En avril 2023, Google ajoutait la synchronisation cloud des codes à usage unique de son application Authenticator, sans chiffrement de bout en bout. Des chercheurs avaient alerté : Google pouvait voir les secrets 2FA des utilisateurs. Trois ans plus tard, le chiffrement de bout en bout promis n’a toujours pas été déployé. La faille de conception de 2023 reste donc d’actualité, ce qui rend le choix d’une bonne méthode de double authentification plus crucial que jamais pour protéger ses cryptos.

En bref

La synchronisation cloud de Google Authenticator existe toujours en 2026, mais sans chiffrement de bout en bout activé. Pour de la crypto à enjeux, les clés de sécurité matérielles et les passkeys sont aujourd’hui recommandées, devant les codes d’application et, surtout, devant le SMS. Le SMS reste la méthode la plus vulnérable au détournement de carte SIM.

La faille de Google Authenticator de 2023 a-t-elle été corrigée ?

Pas vraiment. Après la polémique d’avril 2023, Google avait promis d’ajouter un chiffrement de bout en bout optionnel à la synchronisation, sans calendrier précis, selon son blog de sécurité. En 2026, aucune source ne confirme un déploiement effectif de cette protection. Les secrets restent chiffrés côté serveur, mais avec des clés que Google détient.

Le problème de fond demeure. Si un compte Google est compromis ou en cas de fuite de données, les codes 2FA synchronisés pourraient être exposés. Aucune option de phrase secrète n’a été ajoutée pour verrouiller ces données. La vigilance reste donc de mise.

Faut-il activer la synchronisation cloud de Google Authenticator ?

Pas pour des comptes sensibles. La synchronisation est pratique pour ne pas perdre ses codes en cas de changement de téléphone. Mais sans chiffrement de bout en bout, elle élargit la surface d’attaque : pirater un compte cloud est souvent plus simple que de voler un smartphone précis.

Le mode local, sans sauvegarde dans le compte Google, reste l’alternative la plus sûre au sein de l’application. C’est aussi l’option que Google lui-même recommande pour qui veut garder la main. Cette prudence vaut pour tout outil de sécurité manipulant des secrets.

Quel est le meilleur 2FA pour protéger ses cryptos ?

Une clé de sécurité matérielle ou une passkey. Selon la CISA, seule l’authentification de type FIDO2 résiste réellement au phishing : la clé privée ne quitte jamais l’appareil et reste liée au domaine légitime. Une application TOTP comme Authenticator fait mieux que le SMS, mais un code peut encore être hameçonné en temps réel sur un faux site.

L’écart d’efficacité est mesurable. Une étude de Google montre que face à des attaques ciblées, le SMS de récupération bloque 76 % des tentatives, une notification sur appareil 90 %, et une clé de sécurité physique 100 %.

Attaques ciblées bloquées, par méthode 2FA SMS Notif. appareil Clé FIDO 76 % 90 % 100 % Source : étude Google / Université de New York

Les piratages contournent-ils vraiment le 2FA ?

Oui, et de plus en plus par l’humain. Plutôt que de casser le chiffrement, les attaquants visent l’utilisateur. En 2025, des cybercriminels ont soudoyé des agents de support de Coinbase pour voler les données d’environ 70 000 clients, ensuite exploitées en ingénierie sociale. Le détournement de carte SIM reste lui aussi un fléau, comme l’illustrent les vols de comptes détournés.

Les chiffres confirment la tendance. Selon Chainalysis, la compromission de portefeuilles personnels a représenté une large part de l’activité criminelle crypto en 2025, via hameçonnage, faux supports et logiciels malveillants. Le maillon faible reste l’utilisateur, pas l’algorithme.

Le conseil du vieux téléphone dédié est-il encore valable ?

En partie. Garder un ancien téléphone hors ligne, dédié à la seule application d’authentification, protège bien contre la faille pointée en 2023 : les secrets ne quittent jamais l’appareil. C’est une parade correcte, dans l’esprit du mode local. Elle a le mérite de la simplicité.

Mais ce n’est plus la meilleure option. En 2026, une clé de sécurité matérielle ou une passkey offre une protection supérieure, car résistante au phishing, ce qu’aucun code TOTP n’est. Pour sécuriser un compte d’exchange, le duo recommandé est un portefeuille matériel et une clé FIDO2. La FIDO Alliance note d’ailleurs une adoption croissante des passkeys grand public.

Questions fréquentes

Google Authenticator est-il sûr en 2026 ?

L’application reste fiable en mode local, sans synchronisation cloud. Mais la sauvegarde dans le compte Google n’est toujours pas chiffrée de bout en bout, malgré la promesse de 2023. Pour des comptes crypto sensibles, une clé de sécurité matérielle est préférable.

Pourquoi éviter le 2FA par SMS ?

Parce qu’il est vulnérable au détournement de carte SIM et aux failles du réseau téléphonique. Un attaquant peut faire transférer votre numéro et intercepter les codes. La CISA recommande de réserver le SMS au tout dernier recours, derrière les applications et les clés matérielles.

Quelle est la différence entre une application 2FA et une clé de sécurité ?

Une application génère un code temporaire, qui peut être hameçonné sur un faux site. Une clé de sécurité FIDO2 lie l’authentification au domaine légitime et ne révèle jamais sa clé privée. Elle neutralise le phishing, contrairement aux outils reposant sur un code à saisir.

À retenir

La faille de conception révélée en 2023 sur la synchronisation de Google Authenticator n’est toujours pas corrigée en 2026 : le chiffrement de bout en bout promis n’a pas été déployé. Pour protéger ses cryptos, mieux vaut éviter le SMS, traiter les applications TOTP comme un minimum, et privilégier les clés de sécurité matérielles ou les passkeys. La plupart des piratages visent désormais l’utilisateur, pas le chiffrement.

Sources

Nous ajouter à vos sources préférées sur Google