Skip to content
Email Tools

guide · Gmail Security & 2FA

Activer la double authentification Gmail (2FA) en 2026

Activez la validation en deux étapes sur Gmail en moins de cinq minutes, Google Prompt, clé de sécurité, application Authenticator, codes de secours.

Alexis Dollé Par Alexis Dollé · ·
Activer la double authentification Gmail (2FA) en 2026

J’ai activé la validation en deux étapes sur trois de mes propres comptes Gmail ce mois-ci avec trois seconds facteurs différents, une YubiKey 5 NFC, Google Authenticator, et un SMS comme test délibéré du pire scénario, et j’ai chronométré chaque mise en place. Le plus rapide (Google Prompt sur un téléphone déjà connecté) a pris 90 secondes du début à la fin. Le plus lent (clé physique avec codes de secours imprimés et stockés hors-ligne) a pris un peu moins de cinq minutes. Selon le Verizon Data Breach Investigations Report 2024, le facteur humain, très majoritairement vol d’identifiants et phishing, était impliqué dans 68 % des compromissions cette année-là, et l’étude interne de Google publiée en 2019 a démontré que les clés de sécurité physiques bloquaient 100 % des tentatives de phishing automatisées et ciblées contre les comptes des employés. La validation en deux étapes est l’amélioration la moins chère et la plus rentable que vous ferez jamais sur un compte Google. Voici exactement comment l’activer, quel second facteur choisir vraiment en 2026, et ce qui change à la seconde où vous confirmez.

Ce que la 2FA fait vraiment sur Gmail (et ce qu’elle ne fait pas)

La validation en deux étapes (le nom Google de la 2FA) ajoute une seconde preuve d’identité par-dessus votre mot de passe, quelque chose que vous possédez (un téléphone, une clé de sécurité, un code imprimé) en plus de quelque chose que vous savez (le mot de passe). Quand la validation en deux étapes est active, un mot de passe volé seul ne suffit plus à se connecter à votre compte Google. Un attaquant a aussi besoin du second facteur, qu’il n’a presque jamais. C’est la principale raison pour laquelle les attaques par bourrage d’identifiants et par phishing échouent contre les comptes qui ont la 2FA activée.

Ce que la 2FA fait bien : elle tue toute la catégorie d’attaques où un mot de passe fuité d’une brèche tierce (LinkedIn 2012, Adobe 2013, toutes les brèches depuis) est réutilisé contre votre Gmail. Elle bloque aussi le phishing en masse où l’attaquant capture votre mot de passe mais n’a aucun moyen de capturer aussi le second facteur lié à l’appareil. Selon la recherche de Google publiée en 2019 avec NYU et UC San Diego, les prompts sur l’appareil bloquaient 100 % des bots automatisés, 99 % du phishing en masse et 90 % du phishing ciblé. Les clés de sécurité bloquaient les trois à 100 %.

Ce que la 2FA ne fait pas : elle ne protège pas contre les logiciels malveillants sur un appareil déjà connecté, contre le vol de cookie de session depuis un navigateur compromis, ni contre un kit de phishing sophistiqué en temps réel qui relaye votre code de second facteur vers la vraie page de connexion Google dans la même minute où vous le tapez (attaques adversary-in-the-middle). Elle ne vous protège pas non plus si votre second facteur est un SMS et que l’attaquant fait un SIM-swap sur votre numéro, un schéma d’attaque documenté que le FBI IC3 signale régulièrement depuis 2019.

Deux implications pratiques. D’abord, choisir le bon second facteur compte : une clé de sécurité est nettement plus sûre qu’un SMS, même si les deux satisfont techniquement « 2FA activée ». Ensuite, la 2FA est nécessaire mais pas suffisante, combinez-la avec un gestionnaire de mots de passe, un email et un téléphone de récupération que vous contrôlez, et le Bilan de sécurité Google toutes les quelques semaines.

Les quatre méthodes proposées par Google en 2026

Google prend en charge quatre options de second facteur pour la validation en deux étapes, classées ici du plus sûr au moins sûr : clés de sécurité physiques (FIDO2 / WebAuthn, YubiKey, Titan, toute clé certifiée), Google Prompt sur un téléphone connecté, Google Authenticator ou une autre application TOTP, et SMS ou appel vocal. Les passkeys existent comme option d’identifiant principal séparée et plus forte, qui remplace à la fois le mot de passe et l’étape 2FA sur les appareils compatibles. Google vous permet d’enregistrer plusieurs méthodes et recommande d’en avoir au moins deux pour ne jamais être bloqué.

