible, tout en la rendant op\u00e9rationnellement complexe.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"google-authenticator-simple-gratuit-mais-les-sauvegardes-posent-question\">Google Authenticator : simple, gratuit, mais les sauvegardes posent question<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Google Authenticator est l&#8217;application 2FA de r\u00e9f\u00e9rence depuis son lancement en 2010. Son mod\u00e8le repose sur la simplicit\u00e9 maximale. L&#8217;application g\u00e9n\u00e8re des codes TOTP localement, sans compte obligatoire, sans synchronisation r\u00e9seau forc\u00e9e. Elle est disponible sur Android et iOS, enti\u00e8rement gratuite, et supporte un nombre illimit\u00e9 de comptes. L&#8217;ajout d&#8217;un nouveau service se fait par scan d&#8217;un QR code ou saisie manuelle d&#8217;une cl\u00e9 secr\u00e8te encod\u00e9e en Base32, exactement conform\u00e9ment au standard otpauth:\/\/ de Google.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">En mai 2023, Google a introduit la sauvegarde des secrets TOTP dans le compte Google de l&#8217;utilisateur, une fonctionnalit\u00e9 longtemps attendue par la communaut\u00e9. Cette mise \u00e0 jour a r\u00e9solu le probl\u00e8me historique de Google Authenticator : la perte irr\u00e9m\u00e9diable de l&#8217;acc\u00e8s \u00e0 tous les comptes en cas de perte ou de remplacement du t\u00e9l\u00e9phone. Cependant, la publication de cette fonctionnalit\u00e9 a d\u00e9clench\u00e9 une critique s\u00e9rieuse et document\u00e9e de la part de chercheurs en s\u00e9curit\u00e9 : la sauvegarde des secrets TOTP dans le cloud Google ne s&#8217;effectue pas avec un chiffrement de bout en bout. Wirecutter, publication de r\u00e9f\u00e9rence en mati\u00e8re de technologie grand public, a explicitement confirm\u00e9 que Google n&#8217;utilise pas le chiffrement de bout en bout pour ces sauvegardes cloud.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Ce que cela signifie concr\u00e8tement : Google peut techniquement acc\u00e9der aux secrets TOTP sauvegard\u00e9s dans les serveurs Google. En cas de compromission du compte Google de l&#8217;utilisateur par un attaquant, les secrets 2FA stock\u00e9s en sauvegarde sont potentiellement accessibles. La question n&#8217;est pas th\u00e9orique : un attaquant qui obtient un acc\u00e8s persistant \u00e0 un compte Google b\u00e9n\u00e9ficie d&#8217;une visibilit\u00e9 sur les secrets 2FA de tous les services configur\u00e9s. En 2025, Google a annonc\u00e9 travailler sur l&#8217;impl\u00e9mentation du chiffrement de bout en bout pour ces sauvegardes, sans date de d\u00e9ploiement public confirm\u00e9e \u00e0 la date de publication de cet article (juin 2026). Les instructions de configuration officielle sont disponibles via la <a href=\"https:\/\/support.google.com\/accounts\/answer\/1066447\" target=\"_blank\" rel=\"noopener noreferrer\">page d&#8217;aide Google Authenticator<\/a>.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">C\u00f4t\u00e9 fonctionnalit\u00e9s positives : Google Authenticator int\u00e8gre le d\u00e9verrouillage biom\u00e9trique (empreinte digitale, reconnaissance faciale selon le mod\u00e8le de t\u00e9l\u00e9phone) pour prot\u00e9ger l&#8217;acc\u00e8s \u00e0 l&#8217;application. Le transfert de comptes entre appareils Android fonctionne via un QR code g\u00e9n\u00e9r\u00e9 dans l&#8217;application, permettant une migration manuelle contr\u00f4l\u00e9e. L&#8217;application g\u00e8re les codes TOTP et HOTP (counter-based), m\u00eame si HOTP est rarement utilis\u00e9 en pratique par les services modernes.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"points-forts-et-limites-de-google-authenticator\">Points forts et limites de Google Authenticator<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Points forts :<\/strong> interface \u00e9pur\u00e9e et accessible \u00e0 tous profils, aucun compte obligatoire en mode local, d\u00e9verrouillage biom\u00e9trique, disponible sur iOS et Android, compatible avec l&#8217;ensemble des services qui supportent TOTP, aucune limite sur le nombre de comptes configur\u00e9s.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Limites :<\/strong> pas d&#8217;application desktop native, pas de synchronisation multi-appareils sans compte Google actif, sauvegarde cloud sans chiffrement E2E (confirm\u00e9 par Wirecutter), pas de fonctionnalit\u00e9s entreprise d\u00e9di\u00e9es, r\u00e9cup\u00e9ration apr\u00e8s perte de t\u00e9l\u00e9phone complexe sans sauvegarde pr\u00e9alable activ\u00e9e.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"authy-la-fuite-de-33-millions-de-numeros-qui-a-tout-change\">Authy : la fuite de 33 millions de num\u00e9ros qui a tout chang\u00e9<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Authy, d\u00e9velopp\u00e9e par Twilio, \u00e9tait longtemps consid\u00e9r\u00e9e comme l&#8217;alternative sup\u00e9rieure \u00e0 Google Authenticator gr\u00e2ce \u00e0 sa synchronisation multi-appareils native et sa sauvegarde chiffr\u00e9e de bout en bout. L&#8217;application permettait d&#8217;utiliser les m\u00eames codes TOTP sur plusieurs t\u00e9l\u00e9phones, tablettes ou ordinateurs simultan\u00e9ment, avec une sauvegarde chiffr\u00e9e dans le cloud Twilio dont la cl\u00e9 reste exclusivement entre les mains de l&#8217;utilisateur. En juin 2024, cette r\u00e9putation a \u00e9t\u00e9 s\u00e9rieusement mise \u00e0 l&#8217;\u00e9preuve par un incident de s\u00e9curit\u00e9 majeur.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Le <strong>26 juin 2024<\/strong>, Twilio a confirm\u00e9 qu&#8217;un acteur malveillant avait exploit\u00e9 un point de terminaison API non authentifi\u00e9 pour \u00e9num\u00e9rer les donn\u00e9es associ\u00e9es aux comptes Authy. L&#8217;exploitation de cette vuln\u00e9rabilit\u00e9, r\u00e9f\u00e9renc\u00e9e <a href=\"https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2024-39891\" target=\"_blank\" rel=\"noopener noreferrer\">CVE-2024-39891<\/a>, a expos\u00e9 les informations suivantes pour chaque compte affect\u00e9 : num\u00e9ro de t\u00e9l\u00e9phone, identifiant de compte Authy, statut du compte (actif ou inactif), et nombre d&#8217;appareils enregistr\u00e9s. Selon le <a href=\"https:\/\/authy.com\/blog\/authy-incident-report-june-2024\/\" target=\"_blank\" rel=\"noopener noreferrer\">rapport d&#8217;incident publi\u00e9 par Twilio<\/a>, le volume de donn\u00e9es expos\u00e9es s&#8217;\u00e9levait \u00e0 <strong>33 millions de num\u00e9ros de t\u00e9l\u00e9phone<\/strong>.