Un mot de passe compromis ne suffit plus à protéger un compte. La double authentification MFA ajoute une deuxième vérification que seul le vrai propriétaire peut fournir. Mais toutes les méthodes de double authentification ne se valent pas : certaines résistent au SIM swapping, d’autres non. Ce guide pratique fait le tour des options disponibles et explique comment choisir la plus adaptée à votre situation.
Pourquoi la double authentification MFA change tout
Un mot de passe seul présente une faille structurelle : s’il est volé ou deviné, l’attaquant accède directement à votre compte. La double authentification MFA (Multi-Factor Authentication) exige un deuxième facteur de vérification en plus du mot de passe. Ce deuxième facteur peut être quelque chose que vous possédez (votre téléphone, une clé physique), quelque chose que vous êtes (empreinte digitale, reconnaissance faciale) ou quelque chose que vous connaissez (un code généré en temps réel).
En pratique, même si un escroc parvient à obtenir votre mot de passe, il lui faut également ce deuxième facteur pour se connecter. La MFA réduit de façon spectaculaire les risques de compromission de compte. Selon Microsoft, elle bloque jusqu’à 99,9 % des attaques automatisées sur les comptes (credential stuffing, password spraying). C’est pourquoi son activation est aujourd’hui recommandée par l’ANSSI pour l’ensemble des services en ligne importants.
L’ANSSI déconseille de changer son mot de passe régulièrement
Depuis 2022, l’ANSSI recommande de ne pas imposer de renouvellement périodique des mots de passe si ceux-ci sont déjà robustes et uniques. Un changement fréquent conduit souvent à des mots de passe plus faibles. L’essentiel est d’avoir un mot de passe fort et différent sur chaque service.
Comparatif des méthodes de double authentification
Toutes les méthodes MFA n’offrent pas le même niveau de protection. En particulier, la résistance au SIM swapping est un critère décisif : si votre numéro de téléphone peut être transféré frauduleusement sur une autre SIM, les codes envoyés par SMS deviennent accessibles à l’escroc.
| Méthode | Protection | Résiste au SIM swap | Facilité d’usage |
|---|---|---|---|
| Code SMS (OTP) | Faible | Non | Très facile |
| Code par email | Faible | Partielle | Facile |
| Application authenticator | Solide | Oui | Facile |
| Clé physique FIDO2 | Très solide | Oui | Modérée |
| Passkeys (biométrie) | Très solide | Oui | Très facile |
Le code SMS est la méthode la plus répandue, car elle ne nécessite aucune installation. Toutefois, elle est vulnérable au SIM swapping et à l’interception de SMS. Elle reste nettement meilleure qu’une simple protection par mot de passe, mais constitue le niveau minimal à accepter.
Une application authenticator génère des codes à usage unique directement sur votre appareil, sans dépendre du réseau téléphonique. Elle est donc immune au SIM swapping. Les principales applications disponibles fonctionnent sur iOS et Android, et permettent de gérer les codes de dizaines de services différents depuis une seule interface. C’est aujourd’hui le meilleur rapport protection/facilité pour un particulier.
La clé physique FIDO2 offre la protection la plus robuste : elle ne peut pas être phishée ni interception, car la vérification est locale et cryptographique. En revanche, elle implique d’avoir la clé physique sur soi au moment de la connexion et représente un coût supplémentaire. Elle est surtout recommandée pour les comptes à très haute valeur (compte professionnel, accès sensibles).
Votre espace Mon Compte sur mon-compte.bouyguestelecom.fr est protégé par la double authentification activée par défaut pour tous les abonnés. Deux méthodes sont disponibles : par SMS sur votre numéro ou par email sur votre adresse de contact. Pour une protection optimale, associez également une adresse email de secours robuste à votre compte.
Les passkeys : la MFA du futur, déjà présente
Les passkeys représentent une évolution majeure : elles remplacent à la fois le mot de passe et le code de double authentification par un unique geste biométrique (empreinte digitale ou reconnaissance faciale sur votre appareil). En 2026, plus de 15 milliards de comptes en ligne sont compatibles avec les passkeys, dont Google, Amazon, PayPal, GitHub et WhatsApp.
D’un point de vue sécuritaire, les passkeys sont fondamentalement résistantes au phishing : elles sont liées cryptographiquement au domaine du site, ce qui signifie qu’un site frauduleux ne peut pas intercepter une passkey légitime. De plus, elles ne transitent jamais par le réseau sous forme lisible. Ainsi, elles éliminent à la source le risque de vol de mot de passe et de phishing de codes MFA.
Pour activer les passkeys sur vos comptes principaux, rendez-vous dans les paramètres de sécurité de chaque service. La plupart proposent un assistant guidé. Votre smartphone iOS ou Android sert de clé : il stocke la passkey de façon sécurisée et la synchronise sur vos autres appareils via votre compte Apple ou Google.
Par où commencer ?
Commencez par activer la MFA sur vos comptes les plus critiques : email principal, banques, Mon Compte Bouygues Telecom. Ensuite, remplacez le SMS par une application authenticator partout où c’est disponible. Enfin, activez les passkeys sur les services qui les proposent pour la protection maximale.
Questions fréquentes sur la double authentification MFA
Que se passe-t-il si je perds mon téléphone et que j’ai activé la MFA ?
La plupart des services proposent des codes de récupération à générer lors de l’activation de la MFA. Notez-les et stockez-les en lieu sûr (pas sur votre téléphone). Si vous utilisez une application authenticator, celle-ci peut être restaurée depuis une sauvegarde chiffrée. Pour les passkeys, elles sont synchronisées via votre compte Apple ou Google et peuvent être récupérées sur un nouvel appareil.
La double authentification par SMS est-elle vraiment utile malgré ses limites ?
Oui. Même si le SMS n’est pas la méthode la plus robuste, il reste bien plus efficace qu’un mot de passe seul. Il complique significativement le travail de l’attaquant, qui doit en plus réussir un SIM swapping pour contourner la protection. La règle est : une MFA imparfaite vaut mieux qu’aucune MFA.
Les passkeys fonctionnent-elles sur tous les navigateurs ?
En 2026, le support des passkeys dépasse 95 % des navigateurs selon les données caniuse. Chrome, Safari, Firefox et Edge les supportent nativement. La compatibilité varie encore légèrement selon les services et les systèmes d’exploitation, mais la couverture est suffisante pour un usage quotidien sans friction notable.
Puis-je utiliser la MFA si je n’ai pas de smartphone ?
Oui. Plusieurs alternatives existent : codes envoyés par email, clés physiques FIDO2 (branchées en USB), ou codes de récupération statiques. Pour Mon Compte Bouygues Telecom, la double authentification par email est disponible et ne nécessite pas de smartphone. Il suffit d’avoir accès à une adresse email sécurisée.
Sources : ANSSI, recommandations authentification 2022 ; Cybermalveillance.gouv.fr ; State of Passkeys Index 2025 ; FIDO Alliance, état du déploiement passkeys 2026 ; Microsoft Security Blog.