MéthodeFonctionnementRésistance au phishingCoûtCible idéale
Clé de sécurité physique (FIDO2)Brancher ou approcher une clé USB-C/NFC pour confirmer la connexionOui, liée cryptographiquement à l’origine google.com réelle30-70 $ une foisComptes à forte valeur, journalistes, fondateurs, finance, profils publics
Google PromptToucher « Oui » sur une notification envoyée à votre téléphone Android ou iPhone connectéForte, liée à un appareil spécifique, difficile à phisherGratuitLa plupart des utilisateurs, le point d’équilibre par défaut
Application Authenticator (TOTP)Générer un code à 6 chiffres limité dans le temps dans Google Authenticator, Authy, 1Password, BitwardenMoyenne, code phishable en temps réel mais pas de risque SIM-swapGratuitUtilisateurs avancés avec plusieurs comptes chez différents fournisseurs
SMS ou appel vocalRecevoir un code à 6 chiffres par texto ou voixFaible, vulnérable au SIM-swap et à l’interception SS7GratuitSolution de secours uniquement, jamais le facteur principal

Le classement propre de Google correspond à cet ordre. Le Centre de sécurité Google et le Programme Protection Avancée de Google, le mode verrouillage que Google offre aux utilisateurs à haut risque comme les activistes, journalistes et campagnes politiques, n’acceptent que les clés de sécurité physiques ou les passkeys, ni SMS ni codes Authenticator. C’est la meilleure validation que Google ait faite du type de facteur en lequel ils ont vraiment confiance.

La recommandation pratique honnête : la plupart des lecteurs devraient enregistrer Google Prompt comme facteur principal (gratuit, instantané et nettement mieux que rien), ajouter une clé de sécurité physique si le compte a un poids financier ou professionnel, et garder un jeu de codes de secours imprimés dans un coffre à la maison. Le SMS ne va sur le compte que si vous n’avez aucun autre chemin de récupération, et même là, prévoyez de l’enlever dès que vous avez mieux. La CNIL et l’ANSSI partagent cette logique de hiérarchisation des facteurs dans leurs recommandations d’authentification multifacteur.

Pas à pas, Activer la validation en deux étapes

L’activation complète prend deux à cinq minutes selon le second facteur choisi. Sur ordinateur, le chemin est myaccount.google.com → Sécurité → Validation en deux étapes → Commencer. Sur mobile, ouvrez l’application Gmail, touchez votre photo de profil → Gérer votre compte Google → Sécurité → Validation en deux étapes. Les deux parcours vous demandent de retaper votre mot de passe pour confirmer, puis vous guident pour choisir un second facteur, l’enregistrer et sauvegarder les codes de secours avant d’activer la fonctionnalité.

La séquence exacte sur ordinateur, chronométrée sur une session Chrome connectée à un compte Google personnel standard :

  1. Ouvrez la page Sécurité. Allez sur myaccount.google.com et cliquez sur Sécurité dans la barre latérale gauche. Faites défiler jusqu’à « Comment vous connecter à Google », c’est là que la validation en deux étapes, les passkeys et les options de récupération sont regroupées.

  2. Cliquez sur Validation en deux étapes. Touchez la ligne intitulée « Validation en deux étapes ». Google vous demande de retaper votre mot de passe. C’est un rappel du mot de passe, pas un prompt 2FA, si vous avez déjà la 2FA sur un autre compte de la famille sur l’appareil, ce prompt ne s’applique pas ici.

  3. Cliquez sur « Commencer » (ou « Activer » si Google a pré-sélectionné un téléphone par défaut). Google vous guide à travers l’assistant. Le premier écran demande généralement un numéro de téléphone à utiliser soit comme second facteur par défaut (Google Prompt sur ce téléphone s’il est connecté à votre compte), soit comme solution de secours. Si vous ne voulez pas partager de numéro, vous pouvez sauter directement au choix d’une clé de sécurité ou d’une application Authenticator.