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Ce qui n&#8217;a pas \u00e9t\u00e9 compromis dans cet incident : les secrets TOTP eux-m\u00eames, les mots de passe des comptes Authy, ni les donn\u00e9es d&#8217;authentification des services prot\u00e9g\u00e9s par Authy. L&#8217;attaquant n&#8217;a pas pu acc\u00e9der aux codes g\u00e9n\u00e9r\u00e9s ni aux cl\u00e9s secr\u00e8tes sous-jacentes, qui restaient chiffr\u00e9es avec le Backup Password de l&#8217;utilisateur. Twilio a corrig\u00e9 le point de terminaison vuln\u00e9rable dans les 24 heures suivant la d\u00e9couverte et a invit\u00e9 les utilisateurs \u00e0 mettre \u00e0 jour l&#8217;application vers la version la plus r\u00e9cente. Cependant, les 33 millions de num\u00e9ros de t\u00e9l\u00e9phone expos\u00e9s repr\u00e9sentent un risque non n\u00e9gligeable : ces donn\u00e9es permettent aux attaquants de cibler des op\u00e9rations de SIM swapping ou des campagnes de phishing tr\u00e8s pr\u00e9cis\u00e9ment cibl\u00e9es contre des utilisateurs 2FA actifs.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Troy Hunt, chercheur en s\u00e9curit\u00e9 fondateur de <a href=\"https:\/\/haveibeenpwned.com\/\" target=\"_blank\" rel=\"noopener noreferrer\">Have I Been Pwned<\/a>, a int\u00e9gr\u00e9 les donn\u00e9es de la fuite Authy dans sa base pour permettre aux utilisateurs affect\u00e9s de v\u00e9rifier si leur num\u00e9ro figure parmi les donn\u00e9es expos\u00e9es. Troy Hunt a comment\u00e9 l&#8217;incident en soulignant que m\u00eame si les secrets TOTP n&#8217;ont pas \u00e9t\u00e9 expos\u00e9s directement, la fuite de num\u00e9ros de t\u00e9l\u00e9phone associ\u00e9s \u00e0 des comptes 2FA actifs constitue une information pr\u00e9cieuse pour les attaquants qui pratiquent le SIM swapping : ils savent d\u00e9sormais quels num\u00e9ros sont associ\u00e9s \u00e0 des comptes prot\u00e9g\u00e9s par Authy, ce qui facilite le ciblage.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"les-fonctionnalites-qui-ont-fait-la-reputation-dauthy\">Les fonctionnalit\u00e9s qui ont fait la r\u00e9putation d&#8217;Authy<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Avant et apr\u00e8s l&#8217;incident, Authy conserve plusieurs avantages fonctionnels distincts. La sauvegarde chiffr\u00e9e dans le cloud utilise une cl\u00e9 d\u00e9riv\u00e9e d&#8217;un &#8220;Backup Password&#8221; que l&#8217;utilisateur d\u00e9finit s\u00e9par\u00e9ment du compte Twilio. Cette cl\u00e9 n&#8217;est jamais transmise aux serveurs Twilio. Les donn\u00e9es chiffr\u00e9es stock\u00e9es sur les serveurs Twilio sont donc inutilisables sans le Backup Password, m\u00eame pour Twilio. Ce mod\u00e8le est architecturalement robuste, mais d\u00e9pend enti\u00e8rement de la qualit\u00e9 du mot de passe de sauvegarde choisi par l&#8217;utilisateur et de sa capacit\u00e9 \u00e0 le m\u00e9moriser.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">La synchronisation multi-appareils est l&#8217;atout historique d&#8217;Authy : les m\u00eames codes TOTP sont disponibles simultan\u00e9ment sur tous les appareils enregistr\u00e9s, qu&#8217;il s&#8217;agisse de plusieurs smartphones, tablettes ou, jusqu&#8217;en mars 2024, d&#8217;applications desktop. En 2024, Twilio a annonc\u00e9 la fin du support des applications desktop Authy (Windows, macOS, Linux), qui ne sont plus disponibles en t\u00e9l\u00e9chargement depuis le 19 mars 2024. Cette suppression a d\u00e9\u00e7u une partie de la communaut\u00e9 qui utilisait Authy comme solution centralis\u00e9e sur ordinateur. L&#8217;application Authy mobile supporte \u00e9galement watchOS, permettant d&#8217;afficher les codes directement sur une Apple Watch, une fonctionnalit\u00e9 qu&#8217;aucune des deux autres applications compar\u00e9es ne propose.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Concernant la gestion des tokens : Authy ne supporte que le format TOTP (RFC 6238) et ne permet pas l&#8217;export des secrets vers d&#8217;autres applications. Cette restriction d\u00e9lib\u00e9r\u00e9e cr\u00e9e une d\u00e9pendance \u00e0 l&#8217;\u00e9cosyst\u00e8me Authy qui a r\u00e9guli\u00e8rement fait l&#8217;objet de critiques dans la communaut\u00e9 s\u00e9curit\u00e9.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"microsoft-authenticator-la-solution-entreprise-par-excellence\">Microsoft Authenticator : la solution entreprise par excellence<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Microsoft Authenticator s&#8217;impose comme la solution de r\u00e9f\u00e9rence pour les environnements d&#8217;entreprise utilisant Microsoft 365, Azure Active Directory (rebaptis\u00e9 Microsoft Entra ID) ou tout service Microsoft. Au-del\u00e0 de la g\u00e9n\u00e9ration de codes TOTP standard, l&#8217;application offre des fonctionnalit\u00e9s qui la distinguent nettement des deux autres dans un contexte professionnel.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">La fonctionnalit\u00e9 la plus distinctive de Microsoft Authenticator est le <strong>push d&#8217;approbation<\/strong> : au lieu de saisir un code \u00e0 6 chiffres, l&#8217;utilisateur re\u00e7oit une notification push sur son t\u00e9l\u00e9phone demandant d&#8217;approuver ou refuser une connexion. Ce m\u00e9canisme est plus rapide et plus convivial que la saisie manuelle d&#8217;un code TOTP. Il inclut des informations contextuelles (localisation approximative, application utilis\u00e9e) pour aider l&#8217;utilisateur \u00e0 d\u00e9tecter les tentatives d&#8217;intrusion. Microsoft a renforc\u00e9 ce dispositif avec le &#8220;number matching&#8221; : l&#8217;utilisateur doit saisir sur son t\u00e9l\u00e9phone le num\u00e9ro affich\u00e9 \u00e0 l&#8217;\u00e9cran de connexion, emp\u00eachant les attaques de type MFA fatigue o\u00f9 un attaquant bombarde l&#8217;utilisateur de demandes d&#8217;approbation push jusqu&#8217;\u00e0 ce qu&#8217;il en accepte une par inadvertance ou \u00e9puisement.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Microsoft Authenticator prend \u00e9galement en charge <strong>Microsoft Verified ID<\/strong>, un syst\u00e8me d&#8217;identit\u00e9 d\u00e9centralis\u00e9e bas\u00e9 sur des Verifiable Credentials (standard W3C), et le stockage de mots de passe, adresses et informations de paiement via le gestionnaire de mots de passe Microsoft int\u00e9gr\u00e9. La sauvegarde des comptes TOTP tiers s&#8217;effectue via iCloud sur iOS et Microsoft Cloud sur Android, avec protection biom\u00e9trique de l&#8217;acc\u00e8s \u00e0 l&#8217;application.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Pour les organisations, Microsoft Authenticator est gratuit en tant qu&#8217;application mobile. Les fonctionnalit\u00e9s d&#8217;authentification avanc\u00e9es li\u00e9es \u00e0 Microsoft Entra ID, notamment la gestion des politiques d&#8217;acc\u00e8s conditionnel, l&#8217;authentification sans mot de passe et les rapports d&#8217;authentification d\u00e9taill\u00e9s, n\u00e9cessitent une licence <strong>Entra ID P1<\/strong> (environ 6 euros par utilisateur par mois) ou <strong>Entra ID P2<\/strong> (environ 9 euros par utilisateur par mois). La plupart des abonnements Microsoft 365 Business incluent d\u00e9j\u00e0 Entra ID P1.