L'authentification à deux facteurs sur le cloud : pas optionnelle, vitale
Votre mot de passe a fuité. Pas peut-être – c’est statistiquement certain. Si vous utilisez Internet depuis plus de cinq ans, au moins un de vos mots de passe se promène dans une base de données piratée, en vente pour quelques centimes sur un forum que vous ne voulez pas visiter. C’est la réalité du credential stuffing : des robots testent automatiquement des millions de combinaisons email/mot de passe issus de fuites passées sur tous les services populaires. Le 2FA (authentification à deux facteurs) est le filet de sécurité qui empêche ces robots de transformer une fuite de mot de passe en accès à vos fichiers cloud. La section sécurité du stockage cloud couvre l’architecture complète ; ici, on se concentre sur le verrou de la porte d’entrée. Et comme le rappelle Have I Been Pwned, vérifier si vos identifiants ont fuité devrait être un réflexe régulier.
La réponse courte : le 2FA ajoute un deuxième facteur de vérification au-delà du mot de passe – quelque chose que vous possédez (téléphone, clé physique) ou quelque chose que vous êtes (biométrie). Même si un attaquant obtient votre mot de passe, il ne peut pas se connecter sans ce deuxième facteur. En 2026, ne pas activer le 2FA sur un service cloud, c’est laisser la clé sous le paillasson.
Toutes les méthodes 2FA ne se valent pas
Il y a 2FA et 2FA. La méthode que vous choisissez détermine votre niveau réel de protection, et la différence entre les options est plus grande que ce que la plupart des gens imaginent.
SMS – le pire de la bande (mais mieux que rien). Le fournisseur envoie un code à 6 chiffres par SMS. Problème : le SMS n’est pas chiffré, il transite en clair sur le réseau téléphonique. Le SIM swapping (un attaquant convainc votre opérateur de transférer votre numéro vers sa SIM) est devenu trivial. La CNIL et le NIST déconseillent le SMS comme second facteur depuis des années. Si c’est votre seule option, prenez-la. Si vous avez le choix, prenez autre chose.
TOTP (Time-based One-Time Password) – le standard raisonnable. Une application comme Google Authenticator, Authy ou Ente Auth génère un code à 6 chiffres qui change toutes les 30 secondes. Le code est calculé localement à partir d’un secret partagé lors de la configuration initiale. Pas de transmission réseau, pas de SIM swapping possible. C’est la méthode la plus répandue et le meilleur rapport sécurité/praticité pour la majorité des utilisateurs.
WebAuthn / FIDO2 – le meilleur, et de loin. Une clé physique (YubiKey, Google Titan, SoloKeys) ou le capteur biométrique de votre appareil (Touch ID, Windows Hello) sert de second facteur. Le protocole FIDO2 est résistant au phishing par conception : la clé est liée au domaine du site, donc un faux site qui imite votre cloud ne peut pas intercepter l’authentification. C’est la seule méthode qui protège à la fois contre le vol de mot de passe et contre le phishing sophistiqué.
Passkeys – l’évolution de FIDO2 que vous verrez de plus en plus. Les passkeys remplacent complètement le mot de passe par une authentification cryptographique liée à votre appareil. Apple, Google et Microsoft les poussent massivement. Pour le cloud, c’est la direction vers laquelle tout converge.
Ce que le 2FA ne protège pas
Le 2FA protège la porte d’entrée de votre compte. Il ne protège pas les fichiers une fois que quelqu’un est dedans. Si un collègue avec un accès légitime copie des données confidentielles, le 2FA ne change rien. Si un ransomware chiffre vos fichiers synchronisés, le 2FA ne change rien. C’est pourquoi le 2FA fonctionne en tandem avec les politiques de mots de passe pour les équipes – le 2FA verrouille la porte, les politiques de mot de passe s’assurent que personne ne laisse traîner les clés.
Les journaux d’accès complètent la protection
Le 2FA empêche les accès non autorisés. Les journaux d’accès et l’audit de sécurité détectent les tentatives et les anomalies. Les deux ensemble forment un duo : prévention et détection. Un compte avec 2FA mais sans journaux d’accès est comme une porte blindée sans caméra de surveillance – vous êtes protégé, mais vous ne saurez jamais si quelqu’un a essayé d’entrer.
Côté fournisseurs : Infomaniak propose le TOTP et les clés de sécurité FIDO2 pour tous les comptes kDrive. Google et Microsoft offrent un éventail complet (SMS, TOTP, FIDO2, passkeys). Dropbox supporte le TOTP et les clés de sécurité. Proton prend en charge le TOTP et FIDO2. Sync.com se limite au TOTP.
La bonne pratique, c’est simple : activez le 2FA maintenant, sur tous vos comptes cloud, avec la méthode la plus forte disponible. Si votre fournisseur propose FIDO2, achetez une YubiKey (30-50 euros, un investissement ridicule par rapport à ce que contient votre cloud). Si FIDO2 n’est pas disponible, TOTP avec une application dédiée. Le SMS, seulement si c’est votre unique option. Et ne réutilisez jamais le même mot de passe entre deux services – le 2FA protège contre la fuite d’un mot de passe, pas contre la paresse d’en utiliser un seul partout.