Aujourd'hui, la vérification en deux étapes (2FA) est devenue la nouvelle référence en matière de sécurité. La première fois que je l'ai découverte, c'était sur le site web de ma banque. À l'époque, étudiant fauché, je ne comprenais pas son importance. Je le suis toujours, mais je comprends maintenant pourquoi une banque en ligne a besoin de la vérification en deux étapes. Ce que je ne comprends toujours pas, c'est pourquoi mon compte Grammarly l'exige.
Vérification en deux étapes (2FA) C'est ce qui se passe lorsque vous saisissez votre nom d'utilisateur et votre mot de passe, et que vous recevez le message tant redouté : « Veuillez saisir le code envoyé à [votre adresse e-mail] ». En théorie, c'est une sécurité supplémentaire. Même si quelqu'un possède vos identifiants, il aura toujours accès à votre e-mail ou à votre téléphone. Mais en pratique, la vérification en deux étapes représente un problème plus important pour l'utilisateur que pour le pirate.
Liens rapides
L'accès est trop compliqué.
Vous ne devriez pas avoir à vérifier vos freins avant chaque voyage.
En gros, l'objectif de la vérification en deux étapes est de rendre l'accès plus difficile, et oui, ça marche, pas seulement pour les pirates, mais pour moi aussi. Les chances que la personne qui se connecte ne soit pas moi, mais un pirate, sont minces, et pourtant, c'est moi qui suis puni en faisant des pieds et des mains. Il me faut maintenant au moins deux fenêtres ouvertes pour me connecter où que ce soit. D'abord le site web. Ensuite, mon adresse e-mail, pour obtenir le code. Pire encore, si la vérification en deux étapes repose sur les SMS, je dois avoir mon téléphone à portée de main.
C'est le même dilemme inhérent à toute mesure de sécurité. Vous pouvez éviter les défaillances des freins de votre voiture en les vérifiant avant chaque trajet. C'est logique : pour éviter les défaillances, les accidents et prolonger la vie de votre véhicule, il est conseillé de vérifier les freins de votre voiture à chaque fois. Mais personne ne le fait, car ce n'est pas pratique. C'est ce qui se passe avec l'authentification à deux facteurs.
Utiliser un VPN aggrave la situation. J'utilise presque toujours un VPN. Cela signifie que la vérification en deux étapes, pourtant simple, est « … ».Est-ce la même adresse IP ?« Ça m'apprend presque à chaque fois. Utiliser un VPN nuit systématiquement à la confidentialité, mais sans lui, je suis contraint de recommencer sans cesse à utiliser des codes. Alors, que faire, à part consulter son adresse e-mail ou son téléphone à chaque fois qu'on veut se connecter ? »
faux sentiment de sécurité
Les bonnes habitudes sont plus importantes que la revalidation constante.
Il y a évidemment une différence entre avoir Bonnes habitudes de sécurité des e-mails Sans parler des démarches fastidieuses à chaque connexion. Un bon système d'assurance qualité n'exige pas de contrôle qualité strict. Si vous conduisez déjà de manière responsable et remplacez régulièrement vos freins, inutile de les faire vérifier avant chaque trajet ; la même logique s'applique ici.
Je ne compte plus le nombre de fois où j'ai essayé de me connecter à mon compte Google sur mon téléphone, pour finalement recevoir une invite de vérification sur l'appareil. Si quelqu'un a mon téléphone, c'est fini ; il n'a même pas besoin de mon mot de passe. Un e-mail ou un SMS lui donne les clés. L'authentification à deux facteurs par SMS est cependant encore omniprésente. L’échange de carte SIM est une menace connue et active.L'authentification à deux facteurs par SMS est pratique, mais extrêmement peu sûre. Aucun site web ne peut sérieusement prétendre avoir créé votre compte. Plus sûr En ajoutant une authentification à deux facteurs via SMS.
Peu fiable
L’authentification à deux facteurs repose sur des méthodes de livraison instables.
Bien que l'authentification à deux facteurs soit considérée comme un pilier de la sécurité moderne, elle est loin d'être fiable. Mon expérience avec Google est positive, mais celle de Meta est incohérente, et celle de Microsoft est tout simplement désastreuse (j'y reviendrai plus tard). Si les grandes entreprises technologiques ne maîtrisent pas l'authentification à deux facteurs, quel espoir y a-t-il pour les petites entreprises ? Et si elles font appel à un service tiers, que se passera-t-il en cas de panne ? Perdrons-nous soudainement l'accès à des dizaines de comptes simultanément ?
Mon opérateur a subi une panne de service la semaine dernière. Je n'ai pas pu me connecter à mon panneau de contrôle, car le code SMS n'est jamais arrivé. Avec l'authentification à deux facteurs par SMS, la moindre panne réseau peut complètement anéantir le message.
Les fournisseurs considèrent l'authentification à deux facteurs comme un filet de sécurité facultatif, et non comme une fonctionnalité essentielle. Cela signifie qu'ils ne se soucient pas de mécanismes de sauvegarde robustes. Si chaque compte basé sur un mot de passe nécessite désormais l'authentification à deux facteurs, pourquoi le système ne fonctionne-t-il pas dans les deux sens ? Les comptes configurés uniquement par téléphone ou par e-mail devraient également nécessiter un mot de passe de secours. Car lorsque l'authentification à deux facteurs échoue – et cela arrive souvent – vous êtes en difficulté.