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"authentification-sans-mot-de-passe-avec-microsoft\">Authentification sans mot de passe avec Microsoft<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Microsoft Authenticator est la pi\u00e8ce centrale de la strat\u00e9gie &#8220;passwordless&#8221; de Microsoft. Avec la configuration appropri\u00e9e dans Entra ID, les utilisateurs peuvent se connecter aux services Microsoft uniquement via leur t\u00e9l\u00e9phone et leur biom\u00e9trie, sans jamais saisir de mot de passe. Ce flux d&#8217;authentification sans mot de passe est disponible pour les comptes Microsoft personnels et professionnels. Pour les organisations cherchant \u00e0 r\u00e9duire l&#8217;exposition au phishing de mots de passe, c&#8217;est un avantage d\u00e9cisif que les deux autres applications de ce comparatif ne peuvent pas \u00e9galer. Notre article sur la <a href=\"\/two-factor-authentication-nodejs\/\">double authentification dans Node.js<\/a> d\u00e9taille l&#8217;impl\u00e9mentation c\u00f4t\u00e9 serveur pour les d\u00e9veloppeurs.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"tableau-comparatif-complet-16-criteres\">Tableau comparatif complet : 16 crit\u00e8res<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Les donn\u00e9es du tableau ci-dessous sont issues des sp\u00e9cifications officielles des \u00e9diteurs et des sources v\u00e9rifi\u00e9es cit\u00e9es dans cet article (juin 2026).<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Crit\u00e8re<\/th><th>Google Authenticator<\/th><th>Authy<\/th><th>Microsoft Authenticator<\/th><\/tr><\/thead><tbody><tr><td><strong>Prix<\/strong><\/td><td>Gratuit<\/td><td>Gratuit<\/td><td>Gratuit<\/td><\/tr><tr><td><strong>iOS<\/strong><\/td><td>Oui<\/td><td>Oui<\/td><td>Oui<\/td><\/tr><tr><td><strong>Android<\/strong><\/td><td>Oui<\/td><td>Oui<\/td><td>Oui<\/td><\/tr><tr><td><strong>Application desktop<\/strong><\/td><td>Non<\/td><td>Non (supprim\u00e9 mars 2024)<\/td><td>Non (extension navigateur disponible)<\/td><\/tr><tr><td><strong>Apple Watch (watchOS)<\/strong><\/td><td>Non<\/td><td>Oui<\/td><td>Non<\/td><\/tr><tr><td><strong>Sauvegarde cloud<\/strong><\/td><td>Via compte Google<\/td><td>Via serveurs Twilio (E2E)<\/td><td>Via Microsoft Cloud \/ iCloud<\/td><\/tr><tr><td><strong>Chiffrement E2E des sauvegardes<\/strong><\/td><td>Non (confirm\u00e9 Wirecutter 2023)<\/td><td>Oui (Backup Password s\u00e9par\u00e9)<\/td><td>Non document\u00e9 pour TOTP tiers<\/td><\/tr><tr><td><strong>Synchronisation multi-appareils<\/strong><\/td><td>Via compte Google uniquement<\/td><td>Oui (natif, tous appareils)<\/td><td>Oui (via compte Microsoft)<\/td><\/tr><tr><td><strong>D\u00e9verrouillage biom\u00e9trique<\/strong><\/td><td>Oui<\/td><td>Oui<\/td><td>Oui<\/td><\/tr><tr><td><strong>Notifications push d&#8217;approbation<\/strong><\/td><td>Non<\/td><td>Non<\/td><td>Oui (comptes Microsoft)<\/td><\/tr><tr><td><strong>Standard TOTP (RFC 6238)<\/strong><\/td><td>Oui<\/td><td>Oui<\/td><td>Oui<\/td><\/tr><tr><td><strong>Support HOTP (RFC 4226)<\/strong><\/td><td>Oui<\/td><td>Non<\/td><td>Non<\/td><\/tr><tr><td><strong>Authentification sans mot de passe<\/strong><\/td><td>Non<\/td><td>Non<\/td><td>Oui (\u00e9cosyst\u00e8me Microsoft)<\/td><\/tr><tr><td><strong>Fonctionnalit\u00e9s enterprise<\/strong><\/td><td>Limit\u00e9es<\/td><td>Limit\u00e9es<\/td><td>Compl\u00e8tes (Entra ID P1\/P2)<\/td><\/tr><tr><td><strong>Export des secrets TOTP<\/strong><\/td><td>Transfert interne uniquement<\/td><td>Non disponible<\/td><td>Partiel<\/td><\/tr><tr><td><strong>Open source<\/strong><\/td><td>Non<\/td><td>Non<\/td><td>Non<\/td><\/tr><tr><td><strong>Incident de s\u00e9curit\u00e9 document\u00e9 (2022-2026)<\/strong><\/td><td>Aucun<\/td><td>CVE-2024-39891 (33M num\u00e9ros)<\/td><td>Aucun<\/td><\/tr><tr><td><strong>Stockage de mots de passe int\u00e9gr\u00e9<\/strong><\/td><td>Non<\/td><td>Non<\/td><td>Oui<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"securite-et-chiffrement-analyse-technique-detaillee\">S\u00e9curit\u00e9 et chiffrement : analyse technique d\u00e9taill\u00e9e<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">La s\u00e9curit\u00e9 d&#8217;une application 2FA repose sur plusieurs couches. La premi\u00e8re, le protocole TOTP lui-m\u00eame, est identique et standardis\u00e9e (RFC 6238) pour les trois applications. Les diff\u00e9rences se situent dans la couche applicative : comment les secrets TOTP sont stock\u00e9s localement, comment ils sont sauvegard\u00e9s dans le cloud, et quel niveau d&#8217;acc\u00e8s l&#8217;\u00e9diteur conserve sur ces donn\u00e9es.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Google Authenticator :<\/strong> En mode sans compte Google, les secrets TOTP sont stock\u00e9s uniquement sur l&#8217;appareil, dans le stockage s\u00e9curis\u00e9 Android ou iOS (Android Keystore \/ Secure Enclave iOS). Aucune donn\u00e9e ne quitte le t\u00e9l\u00e9phone. C&#8217;est le mode le plus s\u00e9curis\u00e9 en termes d&#8217;exposition au cloud, mais aussi le plus risqu\u00e9 en cas de perte d&#8217;appareil. Avec la sauvegarde Google activ\u00e9e, les secrets sont synchronis\u00e9s dans le compte Google sans chiffrement de bout en bout : Google d\u00e9tient techniquement les cl\u00e9s de d\u00e9chiffrement. Pour les utilisateurs \u00e0 haut risque (journalistes, activistes, cibles \u00e9tatiques), ce mode de sauvegarde est d\u00e9conseill\u00e9 par l&#8217;ANSSI et les praticiens de la s\u00e9curit\u00e9 op\u00e9rationnelle.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Authy :<\/strong> La sauvegarde chiffr\u00e9e d&#8217;Authy utilise une architecture distincte. Les secrets TOTP sont chiffr\u00e9s sur l&#8217;appareil avec une cl\u00e9 d\u00e9riv\u00e9e d&#8217;un &#8220;Backup Password&#8221; que l&#8217;utilisateur d\u00e9finit s\u00e9par\u00e9ment de son compte Twilio. Cette cl\u00e9 n&#8217;est jamais transmise aux serveurs Twilio. Les donn\u00e9es chiffr\u00e9es stock\u00e9es chez Twilio sont donc inutilisables sans le Backup Password. Ce mod\u00e8le est robuste architecturalement, mais son efficacit\u00e9 d\u00e9pend de la qualit\u00e9 du mot de passe de sauvegarde. Un Backup Password faible ou r\u00e9utilis\u00e9 annule les b\u00e9n\u00e9fices du chiffrement E2E. Par ailleurs, la r\u00e9cup\u00e9ration de compte n\u00e9cessite l&#8217;acc\u00e8s au num\u00e9ro de t\u00e9l\u00e9phone enregistr\u00e9, ce qui r\u00e9introduit la vuln\u00e9rabilit\u00e9 au SIM swapping dans le processus de r\u00e9cup\u00e9ration, m\u00eame si pas dans la g\u00e9n\u00e9ration des codes elle-m\u00eame.