PrivacyTools.io
Évalué par Gabriel Bachmann
Remplacer aujourd'hui : SMS codes Authenticator apps

Clés de sécurité matérielles pour une 2FA à l'épreuve du phishing en 2026

Alternatives privées à SMS codes, Authenticator apps, vérifiées selon nos critères publics.

How they compare

Tool Protocols Based in Cost
Nitrokey
FIDO2 + OpenPGP Germany Paid
YubiKey 5 Series
FIDO2 + OpenPGP Sweden Paid
Yubico Security Key
FIDO2 only Sweden Paid

Une clé de sécurité matérielle est un petit appareil qui se branche en USB ou s’approche en NFC pour prouver que c’est bien vous qui vous connectez. C’est le second facteur le plus solide disponible, parce que le secret ne quitte jamais la clé et qu’il ne peut pas être hameçonné comme un code tapé au clavier. Pour les comptes dont la perte ferait le plus mal, la messagerie et votre gestionnaire de mots de passe d’abord, une clé transforme un mot de passe volé en impasse.

Pourquoi un code tapé peut encore être hameçonné

Un code venu d’une application ou d’un SMS n’est jamais plus sûr que la page dans laquelle vous le tapez. Une fausse page de connexion convaincante vous demande votre mot de passe et votre code ensemble, puis relaie les deux vers le vrai site en temps réel et entre directement dans votre compte, et aucune prudence ne repère chaque clone. Une clé de sécurité comble ce trou par conception. Pendant la configuration, elle se lie à la vraie adresse web, et quand vous vous connectez elle vérifie cette adresse cryptographiquement avant de répondre, elle reste donc silencieuse sur un site imposteur. Cette seule propriété arrête les prises de contrôle de compte les plus courantes, et c’est pourquoi une clé est un vrai cran au-dessus d’une application d’authentification plutôt qu’une simple variante de celle-ci.

Comment nous choisissons

Chaque clé ici est mesurée à l’aune de nos critères d’inclusion publics. Nous exigeons la prise en charge des standards ouverts FIDO2 et WebAuthn, pour que vous investissiez dans un protocole plutôt que chez un seul fabricant, et nous privilégions les clés dont le micrologiciel et les outils sont ouverts à l’inspection. Nous regardons la gamme de connecteurs proposée, parce qu’une clé que vous ne pouvez pas brancher sur vos appareils est inutile, et les fonctionnalités que certaines clés ajoutent au-delà de la connexion. Nous ne listons qu’une clé que nous porterions sur notre propre porte-clés, et nous disons clairement où chacune trouve sa place.

Que regarder dans une clé de sécurité

Commencez par le standard : la prise en charge de FIDO2 et de WebAuthn n’est pas négociable, parce que c’est elle qui apporte la résistance au phishing. Faites ensuite correspondre les connecteurs à votre matériel, que ce soit USB-C, USB-A, NFC ou Lightning, et préférez une clé qui couvre un téléphone en plus d’un portable. Décidez si vous voulez une simple clé de connexion ou une clé qui assure aussi des tâches TOTP, carte à puce ou OpenPGP, puisque Nitrokey et la YubiKey 5 embarquent ces extras alors qu’une clé basique reste simple et moins chère. Surtout, prévoyez d’en acheter deux, parce que la clé de secours fait partie de la spécification, ce n’est pas une option.

Ai-je vraiment besoin d’une clé si j’utilise déjà une application ?

Pour la plupart des comptes, une application d’authentification est déjà une grosse amélioration par rapport aux codes par SMS, une clé n’est donc pas strictement nécessaire. L’argument pour en ajouter une, c’est la poignée de comptes qui protègent tout le reste, votre messagerie principale et votre gestionnaire de mots de passe, où un code hameçonné serait un désastre. Sur ceux-là, la vérification d’adresse de la clé vaut son petit coût et l’habitude de la transporter. Un juste milieu raisonnable est une clé sur vos deux ou trois connexions les plus sensibles et une application sur le reste, ce qui relève le plancher partout sans acheter une clé pour chaque site.

Comment en configurer une

Enregistrez la clé sur vos comptes importants, la messagerie d’abord, en choisissant l’option clé de sécurité dans les paramètres de chaque site et en touchant la clé quand on vous le demande. Enregistrez ensuite votre seconde clé de la même façon et rangez-la ailleurs, l’une sur votre porte-clés et l’autre à la maison ou dans un coffre. Gardez aussi votre application d’authentification enregistrée comme solution de repli pour les sites qui ne prennent pas encore les clés en charge. À partir de là, vos connexions deviennent à la fois plus faciles, une touche au lieu de taper un code, et bien plus difficiles à voler. Pour compléter le compte, un gestionnaire de mots de passe donne à chaque connexion un mot de passe fort et unique que la clé viendra garder.

Questions fréquentes

Que se passe-t-il si je perds ma clé de sécurité ?
C'est pour cela que vous en enregistrez deux dès le départ. Si l'une disparaît, vous vous connectez avec la clé de secours et retirez la clé perdue de chaque compte pour qu'elle ne puisse plus servir. Une seule clé comme unique second facteur est l'erreur de configuration à éviter, parce qu'il n'y a aucun moyen de récupérer l'accès si elle disparaît.
Les clés de sécurité fonctionnent-elles avec les comptes que j'utilise vraiment ?
La plupart des grands services les prennent désormais en charge, y compris les fournisseurs de messagerie et les gestionnaires de mots de passe, les réseaux sociaux et les banques rattrapant peu à peu leur retard. Les clés parlent les standards ouverts FIDO2 et WebAuthn, la prise en charge vient donc du site et non d'une marque de clé en particulier. Les sites qui ne l'ont pas encore ajoutée acceptent toujours vos codes d'application à côté de la clé.
Une clé de sécurité vaut-elle mieux qu'une application d'authentification ?
Pour résister au phishing, oui, et c'est la raison principale d'en acheter une. Un code d'application peut toujours être tapé sur une fausse page de connexion convaincante, alors qu'une clé vérifie cryptographiquement la vraie adresse web avant de répondre et refuse simplement un site imposteur. Pour le confort quotidien, les deux se valent presque, beaucoup de gens utilisent donc une clé sur leurs comptes les plus sensibles et une application ailleurs.
Ai-je besoin d'un logiciel ou d'un abonnement pour en utiliser une ?
Non. Une clé FIDO2 fonctionne grâce à la prise en charge du navigateur et du système d'exploitation qui est déjà intégrée, sans rien à installer et sans compte ni frais attachés à la clé. Vous la branchez ou vous l'approchez en NFC quand un site la demande. Certaines clés offrent des fonctionnalités supplémentaires via une application compagnon facultative, mais la connexion de base n'en exige jamais.
Une clé peut-elle protéger plus d'un compte ?
Oui. Une seule clé peut être enregistrée sur autant de sites que vous voulez, chacun comme une inscription distincte, et elle les garde séparés sans limite pratique pour un usage normal. Enregistrer un nouveau compte est le même geste rapide à chaque fois : choisissez l'option clé de sécurité dans les paramètres du site, puis touchez la clé pour confirmer.
Une clé de sécurité fonctionnera-t-elle sur mon téléphone, et pas seulement sur mon ordinateur ?
Oui, tant que le connecteur correspond. Les clés existent en USB-C, USB-A, NFC et Lightning, et celles en NFC s'approchent simplement du dos d'un téléphone compatible. L'astuce est d'acheter le connecteur que vos appareils utilisent réellement, et c'est pourquoi vérifier les ports de votre portable et de votre téléphone avant de commander compte.