Elles génèrent toutes les mêmes codes
Mettons cela de côté : chaque application d’authentification qui prend en charge TOTP produit les mêmes codes à 6 chiffres. L’algorithme est standardisé (voici comment fonctionne TOTP si vous êtes curieux). Donc les codes de Google Authenticator, Authy, et d’une application open source random sont identiques pour la même clé secrète.
Les différences se résument à tout autour des codes : options de sauvegarde, support multi-appareils, l’interface, et si vous faites confiance à la société derrière l’application.
Voici comment cinq options populaires se comparent.
La comparaison
| Fonctionnalité | Google Authenticator | Microsoft Authenticator | Authy | 2FAS | Aegis |
|---|---|---|---|---|---|
| Plateforme | Android, iOS | Android, iOS | Android, iOS, Bureau | Android, iOS | Android uniquement |
| Sauvegarde cloud | Synchronisation compte Google | Sauvegarde iCloud / Google | Synchronisation cloud cryptée | Google Drive / iCloud | Export manuel uniquement |
| Multi-appareils | Via synchronisation Google | Un téléphone + sauvegarde | Oui, intégré | Via sauvegarde cloud | Non |
| Open source | Non | Non | Non | Oui | Oui |
| Utilisation hors ligne | Oui | Oui | Oui | Oui | Oui |
| Verrouillage biométrique | Non | Oui | Oui | Oui | Oui |
| Prix | Gratuit | Gratuit | Gratuit | Gratuit | Gratuit |
Google Authenticator
Google Authenticator est l’application à laquelle la plupart des gens pensent quand ils entendent “authentificateur”. Elle existe depuis 2010, et pendant la plupart de sa vie elle était délibérément basique : pas de sauvegarde, pas de synchronisation, pas de fioritures. Vous aviez vos codes sur un appareil, et si vous perdiez cet appareil, vous recommenciez à zéro.
Cela a changé en 2023 quand Google a ajouté la synchronisation de compte. Vos secrets sauvegardent maintenant sur votre compte Google et se restaurent quand vous vous connectez sur un nouvel appareil. Cela a corrigé la plus grosse plainte sur l’application.
Elle reste minimale. Il n’y a pas de verrou PIN ou biométrique sur l’application elle-même, ce qui signifie que n’importe qui qui prend votre téléphone déverrouillé peut voir vos codes. L’interface est propre mais basique. Elle fonctionne bien.
Bien pour : Les gens qui veulent quelque chose de simple d’un nom qu’ils reconnaissent. Si vous vivez déjà dans l’écosystème Google, la synchronisation est pratique.
Attention à : Pas de verrou au niveau de l’application. Vos codes ne sont protégés que par l’écran de verrouillage de votre téléphone.
Microsoft Authenticator
L’application de Microsoft fait plus que TOTP. Elle gère les approbations par notification push pour les comptes Microsoft, peut stocker des mots de passe, et prend en charge le remplissage automatique. Si vous utilisez Microsoft 365 au travail, il y a de fortes chances que votre département IT vous ait déjà orienté vers celle-ci.
Pour TOTP spécifiquement, elle fonctionne bien. Elle prend en charge la sauvegarde iCloud sur iOS et la sauvegarde compte Google sur Android. L’application a une option de verrouillage biométrique, donc vous pouvez exiger Face ID ou une empreinte digitale avant que les codes soient visibles.
L’interface est plus chargée que Google Authenticator à cause de toutes les fonctionnalités supplémentaires. Si vous ne l’utilisez que pour les codes TOTP, il y a beaucoup de choses que vous ignorerez.
Bien pour : Les gens déjà dans l’écosystème Microsoft, surtout si vous l’utilisez pour le travail. Les notifications push pour la connexion Microsoft 365 sont réellement pratiques.
Attention à : L’application peut sembler encombrée si vous n’utilisez pas le gestionnaire de mots de passe ou les fonctionnalités de remplissage automatique.
Authy
Authy a été l’une des premières applications d’authentification à offrir la sauvegarde cloud cryptée et la synchronisation multi-appareils, à l’époque où Google Authenticator n’avait ni l’un ni l’autre. Vous pouvez installer Authy sur votre téléphone, tablette, et bureau, et tous vos codes restent synchronisés.