  4. Choisissez votre second facteur principal. Google propose par défaut Google Prompt sur votre téléphone connecté, touchez « Essayer maintenant », approuvez le prompt de test sur votre téléphone, et l’enregistrement de ce facteur est terminé. Pour utiliser une clé de sécurité à la place, cliquez sur « Afficher plus d’options » → « Clé de sécurité » et suivez le flux d’appairage (section suivante). Pour utiliser Authenticator, cliquez sur « Afficher plus d’options » → « Application Authenticator » et scannez le QR code.

  5. Générez les codes de secours AVANT d’activer la 2FA. Cliquez sur Codes de secoursObtenir des codes. Google affiche dix codes à usage unique de 8 chiffres. Imprimez-les, copiez-les dans un gestionnaire de mots de passe ou sauvegardez-les dans un coffre chiffré. Chaque code fonctionne une fois. Sans codes de secours, perdre votre téléphone et votre clé de sécurité le même jour signifie une procédure de récupération de compte de plus d’une semaine et un possible verrouillage permanent.

  6. Confirmez « Activer ». Google applique la validation en deux étapes à partir de ce moment. Vos sessions déjà connectées restent valides ; la prochaine connexion sur un nouvel appareil ou après une actualisation des identifiants demandera le second facteur.

  7. Ajoutez un second second-facteur. Une fois la validation en deux étapes activée, retournez sur la page Validation en deux étapes et ajoutez au moins une autre méthode (une autre clé de sécurité, Authenticator sur un téléphone de secours, ou des codes de secours si vous avez sauté cette étape). L’enrôlement à un seul facteur est la cause la plus fréquente des verrouillages auto-infligés.

Le parcours mobile sur Android et iOS reflète celui de l’ordinateur. Sur Android, le point d’entrée est Paramètres → Google → Gérer votre compte Google → Sécurité → Validation en deux étapes. Sur iPhone, ouvrez l’application Gmail, touchez votre photo de profil, touchez « Gérer votre compte Google », faites défiler jusqu’à Sécurité. Les pages de l’assistant sont identiques à celles du bureau.

Ajouter une clé de sécurité, la voie recommandée

Une clé de sécurité FIDO2, YubiKey, Google Titan, Feitian, ou toute clé certifiée FIDO2, est le facteur 2FA le plus résistant au phishing que Gmail supporte. L’appairer prend 60 secondes : branchez ou approchez la clé sur votre ordinateur, touchez le bouton doré quand la clé clignote, nommez la clé, sauvegardez. À partir de ce moment, les connexions à Google sur tout nouvel appareil demanderont la clé. Les pages de phishing qui imitent google.com ne peuvent pas compléter la poignée de main cryptographique parce que la clé est liée à l’origine google.com réelle.

Ce qu’il faut acheter en 2026 (vérifié sur les pages de prix des fabricants, sans affiliation) : une YubiKey 5 NFC (USB-A + NFC, environ 55 $) ou YubiKey 5C NFC (USB-C + NFC, environ 55 $) pour une clé compatible téléphones, ordinateurs portables et tablettes. La Google Titan Security Key (USB-A ou USB-C + NFC, environ 30 $) est l’option de marque Google la moins chère. La Feitian ePass FIDO2 (USB-C + NFC, environ 25 $) est le choix économique. Achetez-en deux, pas une, enregistrez les deux sur le compte, gardez la deuxième dans un tiroir ou un coffre. Une seule clé de sécurité sans secours est un point de défaillance unique.

Le parcours d’enregistrement sur ordinateur :

  1. Depuis la page Validation en deux étapes, cliquez sur Ajouter une clé de sécurité.
  2. Branchez ou approchez la clé sur votre ordinateur. Si la clé a un bouton ou un disque doré, touchez-le quand il clignote.
  3. Saisissez un code PIN si la clé en demande un (les clés FIDO2 avec PIN sont légèrement plus fortes que sans, choisissez un PIN à 6 chiffres dont vous vous souviendrez).
  4. Nommez la clé de façon mémorable : « YubiKey bureau » ou « Titan voyage ».
  5. Répétez la procédure pour votre deuxième clé.

Ce qui change au quotidien. Sur les appareils où vous êtes déjà connecté, rien, le second facteur n’est demandé qu’aux nouvelles connexions ou lors d’événements signalés à risque. Sur un nouveau navigateur, un nouveau téléphone, ou après que Google a détecté un signal de risque, la page de connexion vous demande de brancher ou de toucher la clé. Les clés NFC fonctionnent aussi sur iPhone et Android en touchant la clé à l’arrière du téléphone quand demandé.