Encombrement de la boîte de réception et confidentialité
Les jetons ont des coûts cachés.
Chaque tentative de connexion se transforme en un e-mail ou un SMS que je n'ai jamais demandé. L'authentification à deux facteurs rend cela inévitable. Je transmets constamment mon adresse e-mail ou mon numéro de téléphone à des entreprises que je préfère éviter. Vous souvenez-vous de l'époque où l'on pouvait s'inscrire avec un simple nom d'utilisateur et un mot de passe ? À l'époque, il fallait confirmer son mot de passe ; maintenant, c'est l'adresse e-mail qui est utilisée. Les mots de passe ne sont plus à la mode.
Il y a un problème de confidentialité plus profond. Lorsque mon fournisseur de messagerie gère les codes d'authentification à deux facteurs, il surveille chaque tentative de connexion. Gmail sait quand j'essaie de me connecter à PayPal. Je ne veux pas que Gmail le sache.
Activer la vérification en deux étapes par SMS est pire que vous ne le pensezMon opérateur, qui connaît déjà mon numéro et ma localisation, sait désormais quelles applications j'utilise et quand. Même s'ils n'utilisent pas ces codes pour me connecter, c'est très perturbant.
Même si la confidentialité ne vous préoccupe pas particulièrement, vous souhaitez avoir l'esprit tranquille. Je ne veux pas donner mon numéro de téléphone à chaque site auquel je m'inscris et être ensuite bombardé de messages marketing agaçants. Je ne veux pas devoir répondre « stop » à un code court et être ensuite facturé.
J'apprécie vraiment une boîte de réception propre, surtout pour mes messages iPhone. C'est pourquoi j'ai adoré iOS 26 : il a enfin intégré les dossiers indésirables aux iPhone. Mais dans le pire des cas, le service utilise le même numéro pour la vérification en deux étapes et les messages indésirables. Bloquer un numéro vous empêchera d'accéder à votre compte. Quelle solution idéale !
Fermetures permanentes
Je n’ai pas encore surmonté la perte de mon compte Outlook.
Ne pas pouvoir accéder à vos e-mails, téléphones ou appareils de sauvegarde peut vous priver définitivement de comptes importants, et le processus de récupération est extrêmement difficile. J'ai vécu ce cauchemar avec Microsoft, et plus d'un an plus tard, j'en paie encore le prix.
J'avais une adresse e-mail Outlook liée à mon université et à mon travail. Tous mes comptes importants – Asana, Slack, CMS, sites web d'entreprise, LinkedIn, mon tableau de bord universitaire, mon VPN – y étaient connectés.
Je voulais simplement envoyer un brouillon de ma thèse à mon professeur. Mais Outlook avait d'autres plans : il m'a obligé à me réauthentifier. Aucun problème. J'ai saisi mon adresse e-mail et mon mot de passe, mais cela n'a pas suffi. Un code de vérification en deux étapes a été envoyé à mon adresse e-mail de secours. Malheureusement, cette adresse était une autre adresse Outlook qui nécessitait également une vérification en deux étapes.
Mon adresse e-mail de secours était mon compte Yahoo. Vous pouvez déjà deviner ce qui s'est passé. Tout le système s'est effondré comme une masse. À court de temps et de patience, j'ai cliqué sur « Réinitialiser le mot de passe ». J'ai répondu correctement à deux questions de sécurité, mais on m'a indiqué que mon compte était « bloqué en raison d'une activité suspecte ».
Lorsque j'ai retrouvé l'accès à mes comptes Yahoo et Outlook secondaires, le compte principal avait disparu. Le système de récupération de Microsoft voulait connaître l'objet de mes e-mails récents (sans problème), mes contacts récents (sans problème) et le pays depuis lequel je me connectais (impossible, j'utilisais toujours un VPN). Je me suis trompé de pays. Microsoft a réagi en m'empêchant de réessayer. Mon compte a été verrouillé définitivement.
J'ai dû me démener pour changer mon adresse e-mail partout, l'expliquer à mes professeurs et collègues, et m'excuser pour le désordre. Certains services ne me permettent toujours pas de mettre à jour mes identifiants sans cette adresse Outlook. Si je me déconnecte, ces comptes seront définitivement supprimés.
Oui, mes habitudes de sécurité n'étaient pas idéales. Je n'aurais pas dû utiliser Outlook comme sauvegarde. J'aurais dû consulter mes sauvegardes plus régulièrement. Mais cette sanction est trop sévère. La sécurité devrait protéger les utilisateurs sans les bloquer. Au lieu de cela, la 2FA m'a exclu de ma vie. Et en 2025, le support client n'est plus vraiment une option. Vous aurez droit à un chatbot piloté par l'IA.
Le remède est pire que le mal
Tout bien considéré, je comprends pourquoi l'authentification à deux facteurs (2FA) est présentée comme un rempart contre les accès non autorisés, mais son application concrète s'est avérée plus problématique qu'elle n'en vaut la peine. La complexité excessive des accès, le manque de fiabilité de la livraison des codes, l'encombrement et les atteintes à la vie privée dans nos boîtes de réception, et le risque de fermetures définitives terrifiantes : le coût de cette couche de sécurité supplémentaire est-il vraiment supérieur aux avantages escomptés ?