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Microsoft Authenticator :<\/strong> La sauvegarde concerne les comptes TOTP tiers (non-Microsoft). Elle s&#8217;effectue via iCloud sur iOS ou Microsoft Cloud sur Android. La documentation Microsoft ne sp\u00e9cifie pas explicitement si le chiffrement de bout en bout s&#8217;applique aux sauvegardes des comptes TOTP tiers dans ce flux. Pour les comptes Microsoft eux-m\u00eames, les credentials sont g\u00e9r\u00e9s par l&#8217;infrastructure d&#8217;identit\u00e9 Microsoft Entra ID, avec des protections au niveau de l&#8217;infrastructure cloud enterprise, des journaux d&#8217;audit, et des alertes de connexion suspecte.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"recuperation-apres-perte-de-telephone-le-test-decisif\">R\u00e9cup\u00e9ration apr\u00e8s perte de t\u00e9l\u00e9phone : le test d\u00e9cisif<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Le sc\u00e9nario de perte ou de vol du t\u00e9l\u00e9phone est le vrai test d&#8217;une application 2FA. C&#8217;est l\u00e0 que les diff\u00e9rences architecturales deviennent concr\u00e8tes et que les utilisateurs r\u00e9alisent souvent trop tard l&#8217;importance de la pr\u00e9paration.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Avec Google Authenticator :<\/strong> Si la sauvegarde Google est activ\u00e9e, l&#8217;installation de Google Authenticator sur un nouvel appareil et la connexion au m\u00eame compte Google restaure automatiquement tous les comptes TOTP. Si la sauvegarde n&#8217;est pas activ\u00e9e, ou si le compte Google lui-m\u00eame est compromis, la r\u00e9cup\u00e9ration doit passer par les codes de secours fournis par chaque service au moment de l&#8217;activation du 2FA. Ces codes doivent \u00eatre conserv\u00e9s hors ligne au moment de la configuration initiale. Pour en savoir plus sur la gestion s\u00e9curis\u00e9e des acc\u00e8s, notre comparatif <a href=\"\/passkeys-vs-passwords\/\">Passkeys vs Mots de passe<\/a> d\u00e9taille les alternatives \u00e0 long terme.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Avec Authy :<\/strong> La r\u00e9cup\u00e9ration n\u00e9cessite le num\u00e9ro de t\u00e9l\u00e9phone associ\u00e9 au compte Authy ET le Backup Password d\u00e9fini lors de la configuration. Sur un nouvel appareil, l&#8217;installation d&#8217;Authy, la v\u00e9rification du num\u00e9ro de t\u00e9l\u00e9phone par SMS ou appel, et la saisie du Backup Password restaurent l&#8217;ensemble des comptes configur\u00e9s. Ce m\u00e9canisme est robuste mais d\u00e9pend de l&#8217;acc\u00e8s au num\u00e9ro de t\u00e9l\u00e9phone d&#8217;origine. Un attaquant ayant r\u00e9ussi un SIM swapping peut potentiellement d\u00e9clencher une restauration sur son propre appareil.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Avec Microsoft Authenticator :<\/strong> La r\u00e9cup\u00e9ration des comptes Microsoft passe par le compte Microsoft (flux de r\u00e9initialisation d&#8217;identit\u00e9 Microsoft). Les comptes TOTP tiers sauvegard\u00e9s via iCloud ou Microsoft Cloud sont restaur\u00e9s depuis le cloud lors de la r\u00e9installation. Pour les environnements d&#8217;entreprise, les administrateurs Entra ID peuvent r\u00e9initialiser les facteurs d&#8217;authentification d&#8217;un utilisateur depuis le portail d&#8217;administration, sans intervention de l&#8217;utilisateur sur l&#8217;ancien t\u00e9l\u00e9phone.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Sc\u00e9nario<\/th><th>Google Authenticator<\/th><th>Authy<\/th><th>Microsoft Authenticator<\/th><\/tr><\/thead><tbody><tr><td>Perte t\u00e9l\u00e9phone, sauvegarde active<\/td><td>Restauration auto via compte Google<\/td><td>Restauration via num\u00e9ro tel + Backup Password<\/td><td>Restauration via compte Microsoft \/ iCloud<\/td><\/tr><tr><td>Perte t\u00e9l\u00e9phone, sans sauvegarde<\/td><td>Codes de secours service par service<\/td><td>Impossible sans Backup Password<\/td><td>Admin Entra peut r\u00e9initialiser<\/td><\/tr><tr><td>Compte principal compromis<\/td><td>Risque \u00e9lev\u00e9 : secrets potentiellement accessibles<\/td><td>Non-critique : E2E prot\u00e8ge les secrets<\/td><td>Via Microsoft Entra Identity Protection<\/td><\/tr><tr><td>Attaque SIM swapping<\/td><td>Non affect\u00e9 (pas de v\u00e9rif. par SMS pour les codes)<\/td><td>Risque de r\u00e9cup\u00e9ration frauduleuse<\/td><td>Non affect\u00e9 pour la g\u00e9n\u00e9ration TOTP tiers<\/td><\/tr><tr><td>Perte du Backup Password<\/td><td>N\/A<\/td><td>Perte d\u00e9finitive des sauvegardes Authy<\/td><td>N\/A<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"cinq-cas-dusage-reels-qui-devrait-utiliser-quoi\">Cinq cas d&#8217;usage r\u00e9els : qui devrait utiliser quoi ?<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">La meilleure application 2FA d\u00e9pend du profil d&#8217;utilisation. Voici cinq sc\u00e9narios concrets avec une recommandation argument\u00e9e pour chacun.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Cas 1 : L&#8217;utilisateur particulier avec un seul smartphone.<\/strong> Si vous g\u00e9rez une dizaine de comptes en ligne (banque, email, r\u00e9seaux sociaux, services cloud) sur un seul t\u00e9l\u00e9phone et que vous n&#8217;avez pas de besoins de synchronisation multi-appareils, <strong>Google Authenticator<\/strong> couvre tous vos besoins. Sa simplicit\u00e9 d&#8217;utilisation est maximale, la sauvegarde via compte Google est pratique pour la r\u00e9cup\u00e9ration, et l&#8217;interface \u00e9pur\u00e9e limite les erreurs de manipulation. Activez la sauvegarde cloud et notez vos codes de secours sur papier lors de chaque nouvelle configuration 2FA.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Cas 2 : Le professionnel nomade qui travaille sur plusieurs appareils.<\/strong> Si vous utilisez r\u00e9guli\u00e8rement un smartphone et une tablette, ou si vous changez souvent de t\u00e9l\u00e9phone professionnel, la synchronisation native d&#8217;<strong>Authy<\/strong> reste la plus fluide des trois options, malgr\u00e9 la suppression de l&#8217;application desktop en 2024 et l&#8217;incident CVE-2024-39891. L&#8217;architecture de chiffrement E2E de la sauvegarde Authy offre une meilleure garantie de confidentialit\u00e9 que la sauvegarde Google. Configurez un Backup Password fort, unique, et stockez-le dans votre gestionnaire de mots de passe. Voir notre comparatif <a href=\"\/bitwarden-vs-1password\/\">Bitwarden vs 1Password<\/a> pour choisir le meilleur gestionnaire.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Cas 3 : L&#8217;employ\u00e9 d&#8217;une organisation Microsoft 365.