Deux notes pratiques. D’abord, les clés de sécurité satisfont aussi le niveau le plus fort du Programme Protection Avancée de Google, si vous voulez un jour verrouiller un compte à forte valeur (le Gmail derrière votre registrar de domaine, votre comptabilité, votre sauvegarde de phrase de récupération de portefeuille froid), enregistrer une clé physique est le prérequis. Ensuite, la spécification FIDO2 est maintenue par la FIDO Alliance, un consortium industriel qui inclut Google, Apple, Microsoft, Amazon et la majorité de l’industrie de la sécurité, votre clé fonctionnera aussi avec des centaines d’autres services (GitHub, AWS, Cloudflare, comptes Microsoft), pas seulement Google.

Ajouter une méthode de secours, Authenticator et codes

Même avec une clé de sécurité comme facteur principal, vous devriez toujours ajouter au moins une solution de secours : application Authenticator (Google Authenticator, Authy, 1Password, Bitwarden) et codes de secours imprimés. Les applications Authenticator génèrent des codes TOTP (mot de passe à usage unique limité dans le temps) à 6 chiffres qui se renouvellent toutes les 30 secondes. Les codes de secours sont dix codes imprimables à usage unique qui fonctionnent même quand votre téléphone est mort, perdu ou sur une SIM différente. Configurez les deux le jour où vous activez la 2FA.

Pour ajouter Google Authenticator (ou n’importe quelle application TOTP, Authy et les modules TOTP intégrés à 1Password et Bitwarden fonctionnent tous de la même façon contre Google) :

  1. Installez l’application authenticator sur votre téléphone depuis l’App Store ou Play Store.
  2. Sur la page Validation en deux étapes sur ordinateur, cliquez sur Application AuthenticatorConfigurer l’authenticator.
  3. Un QR code apparaît. Ouvrez l’application authenticator sur votre téléphone, touchez « + » ou « Ajouter un compte », scannez le QR code avec l’appareil photo du téléphone.
  4. L’application affiche un code à 6 chiffres pour « Google (votre-email@gmail.com) ». Tapez ce code sur l’assistant de bureau pour confirmer.
  5. Sauvegardez la clé secrète (la longue chaîne alphanumérique sous le QR code) dans un gestionnaire de mots de passe. C’est le seul moyen de restaurer la graine TOTP sur un nouveau téléphone si vous perdez celui-ci.

Les codes de secours sont la solution la plus simple techniquement et la plus fiable. Depuis la page Validation en deux étapes, cliquez sur Codes de secoursAfficher les codes (ou Générer de nouveaux codes si vous avez déjà un jeu). Google affiche dix codes à 8 chiffres. Imprimez-les, sauvegardez-les dans un gestionnaire de mots de passe ou écrivez-les sur papier et mettez-les dans un coffre. Chaque code fonctionne une fois et une seule. Quand vous en avez utilisé la majorité, générez un nouveau jeu, Google invalide les anciens codes quand vous le faites.

La recommandation transversale qui surprend la plupart des lecteurs : un gestionnaire de mots de passe avec TOTP intégré (1Password, Bitwarden, Proton Pass) permet de stocker la graine TOTP dans le même coffre que le mot de passe. C’est techniquement légèrement moins sûr qu’un téléphone séparé (le second facteur n’est plus « autre chose que vous avez ») mais beaucoup plus simple au quotidien et largement meilleur que pas de 2FA du tout. Les recommandations d’authentification du NIST SP 800-63B acceptent le TOTP comme second facteur valide en AAL2 ; elles recommandent les authentificateurs matériels pour AAL3.

Passkeys vs 2FA, le remplacement silencieux

Les passkeys sont un mécanisme différent de la 2FA. Là où la 2FA superpose un second facteur à votre mot de passe, une passkey remplace le mot de passe et l’étape 2FA par un seul identifiant cryptographique lié à votre appareil. Depuis octobre 2023, Google prend en charge les passkeys comme identifiant principal complet pour les comptes personnels ; depuis 2024, le bouton « Ignorer le mot de passe si possible » est activé par défaut sur les appareils compatibles. Le mot de passe et la 2FA restent dans le compte comme solution de secours, mais vous pouvez passer des mois sans jamais les retaper.

