Lorsque vous activez l’authentification multifactorielle (MFA) pour accéder à vos comptes, on vous propose en général l’utilisation d’une application d’authentification. Il en existe des centaines mais sont elles toutes fiables ? Quelles sont les meilleures applications ?
En réalité, il n’y a pas de meilleure application par rapport aux autres. Toutefois, certaines peuvent être de mauvaise facture voire dangereuses. May6 c’est possible vous présente un groupe d’applications qui sont fiables.
Critère de sélection
J’ai classé les différents critères en trois niveaux distincts :
- Obligatoire : critère indispensable dans votre choix sous peine de mettre en danger vos comptes et données
- Recommandé : facteur non obligatoire mais je vous conseille une application qui le respecte.
- Facultatif : c’est à votre libre appréciation selon vos besoins. Cela peut améliorer votre expérience utilisateur mais ne rapporte rien en terme de sécurité.
Je base ma classification sur la sécurité des données. Il est possible par exemple de choisir une application dont un critère obligatoire n’est pas rempli. Tout dépend évidemment de votre situation et vos besoins.
Sécurité
C’est le critère le plus fondamental puisque c’est censé être sa fonction principale. Il faut tenir compte de différents facteurs :
✅ Standard TOTP RFC 6238 (Obligatoire) : l’application doit respecter le standard.
✅ Chiffrement local (obligatoire) : les codes doivent être stockés chiffrés sur l’appareil de l’utilisateur.
✅ Protection d’accès de l’app (recommandé) : Il est judicieux d’avoir une couche supplémentaire par code PIN ou encore mieux, la biométrie (ex : empreinte digitale).
✅ Réputation (obligatoire) : Passez en revue les avis d’experts en cybersécurité. Je parle uniquement de la presse écrite/Web et professionnels de la cybersécurité : ne vous fiez pas aux blogueurs ou influenceurs qui n’ont aucune compétence en la matière.
✅ Open source (recommandé) : Ce modèle de distribution permet une vérification par la communauté d’utilisateurs et des audits de sécurité indépendants. Cela réduit les risques de backdoors ou de vulnérabilités cachées. Vérifiez d’ailleurs si des audits externes sont réalisés régulièrement.
✅ Mises à jour et développement (obligatoire) : Assurez vous de la fréquence des mises à jour. Évitez les apps abandonnées.
Sauvegarde & restauration
✅ Sauvegarde chiffrée (obligatoire) : Il est primordial d’avoir la possibilité de faire des sauvegardes (locale ou cloud) chiffrées.
✅ Outils d’import/export sécurisé (obligatoire) : vérifiez la présence de cette fonctionnalité pour faciliter les sauvegardes ou les migrations.
✅ Codes de secours (facultatif) : Certaines solutions (comme Authy) génèrent des codes de secours.
⚠️ Sans sauvegarde, la perte de votre smartphone peut bloquer l’accès définitif de certains de vos comptes.
Compatibilité & Synchronisation
✅ Multiplateforme (facultatif) : disponible sur les différents OS : Android, iOS, desktop
✅ Synchronisation sécurisée (obligatoire si utilisée) : si vous utilisez plusieurs appareils, vérifiez que la synchronisation chiffrée de bout en bout (E2EE).
⚠️ La synchronisation peut représenter un risque si le service est compromis.
Ergonomie & Expérience utilisateur (UX)
✅ Clarté d’affichage (conseillé) : les codes doivent être parfaitement visibles comme pour les services et comptes utilisés
✅ Recherche facile et organisation des comptes via catégories ou tags (facultatif)
✅ Prise en charge du scan QR et de la saisie manuelle (recommandé)
✅ Intégration dans un outil de sécurité (facultatif) : Certains outils comme 1Password ou Bitwarden intègrent les codes TOTP. Cela centralise la gestion de vos identifiants et de vos codes.
Indépendance & Confidentialité
✅ Politique de confidentialité (obligatoire) : éviter les apps qui collectent vos données d’utilisation.
✅ Compte requis (conseillé) : certaines apps nécessitent un compte ce qui peut poser un risque de récolte de données personnelles.
✅ Localisation des serveurs (conseillé) : En cas de synchronisation, vérifiez où sont stockées les informations (UE, États-Unis, etc.) et donc des normes en vigueur (RGPD, etc.).
Modèle économique
✅ Gratuit vs payant (conseillé) : comparer les offres et vous pourriez trouver des solutions gratuites équivalentes à d’autres payantes.
✅ Attention aux paywalls (obligatoire) : nécessite un compte payant pour obtenir davantage de fonctionnalités
Sélection d'applications
Je tiens tout d’abord à signaler que cette sélection est non exhaustive. Elle est basée sur mon expérience personnelle des applications ci-dessous.