<\/strong> <strong>Microsoft Authenticator<\/strong> s&#8217;impose sans discussion. Les notifications push avec number matching, l&#8217;authentification sans mot de passe pour les services Microsoft, et l&#8217;int\u00e9gration native avec Entra ID r\u00e9duisent la friction quotidienne tout en renfor\u00e7ant consid\u00e9rablement la s\u00e9curit\u00e9. Votre service IT peut g\u00e9rer les politiques d&#8217;authentification depuis un portail centralis\u00e9.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Cas 4 : Le journaliste, militant ou utilisateur \u00e0 haut risque.<\/strong> Pour ce profil, aucune des trois applications cloud n&#8217;est id\u00e9ale sans pr\u00e9cautions suppl\u00e9mentaires. L&#8217;option la plus s\u00e9curis\u00e9e est <strong>Google Authenticator en mode local sans sauvegarde cloud<\/strong>, combin\u00e9e avec des codes de secours papier stock\u00e9s en lieu s\u00fbr, ou mieux encore, une cl\u00e9 de s\u00e9curit\u00e9 physique FIDO2 pour les services qui le supportent. La sauvegarde cloud, quelle que soit l&#8217;application, introduit une surface d&#8217;attaque suppl\u00e9mentaire. L&#8217;<a href=\"https:\/\/www.ssi.gouv.fr\" target=\"_blank\" rel=\"noopener noreferrer\">ANSSI<\/a> recommande les cl\u00e9s FIDO2 physiques pour les comptes d&#8217;administration et les utilisateurs \u00e0 haut risque.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Cas 5 : La PME qui cherche \u00e0 d\u00e9ployer le 2FA \u00e0 toute l&#8217;\u00e9quipe.<\/strong> <strong>Microsoft Authenticator avec Microsoft Entra ID<\/strong> est la solution la plus coh\u00e9rente si la PME utilise d\u00e9j\u00e0 Microsoft 365. La gestion centralis\u00e9e des facteurs d&#8217;authentification, les politiques d&#8217;acc\u00e8s conditionnel, et le support enterprise font la diff\u00e9rence. Si la PME est ind\u00e9pendante de l&#8217;\u00e9cosyst\u00e8me Microsoft, des solutions comme Duo Security (Cisco) m\u00e9ritent d&#8217;\u00eatre \u00e9tudi\u00e9es. Notre article sur l&#8217;<a href=\"\/keycloak-nodejs-oauth2-openid-connect\/\">authentification avec Keycloak et OAuth 2.0<\/a> couvre les architectures d&#8217;authentification pour les \u00e9quipes techniques.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"avis-dexperts-ce-que-disent-les-specialistes\">Avis d&#8217;experts : ce que disent les sp\u00e9cialistes<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Jeff Delaney, connu sous le nom de <strong>Fireship<\/strong>, d\u00e9veloppeur et cr\u00e9ateur de contenus \u00e9ducatifs suivi par plus de 3 millions d&#8217;abonn\u00e9s sur YouTube, aborde r\u00e9guli\u00e8rement la question des applications 2FA dans ses vid\u00e9os sur la s\u00e9curit\u00e9 web. Sa position r\u00e9currente est que la 2FA par application TOTP est significativement plus s\u00e9curis\u00e9e que la 2FA par SMS, mais qu&#8217;elle introduit un nouveau vecteur de risque : la sauvegarde des secrets dans le cloud sans contr\u00f4le utilisateur. Il pr\u00e9conise une approche &#8220;defense in depth&#8221; : application 2FA locale pour les comptes courants, combin\u00e9e avec des cl\u00e9s FIDO2 physiques pour les infrastructures critiques et les comptes \u00e0 privil\u00e8ges \u00e9lev\u00e9s.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>ThePrimeagen<\/strong> (Michael Paulson), d\u00e9veloppeur et streameur reconnu pour ses prises de position directes sur la s\u00e9curit\u00e9 et les outils pour d\u00e9veloppeurs, a exprim\u00e9 des r\u00e9serves sur les applications 2FA grand public qui synchronisent les secrets dans le cloud sans chiffrement E2E contr\u00f4l\u00e9 par l&#8217;utilisateur. Sa recommandation pratique pour les d\u00e9veloppeurs : utiliser des gestionnaires de mots de passe avec g\u00e9n\u00e9ration TOTP int\u00e9gr\u00e9e (Bitwarden, 1Password), ce qui centralise le stockage chiffr\u00e9 des secrets et r\u00e9duit la d\u00e9pendance \u00e0 une application 2FA s\u00e9par\u00e9e. Il reconna\u00eet toutefois que pour les non-d\u00e9veloppeurs, la facilit\u00e9 d&#8217;utilisation prime sur l&#8217;architecture de s\u00e9curit\u00e9 th\u00e9oriquement id\u00e9ale.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>MKBHD<\/strong> (Marques Brownlee), journaliste tech suivi par plus de 19 millions d&#8217;abonn\u00e9s sur YouTube, a trait\u00e9 la s\u00e9curit\u00e9 des comptes dans le contexte de ses tests de smartphones haut de gamme. Son point de vue sur la 2FA est pragmatique : Microsoft Authenticator offre l&#8217;exp\u00e9rience utilisateur la plus fluide sur Android, notamment gr\u00e2ce aux notifications push qui suppriment la saisie manuelle de codes. Il souligne que la convivialit\u00e9 est un facteur de s\u00e9curit\u00e9 r\u00e9el : une 2FA trop compliqu\u00e9e est souvent d\u00e9sactiv\u00e9e par les utilisateurs, ce qui est objectivement pire qu&#8217;une 2FA imparfaite mais activ\u00e9e et utilis\u00e9e r\u00e9guli\u00e8rement.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Du c\u00f4t\u00e9 institutionnel, l&#8217;ANSSI recommande l&#8217;utilisation d&#8217;applications 2FA locales pour les secrets les plus sensibles, avec une pr\u00e9f\u00e9rence explicite pour les cl\u00e9s de s\u00e9curit\u00e9 physiques FIDO2 pour les comptes d&#8217;administration. L&#8217;agence consid\u00e8re la 2FA par application comme acceptable pour les usages courants en entreprise, mais d\u00e9conseille les solutions de sauvegarde cloud sans chiffrement E2E pour les donn\u00e9es \u00e0 caract\u00e8re sensible ou les comptes \u00e0 fort impact en cas de compromission.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"guide-de-migration-changer-dapplication-2fa-sans-perdre-lacces\">Guide de migration : changer d&#8217;application 2FA sans perdre l&#8217;acc\u00e8s<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Migrer d&#8217;une application 2FA \u00e0 une autre est une op\u00e9ration d\u00e9licate que de nombreux utilisateurs r\u00e9alisent en urgence, souvent apr\u00e8s une perte de t\u00e9l\u00e9phone. Voici la proc\u00e9dure recommand\u00e9e pour une migration planifi\u00e9e et sans risque.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Principe de base :<\/strong> ne jamais d\u00e9sactiver le 2FA sur l&#8217;ancienne application avant de l&#8217;avoir activ\u00e9 et test\u00e9 sur la nouvelle. La migration doit se faire en parall\u00e8le, service par service, en maintenant les deux applications fonctionnelles pendant toute la dur\u00e9e de la transition.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>\u00c9tape 1 :<\/strong> Installez la nouvelle application 2FA sur votre appareil. Elle peut coexister avec l&#8217;ancienne sans conflit.