Le modèle mental : une passkey est un identifiant FIDO2 stocké sur votre téléphone, ordinateur ou clé physique, avec une moitié privée qui ne quitte jamais l’appareil et une moitié publique enregistrée chez Google. Quand vous vous connectez, l’appareil prouve la possession de la clé privée de façon cryptographique. Aucun secret partagé à phisher, aucun code à taper, aucune SIM à voler. L’identifiant est lié à l’origine google.com réelle, donc une page de phishing ne peut pas l’utiliser. Les chiffres publiés par Google sur l’adoption des passkeys, plus d’un milliard de connexions par passkey signalées en 2024, suggèrent que la transition est bien engagée.

Le chemin de transition compte. Ajouter une passkey ne désactive ni votre mot de passe ni votre 2FA, les deux restent dans le compte comme secours. Pour enregistrer une passkey, allez sur myaccount.google.com → Sécurité → PasskeysCréer une passkey. Google vous guide pour enregistrer l’appareil (votre Mac, votre iPhone, votre téléphone Android, votre clé physique, tous des conteneurs de passkey valides). Une fois enregistrée, la prochaine connexion sur cet appareil saute le mot de passe entièrement.

Là où les passkeys ne sont pas encore un remplacement complet : connexion multi-appareils sur les systèmes anciens, certaines intégrations SSO d’entreprise, et tout appareil qui ne peut pas exécuter un client FIDO2. La recommandation honnête en 2026 : enregistrez une passkey sur votre téléphone et ordinateur portable principaux, gardez la validation en deux étapes activée avec une clé de sécurité comme second facteur de secours, et conservez vos codes de secours imprimés. L’avenir « passkey seule, pas de mot de passe » est réel mais pas encore universel.

Pour la documentation Google sur la différence, voir Se connecter avec une passkey au lieu d’un mot de passe sur le site d’aide. Pour la spécification multi-fournisseurs, voir la page passkeys de la FIDO Alliance.

Si vous perdez votre téléphone

Perdre le téléphone qui contient votre Google Prompt, votre application Authenticator et votre numéro SMS le même jour est le pire scénario 2FA. Le chemin de récupération : utilisez un code de secours du jeu que vous avez imprimé à l’enrôlement, ou utilisez une clé de sécurité physique si vous en avez enregistré une, ou lancez la procédure de récupération de compte Google sur g.co/recover. La récupération utilise votre email de récupération, votre téléphone de récupération (un numéro différent de celui lié à la 2FA), les appareils de confiance déjà connectés, et une série de questions de vérification d’identité. Plusieurs tentatives échouées déclenchent une période d’attente de plusieurs heures à plusieurs jours.

Dans l’ordre pratique, le jour où vous découvrez que le téléphone est parti :

  1. Essayez un code de secours. Ouvrez la connexion Gmail sur un ordinateur, entrez le mot de passe, cliquez « Essayer autrement » sur le prompt 2FA, choisissez « Entrez un de vos codes de secours à 8 chiffres ». Tapez un code du jeu que vous avez sauvegardé à l’enrôlement. Vous êtes entré. Générez un nouveau jeu immédiatement et continuez.

  2. Touchez votre clé de sécurité physique. Si vous avez enregistré une YubiKey ou une Titan comme second facteur, la clé de sécurité est toujours sur votre bureau. Branchez-la dans l’ordinateur, touchez quand demandé. Vous êtes entré.

  3. Utilisez un appareil précédemment connecté. Si vous avez un autre ordinateur portable, une tablette ou le téléphone d’un proche déjà connecté à votre compte Google, connectez-vous d’abord là. Google accepte souvent le signal d’appareil de confiance à la place du prompt 2FA pour la nouvelle connexion.

  4. Lancez la récupération de compte. Ouvrez g.co/recover, entrez l’adresse Gmail et suivez les prompts. Google demande votre email de récupération, téléphone de récupération, dernier mot de passe dont vous vous souvenez et date approximative de création du compte. Répondez avec précision, des réponses inventées font échouer la récupération.

  5. Attendez la fin du blocage si la récupération échoue. Plusieurs tentatives échouées déclenchent un blocage de sécurité de plusieurs heures à plusieurs jours. Ne réessayez pas en boucle, attendez et réessayez avec de meilleures informations.

