C'est quoi la 2FA / MFA ?

Q: 2FA et MFA c'est pareil ?

La 2FA est un cas particulier de MFA avec exactement deux facteurs.

Q: Peut-on contourner la 2FA ?

Oui via SIM-swap, kits de phishing en temps réel, ou fatigue MFA. Les clés matérielles battent ces trois cas.

Q: C'est quoi les passkeys ?

Des credentials FIDO2 synchronisés entre vos appareils qui remplacent complètement le mot de passe.

1Pourquoi un mot de passe ne suffit plus

Un mot de passe, c'est quelque chose que vous savez. S'il fuite dans une breach ou est deviné, l'attaquant a tout. La double authentification (2FA) ajoute une seconde vérification — quelque chose que vous possédez (téléphone, clé de sécurité) ou que vous êtes (empreinte). Même un phishing parfait de votre mot de passe échoue si l'attaquant n'a pas le second facteur. La MFA généralise cela à N facteurs.

99,9%

Des attaques automatisées de prise de compte bloquées par MFA (Microsoft)

< 1 min

Pour activer la 2FA sur la plupart des services

Catégories de facteurs : savoir, avoir, être

2Les types de 2FA, classés

Clé de sécurité matérielle (FIDO2 / WebAuthn) Top

YubiKey, Titan, Passkeys. Résistantes au phishing par design : la clé vérifie l'origine du site avant de répondre.

Application TOTP Bon

Google Authenticator, Aegis, 2FAS. Code à 6 chiffres toutes les 30 s, fonctionne offline, bien plus sûr que le SMS.

Notification push Correct

Pratique mais vulnérable aux attaques de « fatigue MFA » où l'utilisateur finit par valider par épuisement.

Code par SMS Faible

Vulnérable au SIM-swapping et à l'interception. Mieux que rien, mais jamais sur un compte critique.

Explorez l'écosystème mlab.sh

mlab.sh propose des scanners et cheatsheets de niveau pro utilisables au quotidien.

Ouvrir les outils mlab.sh

3Erreurs fréquentes

Stocker les codes 2FA dans le même gestionnaire que le mot de passe

Si le coffre fuite, les deux facteurs fuitent avec. Acceptable pour des comptes secondaires, pas pour l'email ou la banque.

Perdre ses codes de secours

Imprimez-les, rangez-les en lieu sûr. Téléphone perdu + pas de backup = compte perdu.

Valider un push non sollicité

Si votre téléphone sonne pour une connexion que vous n'avez pas lancée, refusez — quelqu'un a votre mot de passe.

FAQ 2FA & MFA

2FA et MFA, c'est pareil ?

La 2FA est un cas particulier de MFA avec exactement deux facteurs. La MFA peut en compter deux, trois ou plus.

Peut-on contourner la 2FA ?

Oui — via SIM-swap (SMS), kits de phishing qui proxient le vrai site en temps réel, ou fatigue MFA. Les clés matérielles battent ces trois cas.

C'est quoi les passkeys ?

Les passkeys sont des credentials FIDO2 synchronisés entre vos appareils. Elles remplacent complètement le mot de passe et résistent au phishing.

Propulsé par mlab.sh

Modules connexes

La sécurité des mots de passe

Mots de passe forts, gestionnaires de mots de passe, passphrases : bâtir une stratégie qui tient la route.

C'est quoi l'ingénierie sociale ?

L'ingénierie sociale : comment les attaquants piratent des humains plutôt que des systèmes, et les signaux d'alerte.

Reconnaître un lien de phishing

Les techniques pour détecter les URLs frauduleuses qui imitent des sites légitimes.