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>\u00c9tape 2 :<\/strong> Pour chaque service \u00e0 migrer, acc\u00e9dez aux param\u00e8tres de s\u00e9curit\u00e9 du compte. D\u00e9sactivez temporairement le 2FA actuel en vous authentifiant avec l&#8217;ancienne application. Puis r\u00e9activez le 2FA en scannant le nouveau QR code avec la nouvelle application.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>\u00c9tape 3 :<\/strong> Testez imm\u00e9diatement le nouveau code g\u00e9n\u00e9r\u00e9 par la nouvelle application en l&#8217;utilisant pour une connexion test au service avant de fermer la session de configuration.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>\u00c9tape 4 :<\/strong> T\u00e9l\u00e9chargez et conservez les nouveaux codes de secours fournis par le service lors de la reconfiguration 2FA. Ne r\u00e9utilisez pas les anciens codes.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>\u00c9tape 5 :<\/strong> Une fois tous les services migr\u00e9s et test\u00e9s, d\u00e9sinstallez l&#8217;ancienne application ou r\u00e9voquez les configurations 2FA encore actives si l&#8217;application le permet.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Exception pour Google Authenticator :<\/strong> L&#8217;outil &#8220;Transf\u00e9rer des comptes&#8221; de Google Authenticator g\u00e9n\u00e8re un QR code exportant tous les comptes vers un autre appareil ex\u00e9cutant Google Authenticator. Cette fonctionnalit\u00e9 ne fonctionne qu&#8217;entre deux instances de Google Authenticator et ne permet pas l&#8217;export vers Authy ou Microsoft Authenticator au format TOTP standard exportable.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Cas particulier Authy :<\/strong> Authy ne permet pas l&#8217;export des secrets TOTP en dehors de son \u00e9cosyst\u00e8me. Pour quitter Authy vers Google Authenticator ou Microsoft Authenticator, vous devez reconfigurer le 2FA service par service en d\u00e9sactivant et r\u00e9activant manuellement la 2FA sur chaque compte. C&#8217;est la limitation la plus frustrante d&#8217;Authy et une raison valable de pr\u00e9f\u00e9rer une alternative plus portable d\u00e8s le d\u00e9part.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"alternatives-a-considerer-en-2026\">Alternatives \u00e0 consid\u00e9rer en 2026<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Au-del\u00e0 des trois acteurs principaux, plusieurs alternatives m\u00e9ritent l&#8217;attention pour des profils sp\u00e9cifiques ou des exigences de transparence plus \u00e9lev\u00e9es.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Aegis Authenticator (Android uniquement) :<\/strong> Application open source disponible sur F-Droid et Google Play, avec export chiffr\u00e9 des secrets en AES-256-GCM. Le code source est auditable publiquement sur GitHub. C&#8217;est le choix privil\u00e9gi\u00e9 des utilisateurs soucieux de la transparence et du contr\u00f4le total sur leurs donn\u00e9es. Limitation principale : disponible uniquement sur Android, ce qui exclut les utilisateurs iOS.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>2FAS Auth :<\/strong> Application open source disponible sur iOS et Android, avec sauvegarde vers iCloud ou Google Drive et extension navigateur pour remplissage automatique des codes 2FA. Option int\u00e9ressante pour ceux qui veulent la simplicit\u00e9 de Google Authenticator avec l&#8217;avantage de la transparence du code source ouvert et une portabilit\u00e9 sup\u00e9rieure.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Bitwarden et 1Password avec TOTP int\u00e9gr\u00e9 :<\/strong> Pour les utilisateurs de gestionnaires de mots de passe, l&#8217;int\u00e9gration du g\u00e9n\u00e9rateur TOTP directement dans le gestionnaire est une option pragmatique. Bitwarden supporte la g\u00e9n\u00e9ration TOTP nativement en abonnement premium (10 dollars par an), tout comme 1Password (2,99 dollars par mois). Cette approche concentre les secrets dans un seul coffre chiffr\u00e9, avec les avantages que cela implique pour la coh\u00e9rence et les risques d&#8217;un point de d\u00e9faillance unique. Notre comparatif <a href=\"\/bitwarden-vs-1password\/\">Bitwarden vs 1Password<\/a> d\u00e9taille ces solutions.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Cl\u00e9s de s\u00e9curit\u00e9 physiques FIDO2 (YubiKey, Nitrokey) :<\/strong> Pour les comptes les plus critiques (infrastructure cloud, messagerie principale, gestion financi\u00e8re), les cl\u00e9s de s\u00e9curit\u00e9 physiques FIDO2 offrent une protection sup\u00e9rieure aux applications TOTP. Elles r\u00e9sistent au phishing car l&#8217;authentification est cryptographiquement li\u00e9e \u00e0 l&#8217;URL du service l\u00e9gitime, rendant les attaques de proxy man-in-the-middle inefficaces contre le 2FA lui-m\u00eame. Les passkeys (FIDO2 sans cl\u00e9 physique) repr\u00e9sentent l&#8217;\u00e9volution logique vers le grand public. Notre comparatif <a href=\"\/passkeys-vs-passwords\/\">Passkeys vs Mots de passe<\/a> d\u00e9taille cette transition en cours.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"tableau-des-prix-et-fonctionnalites-premium\">Tableau des prix et fonctionnalit\u00e9s premium<\/h2>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Application \/ Service<\/th><th>Version gratuite<\/th><th>Version payante<\/th><th>Fonctionnalit\u00e9s premium<\/th><\/tr><\/thead><tbody><tr><td><strong>Google Authenticator<\/strong><\/td><td>Gratuit, toutes fonctionnalit\u00e9s<\/td><td>Aucune<\/td><td>N\/A<\/td><\/tr><tr><td><strong>Authy<\/strong><\/td><td>Gratuit, toutes fonctionnalit\u00e9s (particuliers)<\/td><td>Aucune (particuliers)<\/td><td>N\/A<\/td><\/tr><tr><td><strong>Microsoft Authenticator<\/strong><\/td><td>Gratuit (TOTP, push basique)<\/td><td>Via Entra ID P1 : ~6 \u20ac\/utilisateur\/mois<\/td><td>Acc\u00e8s conditionnel, rapports avanc\u00e9s, passwordless enterprise<\/td><\/tr><tr><td><strong>Aegis Authenticator<\/strong><\/td><td>Gratuit, open source (Android)<\/td><td>Aucune<\/td><td>N\/A<\/td><\/tr><tr><td><strong>2FAS Auth<\/strong><\/td><td>Gratuit, open source (iOS + Android)<\/td><td>Aucune<\/td><td>N\/A<\/td><\/tr><tr><td><strong>Bitwarden (TOTP int\u00e9gr\u00e9)<\/strong><\/td><td>Limit\u00e9 (pas de TOTP)<\/td><td>10 $\/an (~9,20 \u20ac\/an)<\/td><td>G\u00e9n\u00e9ration TOTP, rapports de s\u00e9curit\u00e9, partage de coffre<\/td><\/tr><tr><td><strong>1Password (TOTP int\u00e9gr\u00e9)<\/strong><\/td><td>Non disponible<\/td><td>~2,99 $\/mois (~2,75 \u20ac\/mois)<\/td><td>G\u00e9n\u00e9ration TOTP, coffre partag\u00e9, audit de s\u00e9curit\u00e9<\/td><\/tr><tr><td><strong>YubiKey 5 NFC (FIDO2)<\/strong><\/td><td>N\/A (achat mat\u00e9riel)<\/td><td>~55 \u20ac (achat unique)<\/td><td>FIDO2\/WebAuthn, TOTP hardware, r\u00e9sistance au phishing totale<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"pros-et-cons-recapitulatifs\">Pros et cons r\u00e9capitulatifs<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Google Authenticator :<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Pour : interface simple et accessible \u00e0 tous profils, aucun compte obligatoire en mode local, d\u00e9verrouillage biom\u00e9trique, compatible avec tous les services TOTP, gratuit sans aucune limitation, stockage local s\u00e9curis\u00e9 en mode sans sauvegarde.