La leçon structurelle la première fois que vous devez faire ça : enregistrez deux clés de sécurité (une dans votre sac, une à la maison), sauvegardez les codes de secours à deux endroits (un gestionnaire de mots de passe et une copie imprimée dans un tiroir), et gardez un numéro de téléphone de récupération différent du téléphone qui contient votre application Authenticator. Si le téléphone principal est la source unique de vérité pour tout, le perdre est catastrophique.

Mots de passe d’application, l’échappatoire héritée

Un mot de passe d’application est un identifiant unique de 16 caractères généré par Google pour les applications qui ne peuvent pas demander de code 2FA. Quand vous activez la validation en deux étapes, toute application qui se connecte en IMAP, SMTP ou POP3 brut, et sans OAuth moderne, cesse de fonctionner jusqu’à ce que vous génériez un mot de passe d’application pour elle. La plupart des clients mail actuels (Apple Mail, Outlook 2019+, Thunderbird 102+, Mailbird, Spike, Spark, Newton, Postbox) utilisent OAuth et n’ont pas besoin de mots de passe d’application. Les cas d’usage restants : un petit ensemble d’intégrations IMAP héritées, certains pipelines scanner-vers-email d’entreprise et quelques scripts d’automatisation.

Pour générer un mot de passe d’application :

  1. Allez sur myaccount.google.com → Sécurité → Validation en deux étapes → Mots de passe d'application (la ligne n’apparaît qu’une fois la validation en deux étapes activée).
  2. Cliquez sur Sélectionner une application, choisissez « Mail » ou « Autre (nom personnalisé) », tapez un nom comme « scanner_bureau_sous_sol ».
  3. Cliquez sur Générer. Google affiche un mot de passe de 16 caractères en quatre groupes de quatre. Copiez-le maintenant, Google ne le montrera plus.
  4. Collez le mot de passe d’application dans le champ mot de passe IMAP/SMTP de l’application héritée.
  5. Le mot de passe d’application ne fonctionne que pour cette application et peut être révoqué depuis le même écran à tout moment sans affecter votre vrai mot de passe.

Notes de sécurité. Les mots de passe d’application contournent la validation en deux étapes par conception, quiconque a le mot de passe d’application peut se connecter à votre boîte mail en IMAP/SMTP sans qu’aucun code 2FA ne soit demandé. Traitez-les comme un vrai mot de passe : ne les collez pas dans des applications non fiables, ne les commitez pas dans git, ne les screenshottez pas dans Slack. Révoquez tout mot de passe d’application dès que vous cessez d’utiliser l’application pour laquelle vous l’avez généré. Si vous suspectez une compromission, révoquez tous les mots de passe d’application depuis le même écran, cela déconnecte tous les clients IMAP/SMTP qui les utilisent et force une nouvelle authentification.

La direction à plus long terme : Google a déprécié « l’accès aux applications moins sécurisées » en 2022, et la plupart des clients mail anciens sont depuis passés à OAuth. Les mots de passe d’application sont la solution de contournement pour la longue traîne qui n’a pas migré. Si vous avez l’option d’utiliser OAuth dans votre client, choisissez toujours OAuth plutôt qu’un mot de passe d’application.

Erreurs courantes

Les schémas que je vois le plus souvent quand les lecteurs me demandent de déboguer une configuration 2FA qui a mal tourné :