Les sauvegardes sont cryptées avec un mot de passe que vous définissez (séparé de votre mot de passe de compte Authy). Authy ne peut pas lire vos secrets sur leurs serveurs, du moins selon leur documentation.
Une chose à savoir : Authy a discontinué leurs applications bureau en 2024. Si l’accès bureau était un argument de vente pour vous, c’est parti maintenant. Les applications mobiles fonctionnent toujours et se synchronisent toujours.
Authy est détenu par Twilio, une grande société de communications. Ce n’est pas open source, donc vous faites confiance à l’implémentation et l’infrastructure de Twilio.
Bien pour : Les gens qui veulent une synchronisation multi-appareils automatique sans y réfléchir. La configuration est simple et la sauvegarde est intégrée.
Attention à : Pas open source. Les applications bureau sont discontinuées. Vous faites confiance à Twilio avec votre coffre crypté.
2FAS
2FAS est l’option open source qui ne vous fait pas renoncer à la commodité. Elle prend en charge la sauvegarde cloud via Google Drive ou iCloud, a une interface propre, et inclut une extension de navigateur qui peut remplir automatiquement les codes TOTP quand vous vous connectez aux sites web.
Être open source signifie que le code est publiquement auditable. Si vous vous souciez de vérifier ce qu’une application fait avec vos secrets, cela compte.
L’extension de navigateur est une belle touche. Quand un site demande votre code TOTP, vous recevez une notification sur votre téléphone pour l’approuver, et le code se remplit automatiquement. C’est similaire à comment fonctionne la 2FA par notification push, mais construit sur TOTP standard.
Bien pour : Les gens qui veulent du logiciel open source sans sacrifier l’utilisabilité. L’extension de navigateur est une vraie fonctionnalité de commodité.
Attention à : Communauté plus petite que les grands noms. Moins de reconnaissance de nom si cela compte pour vous pour la confiance.
Aegis
Aegis est Android uniquement et entièrement open source. C’est l’option la plus transparente ici : pas de service cloud, pas de compte à créer, pas de synchronisation à moins que vous ne la configuriez vous-même. Vous exportez un fichier de coffre crypté et gérez les sauvegardes comme vous voulez.
L’application prend en charge le verrouillage biométrique, a une interface propre, et gère tout le TOTP/HOTP standard sans problème. Vous pouvez importer depuis la plupart des autres applications d’authentification si vous changez.
Le manque de synchronisation cloud intégrée est soit une fonctionnalité soit un inconvénient selon votre perspective. Si vous voulez un contrôle total sur où vos secrets sont stockés, Aegis vous le donne. Si vous voulez que les choses se synchronisent automatiquement, vous devrez l’associer avec quelque chose comme Syncthing ou gérer les sauvegardes manuellement.
Bien pour : Les utilisateurs Android qui veulent un contrôle et une transparence totaux. Les gens soucieux de sécurité qui préfèrent gérer leurs propres sauvegardes.
Attention à : Pas de version iOS. Pas de synchronisation intégrée. Vous êtes responsable de votre propre stratégie de sauvegarde.
Alors laquelle devriez-vous utiliser ?
Il n’y a pas de meilleure réponse unique. Voici un guide de décision approximatif :
- Vous voulez juste quelque chose qui fonctionne : Google Authenticator ou Microsoft Authenticator. Choisissez l’écosystème que vous utilisez déjà.
- Vous voulez une synchronisation cloud sur plusieurs appareils : Authy ou 2FAS.
- Vous vous souciez de l’open source : 2FAS (multi-plateforme) ou Aegis (Android).
- Vous voulez le contrôle maximum : Aegis. Vous gérez tout, rien ne part à la maison.
- Vous utilisez Microsoft 365 au travail : Microsoft Authenticator, puisque vous en avez probablement besoin de toute façon.
La vérité honnête est que n’importe laquelle de ces applications convient. La différence de sécurité entre elles est faible comparée à la différence entre utiliser n’importe quelle application d’authentification et n’en utiliser aucune du tout. Choisissez-en une, configurez vos comptes, sauvegardez vos codes de secours, et passez à autre chose.
Si vous voulez comprendre la mécanique derrière les codes que ces applications génèrent, consultez Qu’est-ce que TOTP ?. Et pour tester des codes sans vous engager, essayez 2fa.zip — il fonctionne dans votre navigateur et ne stocke rien sur un serveur.