Authentification à 2 facteurs : pourquoi et comment l'activer

Par Équipe Se Connecter Belgique · Publié le 28/04/2026 · 7 min de lecture

L'authentification à 2 facteurs (2FA, ou « two-factor authentication ») est devenue en 2026 la mesure de sécurité de base pour tout compte en ligne sensible. Selon Microsoft, elle bloque 99,9% des tentatives de piratage, même quand le mot de passe est compromis. Sur seconnecter.be, nous expliquons concrètement comment l'activer, méthode par méthode, sur les principaux services utilisés en Belgique.

Qu'est-ce que le 2FA exactement ?

Le 2FA combine 2 facteurs d'authentification de catégories différentes :

  • Quelque chose que vous savez : votre mot de passe.
  • Quelque chose que vous possédez : votre smartphone, un token, une clé physique.
  • Quelque chose que vous êtes : empreinte, visage, voix.

Sans 2FA, un mot de passe volé = compte piraté. Avec 2FA, le pirate doit aussi avoir accès à votre smartphone ou clé physique, ce qui rend l'attaque exponentiellement plus difficile.

Les différentes méthodes 2FA, classées par sécurité

1. Clé de sécurité physique (le plus sûr)

Une petite clé USB (YubiKey, Google Titan, Nitrokey) qui se branche pour valider la connexion.

Avantages : ultra-sécurisé, résistant au phishing, fonctionne sans réseau.

Inconvénients : coût (~30-60€), risque de perte (avoir 2 clés en backup).

Pour qui : comptes très sensibles (administrateurs, journalistes, militants, comptes pro).

2. Application authenticator (recommandé pour la majorité)

Une app sur votre smartphone (Google Authenticator, Authy, Microsoft Authenticator, 2FAS) qui génère un code à 6 chiffres renouvelé toutes les 30 secondes.

Avantages : gratuit, simple, fonctionne hors ligne, résistant au SIM-swap.

Inconvénients : si vous changez de téléphone, il faut migrer (Authy permet la sauvegarde, Google Authenticator depuis 2023).

Pour qui : tout le monde, par défaut.

3. Itsme (en Belgique)

L'app belge d'identité numérique itsme sert aussi de 2FA naturelle pour les services qui l'intègrent (banques, MyMinFin, mutuelles, énergéticiens...).

Avantages : officiel et reconnu par l'État belge, ergonomique, gratuit, sécurité élevée.

Inconvénients : belge uniquement (pas tous les services internationaux), nécessite un téléphone.

Pour qui : tous les belges, indispensable pour services publics belges.

4. Notification push

Validation par notification sur smartphone (« C'est bien vous qui essayez de vous connecter ? »). Utilisé par Google, Microsoft, Apple, certaines banques.

Avantages : très simple d'usage.

Inconvénients : vulnérable au « MFA fatigue » (envoi répété pour faire céder l'utilisateur).

5. SMS (mieux que rien, mais déconseillé pour comptes sensibles)

Code reçu par SMS.

Avantages : facile, fonctionne sur tout téléphone.

Inconvénients : vulnérable au SIM-swap (le pirate fait porter votre numéro chez lui), interception possible.

Pour qui : éviter sur banques et email principal. Acceptable pour les comptes secondaires.

6. Email (à éviter)

Code envoyé sur votre email.

Inconvénients : si votre email est piraté, le 2FA tombe avec.

Comment activer le 2FA, service par service

Facebook

  1. Connectez-vous, cliquez votre photo de profil → « Paramètres et confidentialité » → « Paramètres ».
  2. « Mot de passe et sécurité » → « Authentification à deux facteurs ».
  3. Choisissez « App authentification » (recommandé).
  4. Scannez le QR avec votre app authenticator.
  5. Saisissez le code généré pour confirmer.
  6. Téléchargez les codes de récupération.

Voir aussi notre guide Facebook complet.