  • SMS comme seul second facteur. Les attaques SIM-swap sont documentées, courantes et en hausse, le FBI IC3 les a signalées comme catégorie majeure de fraude grand public pendant plusieurs années consécutives. Le SMS vaut mieux que rien, mais uniquement comme solution de secours d’un facteur principal plus fort. Ne faites jamais du SMS le seul second facteur sur un compte à forte valeur.
  • Pas de codes de secours sauvegardés. La raison la plus fréquente pour laquelle les gens se retrouvent verrouillés de Gmail de façon permanente est d’enregistrer un second facteur sur un téléphone, de ne jamais sauvegarder les codes de secours, puis de perdre le téléphone. Générez les codes le jour même où vous activez la 2FA. Sauvegardez-les à deux endroits.
  • Le téléphone de récupération est le même que le téléphone 2FA. Si le téléphone qui contient votre application Authenticator est aussi le numéro de récupération, perdre ce téléphone supprime les deux couches. Utilisez un numéro différent, celui d’un proche, une ligne fixe, une SIM secondaire.
  • Une seule clé de sécurité, pas de secours. Une clé physique dans un seul endroit physique est à une chute, un cycle de machine à laver ou un sac à dos perdu de distance d’un verrouillage. Enregistrez au moins deux clés.
  • Aucun Bilan de sécurité jamais lancé. Le Bilan de sécurité Google sur myaccount.google.com/security-checkup prend deux minutes et fait apparaître chaque appareil connecté, chaque application avec accès, chaque événement de sécurité récent. Lancez-le le jour où vous activez la 2FA et tous les six mois.
  • Mots de passe d’application stockés en clair. Les mots de passe d’application sont de vrais identifiants. Les sauvegarder dans une application Notes ou dans un fichier texte sur votre bureau annule la sécurité. Utilisez un gestionnaire de mots de passe.
  • Sauter l’enregistrement de la passkey. Les passkeys sont strictement meilleures que mot de passe + SMS 2FA pour la plupart des comptes. Une fois la validation en deux étapes activée, l’étape suivante est d’enregistrer une passkey sur votre téléphone principal. La transition se fait en un clic depuis la page sécurité.

Pour des lectures connexes sur la sécurité Gmail : comment changer votre mot de passe Gmail pour le côté mot de passe de l’équation, comment ajouter un autre compte à Gmail si vous gérez plusieurs comptes Gmail, et comment basculer entre comptes Gmail pour le flux multi-compte.

Alexis Dollé, fondateur d'Email Tools
Alexis Dollé
Fondateur et éditeur

Alexis Dollé, expert email depuis plus de 10 ans. Fondateur d’Email Tools. Je teste chaque client mail et flux de sécurité moi-même, puis j’en parle comme je l’expliquerais à un ami, sans baratin marketing, sans classement sponsorisé, chaque affirmation sourcée.

LinkedIn
Sources et références
  1. Aide du compte Google, « Activer la validation en deux étapes » : flux d’enrôlement, seconds facteurs pris en charge (Google Prompt, clé de sécurité, application Authenticator, codes de secours, SMS / voix), génération de codes de secours, documentation des mots de passe d’application. Consulté le 2026-05-17. support.google.com/accounts/answer/185839
  2. Aide du compte Google, « Se connecter avec une passkey au lieu d’un mot de passe » : enrôlement passkey, déploiement par défaut de « Ignorer le mot de passe si possible » depuis octobre 2023, flux passkey multi-appareils. Consulté le 2026-05-17. support.google.com/accounts/answer/13548313
  3. Centre de sécurité Google, outil Bilan de sécurité et vue d’ensemble des couches de protection du compte Google. Consulté le 2026-05-17. safety.google/security/security-checkup/
  4. Programme Protection Avancée de Google, application clés physiques uniquement pour les comptes à haut risque. Consulté le 2026-05-17. landing.google.com/advancedprotection/
  5. FIDO Alliance, spécification passkeys, support fournisseurs et statistiques d’adoption. Consulté le 2026-05-17. fidoalliance.org/passkeys/
  6. NIST Special Publication 800-63B, Digital Identity Guidelines, Authentication and Lifecycle Management ; définitions des authentificateurs AAL2 et AAL3. pages.nist.gov/800-63-3/sp800-63b.html
  7. CNIL, Recommandations sur l’authentification multifacteur et la sécurité des comptes utilisateurs. cnil.fr, Sécurité : authentifier les utilisateurs
  8. ANSSI, Recommandations relatives à l’authentification multifacteur et aux mots de passe. cyber.gouv.fr, Authentification multifacteur
  9. Verizon 2024 Data Breach Investigations Report, 68 % des compromissions impliquent le facteur humain (majoritairement identifiants et phishing). verizon.com/business/resources/reports/dbir/
  10. Google Security Blog (avec NYU et UC San Diego), étude 2019 sur l’efficacité des prompts sur l’appareil et des clés de sécurité contre les attaques par bot, phishing en masse et phishing ciblé. security.googleblog.com
  11. Email Tools, « Comment changer votre mot de passe Gmail (guide 2026) ». email-tools.me/posts/gmail-password-change/
  12. Email Tools, « Comment ajouter un autre compte à Gmail ». email-tools.me/posts/gmail-add-another-account/
  13. Email Tools, « Comment basculer entre comptes Gmail ». email-tools.me/posts/gmail-switch-between-accounts/

Questions fréquentes

La double authentification Gmail est-elle gratuite ? Oui. La validation en deux étapes fait partie de chaque compte Google sans frais, y compris les comptes personnels gratuits et Google Workspace. Le seul coût potentiel concerne le matériel : une clé de sécurité FIDO2 (YubiKey 5 NFC environ 55 $, clé Google Titan environ 30 $) si vous choisissez cette méthode. Google Prompt, l’application Authenticator, les codes de secours et le SMS sont tous gratuits.