Google Authentificator
La première application abordée est développée par le célèbre Google. Elle conviendra aux utilisateurs de l’entreprise étasunienne. Elle est simple à installer et utiliser.
Toutefois, ces limitations en fonctionnalités et mesures de sécurité sont pour moi gênantes.
- 📜 Licence : Propriétaire
- 💽 Sauvegarde : Cloud via compte Google
- 🔑 Chiffrement sauvegarde : Non
- 🔄 Synchronisation : via compte Google
- 🌐 Site officiel : Support Google
| Avantages | Inconvénients |
|---|---|
✅ Interface épurée ✅ Intégration adaptée dans l’écosystème Google ✅ Synchronisation cloud | ❌ Aucun chiffrement de bout en bout (E2EE) ❌ Code source fermé ❌ Export des codes uniquement par QR Code ❌ Lier un compte Google pour la sauvegarde/synchronisation |
Microsoft Authentificator
Microsoft a anticipé l’avènement des méthodes passwordless en modifiant son application ces derniers temps. Elle est parfaitement adaptée aux utilisateurs de Windows et sessions Azure (réseau d’entreprise) pour simplifier l’authentification.
- 📜 Licence : Propriétaire
- 💽 Sauvegarde : Cloud via compte Microsoft
- 🔑 Chiffrement sauvegarde : Oui mais pas en E2EE
- 🔄 Synchronisation : via compte Microsoft
- 🌐 Site officiel
| Avantages | Inconvénients |
|---|---|
✅ Intégration des passkeys pour les comptes Microsoft ✅ Adapté à l’écosystème Microsoft et Azure ✅ Sauvegarde automatique sur cloud | ❌ Arrêt du gestionnaire de mots de passe en 2025 ❌ Code source fermé ❌ Apparence et fonctionnalités limitées |
2FAS
C’est une application qui est une bonne solution si on souhaite tout gérer en local. Mais il est possible de mettre en place une synchronisation via un compte Google (via autorisations sur son compte). Je l’utilise depuis plusieurs années.
- 📜 Licence : GPL Open source
- 💽 Sauvegarde : Cloud via compte Google & locale manuelle
- 🔑 Chiffrement sauvegarde : E2EE
- 🔄 Synchronisation : via compte Google
- 🌐 Site officiel
| Avantages | Inconvénients |
|---|---|
✅ Compte / adresse mail non requis ✅ Outil d’export des codes (JSON chiffré) ✅ Synchronisation cloud via Google Drive (sauvegarde cachée) ✅ Fonctionnalités (masquage des codes, verrouillage, etc…) | ❌ Pas de synchronisation native ❌ Apparence fait veillotte par rapport à certains concurrents ❌ Sauvegarde cloud uniquement sur Google Drive |
Ente Auth
Nouvelle dans le paysage des applications TOTP, Ente Auth offre un bon compromis entre sécurisation des ses codes et utilisation du cloud. Je l’utilise depuis plusieurs mois en complément de 2FAS.
- 📜 Licence : AGPL Open source
- 💽 Sauvegarde : Cloud & locale automatique
- 🔑 Chiffrement sauvegarde : E2EE
- 🔄 Synchronisation : Oui
- 🌐 Site officiel
| Avantages | Inconvénients |
|---|---|
✅ Apparence moderne et intuitive ✅ Synchronisation cross-platform (dont Windows) ✅ Fonctionnalités (masquage des codes, verrouillage, etc…) | ❌ Création d’un compte requis pour la sauvegarde cloud et synchronisation ❌ Impossible de désactiver la sauvegarde cloud sans supprimer son compte |
Proton Authentificator
Dernière née des applications TOTP. Proton, connu pour ses principes de sécurité et confidentialité des données, a sorti en 2025 une application d’authentification pour sortir des écosystèmes Google et Microsoft.
L’ayant installé sur mon smartphone, j’ai pu la tester ces dernières semaines. Elle promet de beaux jours car elle est agréable à utiliser sans renier sur la sécurité. Il lui manque encore de la maturité car certaines fonctionnalités sont absentes mais il est difficile de critiquer une aussi jeune application en plein développement alors qu’elle est déjà suffisamment efficace pour sa finalité.
- 📜 Licence : GPL Open source
- 💽 Sauvegarde : Cloud & locale automatique
- 🔑 Chiffrement sauvegarde : E2EE
- 🔄 Synchronisation : Oui
- 🌐 Site officiel
| Avantages | Inconvénients |
|---|---|
✅ Chiffrement E2EE ✅ Disponibilité cross-platform ✅ Sauvegarde locale et cloud | ❌ Encore jeune (fonctionnalités) ❌ Sauvegarde cloud uniquement sur Proton |
Alternatives
Je vous liste d’autres applications reconnues pour leur fiabilité si celle précitées ne vous conviennent pas :