Gmail / Compte Google

  1. Allez sur myaccount.google.com/security.
  2. « Validation en 2 étapes » → « Activer ».
  3. Recommandé : notification Google (le plus simple).
  4. Téléchargez les codes de secours.

Voir aussi notre guide Gmail.

Banques belges (Belfius, ING, BNP Paribas Fortis, KBC/CBC)

La 2FA est obligatoire selon la directive européenne PSD2 : vous l'avez déjà.

  • Soit carte de banque + ING Card Reader / Belfius Card Reader / Easy Banking Card Reader.
  • Soit itsme.
  • Soit notification push depuis l'app bancaire.

Voir nos guides Belfius, ING, BNP Paribas Fortis, CBC/KBC.

MyMinFin (services publics)

L'authentification est imposée forte : itsme, eID + lecteur, ou Sign with KBC/CBC. Pas de mode « simple email/mot de passe ». Voir notre guide MyMinFin.

Amazon

  1. Compte → Connexion et sécurité → « Vérification en deux étapes » → Activer.
  2. Choisissez App authenticator.
  3. Confirmez.

Itsme lui-même

Itsme est déjà une 2FA naturelle (smartphone + code/biométrie). Pas besoin d'activer autre chose.

Les 4 erreurs à éviter avec le 2FA

  1. Ne pas conserver les codes de récupération : si vous perdez votre téléphone, vous serez bloqué.
  2. Utiliser le SMS pour des comptes critiques : vulnérable au SIM-swap.
  3. Désactiver le 2FA « parce que c'est pénible » : c'est exactement ce qui arrive aux comptes piratés.
  4. Mettre tout sur le même téléphone sans backup : si volé/perdu, gros problème. Authy ou Microsoft Authenticator permettent un backup cloud.

Que faire si vous perdez l'accès au 2FA ?

Sans codes de récupération :

  • Comptes Google/Microsoft/Apple : procédure de récupération longue (5-7 jours, vérifications croisées).
  • Banques : passage en agence avec carte d'identité.
  • Itsme : réactivation via banque ou eID.
  • Facebook/Twitter : passage par leur procédure spécifique avec vérification d'identité.

Mieux vaut prévenir : téléchargez et imprimez les codes de récupération, conservez-les dans un coffre, et désignez des appareils de confiance.

Le futur : passkeys et passwordless

En 2026, les passkeys (clés cryptographiques liées à l'appareil) remplacent progressivement le couple mot de passe + 2FA sur de plus en plus de sites (Google, Apple, Microsoft, Amazon, banques). C'est plus simple ET plus sécurisé. Activez les passkeys dès qu'ils sont disponibles sur vos comptes.

FAQ

Le 2FA m'oblige-t-il à le saisir à chaque connexion ?

Non, vous pouvez désigner des « appareils de confiance » qui ne demandent le 2FA que toutes les 30 jours par exemple. Sur ordinateur public, ne cochez jamais cette option.

Si mon téléphone est volé, le voleur peut-il accéder à mes comptes ?

Pas si votre téléphone est verrouillé (code PIN, biométrie). Le 2FA s'ajoute à votre verrouillage de téléphone : deux barrières.

Authy ou Google Authenticator ?

Authy a meilleur backup cloud et multi-appareils. Google Authenticator a fait des progrès depuis 2023. Les deux sont bons. Personnellement, Authy si vous voulez le plus de simplicité, Google Auth si vous restez dans l'écosystème Google.

Que faire si l'app authenticator se synchronise plus ?

Vérifiez que l'heure du téléphone est correcte et synchronisée automatiquement. Le 2FA dépend du timing exact (codes valables 30 secondes).

En résumé

  • Activez le 2FA sur TOUS vos comptes importants.
  • Préférez app authenticator (Authy, Google Auth) ou itsme au SMS.
  • Conservez les codes de récupération en lieu sûr.
  • Pour les comptes très sensibles, considérez une clé physique YubiKey.
  • Activez les passkeys dès que disponibles, c'est l'avenir.