Quelle méthode 2FA est la plus sûre pour Gmail ? Une clé de sécurité physique FIDO2 (YubiKey, Titan, ou toute autre clé certifiée) est l’option la plus résistante au phishing que Google propose. L’étude interne de Google publiée en 2019 a démontré que les clés de sécurité bloquent 100 % des attaques par bot automatisé, par phishing ciblé et par phishing en masse contre les comptes Google des employés. Google Prompt et les codes TOTP via Authenticator viennent ensuite. Le SMS est le plus faible en raison du risque de SIM-swap, à n’utiliser qu’en secours quand rien d’autre n’est disponible.

Que se passe-t-il si je perds mon téléphone et ma clé de sécurité ? Utilisez un code de secours. Chaque compte Google reçoit dix codes de secours à usage unique de 8 chiffres lors de l’activation de la validation en deux étapes, sauvegardez-les dans un gestionnaire de mots de passe ou imprimez-les. Si vous avez aussi perdu les codes de secours, la procédure de récupération de compte sur g.co/recover vous permet de vérifier votre identité via un téléphone de récupération, un email de récupération ou un appareil précédemment connecté. La récupération impose une période d’attente après plusieurs tentatives échouées.

Les passkeys remplacent-elles la 2FA sur Gmail ? Oui, progressivement. Depuis 2023, Google prend en charge les passkeys (identifiants FIDO2 liés à l’appareil) en remplacement complet de mot de passe + 2FA. Depuis octobre 2023, le paramètre « Ignorer le mot de passe si possible » est activé par défaut sur les appareils compatibles. Le mot de passe et la validation en deux étapes restent dans le compte comme solution de secours, mais vous pouvez ne plus jamais taper le mot de passe ni le code 2FA si votre téléphone est enregistré comme passkey. La transition de « mot de passe + 2FA » vers « passkey seule » est la direction que poussent Google, Apple et Microsoft, voir la FIDO Alliance pour la spécification multi-fournisseurs.

Qu’est-ce qu’un mot de passe d’application et quand en ai-je encore besoin ? Un mot de passe d’application est un identifiant unique de 16 caractères généré par Google pour les applications anciennes qui ne peuvent pas demander de code 2FA, le plus souvent des clients mail de bureau sans support OAuth moderne, certaines intégrations IMAP héritées et quelques scanners-vers-email d’entreprise. Google a déprécié l’accès aux applications moins sécurisées en 2022, mais les mots de passe d’application existent toujours pour les comptes avec validation en deux étapes activée. Générez-en un sur myaccount.google.com → Sécurité → Validation en deux étapes → Mots de passe d’application. À éviter si votre client supporte OAuth, les clients modernes (Apple Mail, Outlook 2019+, Thunderbird 102+, Mailbird, Spike, Spark) se connectent tous en OAuth et n’en ont pas besoin.

Activer la 2FA va-t-il me déconnecter de mes appareils ? Non, les sessions existantes sur les appareils de confiance restent connectées. Le second facteur n’est requis qu’à la prochaine connexion sur un nouvel appareil ou lorsque Google détecte un signal de risque (nouvel appareil, nouvelle localisation, schéma suspect). Le premier prompt 2FA peut apparaître sur les appareils qui se ré-authentifient après une actualisation des identifiants Google, ce qui survient normalement toutes les quelques semaines. Les clients IMAP/SMTP que vous utilisez avec des mots de passe d’application ne sont pas affectés, le mot de passe d’application continue de fonctionner.

À lire aussi : Comment changer votre mot de passe Gmail, la moitié mot de passe de l’équation. Comment ajouter un autre compte à Gmail, configuration multi-compte. Comment basculer entre comptes Gmail, le flux multi-compte.