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Contre : sauvegarde cloud sans chiffrement E2E (confirm\u00e9 Wirecutter), pas d&#8217;application desktop, synchronisation multi-appareils uniquement via compte Google, pas de fonctionnalit\u00e9s entreprise, r\u00e9cup\u00e9ration compliqu\u00e9e sans sauvegarde pr\u00e9alable activ\u00e9e.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Authy :<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Pour : chiffrement E2E des sauvegardes avec Backup Password s\u00e9par\u00e9 (le seul des trois \u00e0 proposer cela clairement), synchronisation multi-appareils native et fluide, support watchOS (Apple Watch), architecture de sauvegarde architecturalement solide.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Contre : violation CVE-2024-39891 (33 millions de num\u00e9ros de t\u00e9l\u00e9phone expos\u00e9s en 2024), application desktop supprim\u00e9e en mars 2024, impossible d&#8217;exporter les secrets TOTP vers d&#8217;autres applications, d\u00e9pendance au num\u00e9ro de t\u00e9l\u00e9phone pour la r\u00e9cup\u00e9ration (risque SIM swapping).<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Microsoft Authenticator :<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Pour : push d&#8217;approbation avec number matching (contre MFA fatigue), authentification sans mot de passe pour l&#8217;\u00e9cosyst\u00e8me Microsoft, meilleure int\u00e9gration enterprise avec Entra ID, stockage de mots de passe int\u00e9gr\u00e9, aucun incident de s\u00e9curit\u00e9 document\u00e9.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Contre : fonctionnalit\u00e9s avanc\u00e9es n\u00e9cessitent une licence Entra ID P1 ou P2 (payant), valeur limit\u00e9e hors \u00e9cosyst\u00e8me Microsoft pour les entreprises, pas d&#8217;application desktop native, documentation de chiffrement des sauvegardes TOTP tiers peu transparente.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"verdict-quelle-application-choisir-en-juin-2026\">Verdict : quelle application choisir en juin 2026 ?<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">La r\u00e9ponse d\u00e9pend de votre profil d&#8217;utilisation. Voici le verdict consolid\u00e9 bas\u00e9 sur les donn\u00e9es techniques et les incidents document\u00e9s de ce comparatif.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Pour la majorit\u00e9 des particuliers :<\/strong> Google Authenticator remporte le test de la simplicit\u00e9 et de l&#8217;accessibilit\u00e9. Sa limite principale, la sauvegarde sans chiffrement E2E, peut \u00eatre contourn\u00e9e en n&#8217;utilisant pas la sauvegarde cloud et en conservant les codes de secours de chaque service. Pour la plupart des comptes en ligne standards, cette approche offre un excellent rapport s\u00e9curit\u00e9\/praticit\u00e9 sans d\u00e9pendance \u00e0 des services tiers.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Pour les utilisateurs multi-appareils :<\/strong> Authy garde un avantage fonctionnel r\u00e9el sur la synchronisation native, malgr\u00e9 l&#8217;incident de 2024 (qui n&#8217;a pas expos\u00e9 les secrets TOTP eux-m\u00eames). La sauvegarde E2E d&#8217;Authy reste architecturalement sup\u00e9rieure \u00e0 celle de Google Authenticator. Si la perte de l&#8217;application desktop en 2024 vous impact, 2FAS Auth ou Aegis Authenticator (Android) sont des alternatives open source s\u00e9rieuses.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Pour les entreprises et organisations :<\/strong> Microsoft Authenticator avec Entra ID est la solution la plus compl\u00e8te pour les environnements Microsoft. Le push avec number matching, les politiques d&#8217;acc\u00e8s conditionnel, et la gestion centralis\u00e9e des facteurs d&#8217;authentification justifient le co\u00fbt de la licence Entra ID P1, d\u00e9j\u00e0 incluse dans la plupart des abonnements Microsoft 365 Business.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Pour les profils \u00e0 haut risque :<\/strong> Aucune des trois applications cloud n&#8217;est suffisante seule. La combinaison recommand\u00e9e est une cl\u00e9 FIDO2 physique pour les comptes critiques et Google Authenticator en mode local sans sauvegarde cloud pour les comptes secondaires. Les passkeys repr\u00e9sentent l&#8217;\u00e9volution naturelle vers un mod\u00e8le encore plus r\u00e9sistant au phishing \u00e0 grande \u00e9chelle.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">En synth\u00e8se sur les donn\u00e9es v\u00e9rifi\u00e9es : Authy est la seule des trois \u00e0 avoir subi un incident document\u00e9 (CVE-2024-39891, 33 millions de num\u00e9ros), Google Authenticator est la seule \u00e0 ne pas offrir de chiffrement E2E explicitement document\u00e9 pour les sauvegardes cloud, et Microsoft Authenticator est la seule \u00e0 proposer une authentification sans mot de passe dans un \u00e9cosyst\u00e8me enterprise complet. Il n&#8217;existe pas de solution parfaite. Le bon choix d\u00e9pend de vos contraintes, de votre environnement et de votre niveau d&#8217;exposition aux menaces.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"couverture-connexe\">Couverture connexe<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"articles-lies-sur-shattered-io\">Articles li\u00e9s sur shattered.io<\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"\/two-factor-authentication-nodejs\/\">Authentification \u00e0 deux facteurs dans Node.js : 11 \u00e9tapes [2026]<\/a><\/li>\n<li><a href=\"\/passkeys-vs-passwords\/\">Passkeys vs Mots de passe : 8,5 s vs 31 s de connexion [2026]<\/a><\/li>\n<li><a href=\"\/bitwarden-vs-1password\/\">Bitwarden vs 1Password : 10 $ vs 36 $ par an [2026]<\/a><\/li>\n<li><a href=\"\/signal-vs-whatsapp-vs-telegram\/\">Signal vs WhatsApp vs Telegram : 3 Md vs 1 Md d&#8217;utilisateurs [2026]<\/a><\/li>\n<li><a href=\"\/jwt-authentication-nodejs\/\">Authentification JWT dans Node.js : 10 \u00e9tapes [2026]<\/a><\/li>\n<li><a href=\"\/keycloak-nodejs-oauth2-openid-connect\/\">Keycloak dans Node.js : OAuth 2.0 et OpenID Connect en 12 \u00e9tapes [2026]<\/a><\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"faq-questions-frequentes-sur-les-applications-2fa\">FAQ : questions fr\u00e9quentes sur les applications 2FA<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Google Authenticator est-il s\u00fbr en 2026 ?