En 2025, Coinbase a révélé que la quasi-totalité des piratages de comptes individuels sur sa plateforme venaient de la même faille : un mot de passe réutilisé, sans deuxième facteur d'authentification. Le 2FA n'empêche pas tous les hacks, mais il bloque le scénario le plus courant, celui où quelqu'un a obtenu votre mot de passe via un leak de données ou du phishing.
Le problème, c'est que beaucoup de gens activent le 2FA par SMS en pensant être protégés. En crypto, le SMS est la pire option. Voici pourquoi, et ce qu'il faut utiliser à la place.
Pourquoi le 2FA par SMS est dangereux en crypto
Le SIM swapping. Un attaquant appelle votre opérateur, se fait passer pour vous, et transfère votre numéro sur sa propre carte SIM. Il reçoit vos SMS, y compris les codes 2FA. Ça prend parfois moins de 30 minutes et ça ne nécessite aucune compétence technique avancée, juste un peu d'ingénierie sociale.
Des investisseurs crypto ont perdu des centaines de milliers d'euros de cette manière. Le SIM swapping est devenu l'un des vecteurs d'attaque préférés des voleurs de crypto, parce que les gains potentiels sont élevés et les opérateurs télécom sont souvent le maillon faible.
Au-delà du SIM swap, les SMS peuvent être interceptés via des failles dans le protocole SS7 (le réseau qui fait transiter les SMS entre opérateurs). C'est plus rare, mais c'est documenté.
Les applications 2FA : la solution standard
Une application 2FA génère des codes à usage unique (TOTP) localement sur votre téléphone. Le code change toutes les 30 secondes. Personne ne peut l'intercepter à distance parce qu'il n'est jamais transmis par le réseau. Même si quelqu'un a votre mot de passe, il lui faut aussi votre téléphone physique pour se connecter.
Les applications les plus utilisées en 2026 :
Google Authenticator est la plus connue, mais elle a longtemps eu un défaut : pas de sauvegarde. Si vous perdiez votre téléphone, vous perdiez tous vos codes. Google a ajouté la synchronisation cloud en 2023, mais ça crée un nouveau vecteur d'attaque (si votre compte Google est compromis, vos codes 2FA le sont aussi).
2FAS est open source, fonctionne hors ligne, et propose des sauvegardes chiffrées que vous contrôlez. C'est mon choix personnel pour les comptes crypto. Authy offre des fonctionnalités similaires avec une interface plus polie, mais le code n'est pas ouvert.
Les clés physiques : le niveau au-dessus
Les clés de sécurité physiques (YubiKey, SoloKeys) sont le 2FA le plus résistant au phishing. Quand vous vous connectez, vous branchez la clé USB et vous appuyez sur un bouton. La clé vérifie automatiquement que le site est légitime (vérification du domaine). Un site de phishing ne peut pas tromper une YubiKey, même si vous ne faites pas attention à l'URL.
Une YubiKey 5 coûte environ 55€. Pour quelqu'un qui a des sommes significatives en crypto, c'est un investissement ridicule par rapport au risque couvert. Binance, Kraken et Coinbase supportent tous les clés de sécurité FIDO2/WebAuthn.
Le principal inconvénient : si vous perdez votre clé et que vous n'avez pas de backup, vous êtes bloqué. Achetez-en deux, configurez les deux sur vos comptes, et stockez la deuxième dans un endroit sûr.
Comment configurer le 2FA sur les principales plateformes
Sur Binance : allez dans Sécurité → Authentificateur. Scannez le QR code avec votre application 2FA. Binance vous demande de sauvegarder la clé de récupération (une chaîne de caractères). Notez-la quelque part d'autre que votre téléphone.
Sur Kraken : Paramètres → Sécurité → Authentification à deux facteurs. Même processus. Kraken permet aussi de configurer un 2FA séparé pour la connexion, les retraits et le trading. Activez-le pour les retraits au minimum.
Sur Coinbase : Paramètres → Sécurité. Coinbase propose le 2FA par application et par clé de sécurité. Si vous avez une YubiKey, c'est le bon endroit pour l'utiliser.
Et sur MetaMask ? MetaMask ne supporte pas le 2FA classique parce que c'est un wallet non-custodial. La sécurité repose entièrement sur votre seed phrase et la sécurité de l'appareil sur lequel MetaMask est installé. Pour du stockage sérieux, un hardware wallet Ledger connecté à MetaMask est la meilleure option.
Les erreurs courantes avec le 2FA
Ne pas sauvegarder les codes de récupération. Quand vous activez le 2FA, la plateforme ou l'application vous donne une clé de récupération ou des codes backup. Si vous les ignorez et que votre téléphone tombe en panne, vous perdez l'accès à vos comptes. Notez ces codes sur papier, au même endroit que votre seed phrase si vous voulez simplifier.
Activer le 2FA uniquement pour la connexion. Sur beaucoup de plateformes, vous pouvez activer un 2FA séparé pour les retraits. Faites-le. Un attaquant qui accède à votre compte peut voir votre solde, mais il ne peut pas retirer vos fonds sans le code 2FA de retrait.
Synchroniser ses codes 2FA dans le cloud sans chiffrement. Si vous utilisez Google Authenticator avec la synchro cloud, votre compte Google devient un point de défaillance unique. Préférez une application qui chiffre localement, ou désactivez la synchro cloud.
Le 2FA ne protège pas de tout
Le 2FA protège contre le vol de mot de passe. Il ne protège pas contre le phishing en temps réel (où l'attaquant utilise un proxy pour relayer votre session), ni contre un malware qui prend le contrôle de votre navigateur après connexion. C'est une couche de sécurité parmi d'autres, pas une solution miracle.
La seule méthode qui protège aussi contre le phishing en temps réel, c'est la clé physique FIDO2. Pour tout le reste, combinez le 2FA avec des bonnes pratiques : mots de passe uniques (utilisez un gestionnaire comme Bitwarden), vérification des URLs, et méfiance systématique envers les emails et messages non sollicités. Notre guide de sécurité crypto complet détaille toutes ces couches de protection.