<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Oui, Google Authenticator est s\u00fbr pour la grande majorit\u00e9 des usages courants. Sa principale limitation est l&#8217;absence de chiffrement de bout en bout pour les sauvegardes cloud (confirm\u00e9 par Wirecutter). Pour les comptes tr\u00e8s sensibles, utilisez-le en mode local sans sauvegarde cloud et conservez des codes de secours papier pour chaque service configur\u00e9.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Authy est-il toujours fiable apr\u00e8s la fuite de donn\u00e9es de 2024 ?<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">La fuite CVE-2024-39891 a expos\u00e9 33 millions de num\u00e9ros de t\u00e9l\u00e9phone, mais pas les secrets TOTP eux-m\u00eames. L&#8217;architecture de chiffrement E2E des sauvegardes Authy (avec Backup Password s\u00e9par\u00e9) a correctement tenu. Cependant, si votre num\u00e9ro figure parmi les donn\u00e9es expos\u00e9es et que vous \u00eates une cible potentielle, la vigilance face au SIM swapping s&#8217;impose lors de toute tentative de r\u00e9cup\u00e9ration de compte.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Peut-on utiliser Microsoft Authenticator sans compte Microsoft ?<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Oui. Microsoft Authenticator fonctionne comme un g\u00e9n\u00e9rateur TOTP standard pour n&#8217;importe quel service compatible, sans n\u00e9cessiter de compte Microsoft. Les fonctionnalit\u00e9s avanc\u00e9es (push d&#8217;approbation, authentification sans mot de passe) sont r\u00e9serv\u00e9es aux services Microsoft et aux environnements Entra ID.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Quelle application 2FA recommander pour une PME fran\u00e7aise ?<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Si votre PME utilise Microsoft 365, Microsoft Authenticator avec Entra ID est le choix le plus coh\u00e9rent et le mieux int\u00e9gr\u00e9, avec la gestion centralis\u00e9e des authentifications. Sinon, Google Authenticator couvre les besoins de base pour les \u00e9quipes, avec une configuration simple service par service. Pour une gestion centralis\u00e9e sans Microsoft, Duo Security (Cisco) est une alternative enterprise reconnue.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Que se passe-t-il si je perds mon t\u00e9l\u00e9phone avec Google Authenticator ?<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Si la sauvegarde Google \u00e9tait activ\u00e9e, r\u00e9installez Google Authenticator sur votre nouveau t\u00e9l\u00e9phone et connectez-vous au m\u00eame compte Google : vos codes sont restaur\u00e9s automatiquement. Sans sauvegarde, vous devez utiliser les codes de secours fournis par chaque service lors de la configuration initiale du 2FA. C&#8217;est pour cette raison que conserver ces codes de secours hors ligne est une \u00e9tape absolument critique \u00e0 ne jamais n\u00e9gliger.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Les codes TOTP fonctionnent-ils sans connexion internet ?<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Oui. Les trois applications g\u00e9n\u00e8rent les codes TOTP enti\u00e8rement hors ligne. La seule connexion r\u00e9seau requise est la synchronisation de l&#8217;horloge de l&#8217;appareil (NTP), mais une l\u00e9g\u00e8re d\u00e9rive est tol\u00e9r\u00e9e par le standard RFC 6238 (\u00b130 secondes gr\u00e2ce \u00e0 la fen\u00eatre de tol\u00e9rance). Vous pouvez utiliser Google Authenticator, Authy ou Microsoft Authenticator en avion, dans un sous-sol ou partout o\u00f9 il n&#8217;y a pas de r\u00e9seau.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>La 2FA par application est-elle vraiment plus s\u00fbre que la 2FA par SMS ?<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Oui, significativement. Les codes par SMS sont vuln\u00e9rables au SIM swapping (transfert frauduleux de votre num\u00e9ro vers une autre SIM) et aux attaques SS7 sur le r\u00e9seau t\u00e9l\u00e9phonique mondial. Les codes TOTP g\u00e9n\u00e9r\u00e9s localement ne transitent par aucun r\u00e9seau t\u00e9l\u00e9phonique et sont impossibles \u00e0 intercepter via ces vecteurs. Les applications TOTP sont l\u00e9g\u00e8rement moins pratiques que les SMS pour la configuration initiale, mais leur niveau de s\u00e9curit\u00e9 est nettement sup\u00e9rieur pour la g\u00e9n\u00e9ration des codes d&#8217;authentification quotidiens.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Google Authenticator peut-il s&#8217;utiliser sur PC ou Mac ?<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Il n&#8217;existe pas d&#8217;application Google Authenticator native pour PC ou Mac. Sur ordinateur, les codes sont accessibles via votre smartphone. Pour une solution avec support desktop, des gestionnaires de mots de passe comme Bitwarden ou 1Password int\u00e8grent la g\u00e9n\u00e9ration TOTP sur toutes les plateformes (Windows, macOS, Linux, iOS, Android). L&#8217;outil Aegis (Android) et 2FAS (iOS + Android) sont des alternatives open source qui, elles non plus, ne proposent pas d&#8217;application desktop en 2026.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Trois applications gratuites. Une seule couche de s\u00e9curit\u00e9 critique. Google Authenticator, Authy et Microsoft Authenticator prot\u00e8gent des centaines de millions de comptes en ligne, mais leurs diff\u00e9rences en mati\u00e8re de\u2026<\/p>\n","protected":false},"author":6,"featured_media":347,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[10,3],"tags":[],"class_list":["post-346","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-10","category-security"],"_links":{"self":[{"href":"https:\/\/shattered.io\/fr\/wp-json\/wp\/v2\/posts\/346","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/shattered.io\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/shattered.io\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/shattered.io\/fr\/wp-json\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/shattered.io\/fr\/wp-json\/wp\/v2\/comments?post=346"}],"version-history":[{"count":1,"href":"https:\/\/shattered.io\/fr\/wp-json\/wp\/v2\/posts\/346\/revisions"}],"predecessor-version":[{"id":348,"href":"https:\/\/shattered.io\/fr\/wp-json\/wp\/v2\/posts\/346\/revisions\/348"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/shattered.io\/fr\/wp-json\/wp\/v2\/media\/347"}],"wp:attachment":[{"href":"https:\/\/shattered.io\/fr\/wp-json\/wp\/v2\/media?parent=346"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/shattered.io\/fr\/wp-json\/wp\/v2\/categories?post=346"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/shattered.io\/fr\/wp-json\/wp\/v2\/tags?post=346"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}