Votre code est correct, mais le site dit qu’il est faux
Vous ouvrez votre application d’authentification, lisez le code à 6 chiffres, le saisissez soigneusement, et… “Code invalide.” Vous réessayez avec le prochain code. Même chose. Vous commencez à vous demander si vous avez mal configuré quelque chose, ou si le service est cassé.
Cela arrive plus souvent que vous ne le pensez, et il y a presque toujours une explication simple.
La cause la plus courante : votre horloge est décalée
Les codes TOTP sont calculés à partir de deux choses : une clé secrète et l’heure actuelle. Votre téléphone et le serveur doivent tous deux se mettre d’accord sur l’heure qu’il est. Si l’horloge de votre téléphone est décalée de seulement 30 secondes, vous générerez un code pour la mauvaise fenêtre temporelle, et le serveur le rejettera.
C’est de loin la raison la plus fréquente pour laquelle les codes TOTP ne fonctionnent pas.
Comment y remédier :
- Sur Android : Allez dans Paramètres > Système > Date et heure, et activez “Régler l’heure automatiquement”. Si c’est déjà activé, désactivez-le et réactivez-le. Certains téléphones dérivent dans le temps même avec la synchronisation automatique activée.
- Sur iPhone : Allez dans Paramètres > Général > Date et heure et assurez-vous que “Régler automatiquement” est activé. Si c’est déjà le cas et que les codes échouent toujours, désactivez-le, attendez quelques secondes, et réactivez-le.
- Google Authenticator a une synchronisation temporelle intégrée : allez dans Paramètres > Correction temporelle pour les codes > Synchroniser maintenant. Cela ajuste le décalage interne de l’application sans changer l’horloge système de votre téléphone.
Si vous voyagez et que vous réglez manuellement votre téléphone sur un fuseau horaire différent, cela ne devrait pas affecter TOTP (l’algorithme utilise UTC), mais certains appareils mal configurés peuvent se confondre. Restez avec l’heure automatique.
Vous saisissez le code trop lentement
Les codes TOTP sont valables pendant 30 secondes. Si vous lisez le code de votre application, passez au navigateur, trouvez le champ de saisie, et le saisissez, vous pourriez franchir la limite dans la prochaine fenêtre temporelle. Le code que vous avez saisi est maintenant le code précédent.
La plupart des serveurs acceptent les codes des fenêtres temporelles adjacentes (une avant, une après) pour tenir compte de cela. Mais si vous êtes juste à la limite, vous pouvez quand même être rejeté.
Comment y remédier : Attendez qu’un nouveau code apparaisse dans votre application d’authentification, puis saisissez-le immédiatement. Ne commencez pas à saisir un code qui n’a que 5 secondes restantes.
Vous avez scanné le mauvais QR code ou saisi le mauvais secret
Si le code n’a jamais fonctionné depuis que vous l’avez configuré, vous avez probablement stocké la mauvaise clé secrète. Cela peut arriver si :
- Vous avez scanné un QR code d’un compte différent
- Vous avez saisi manuellement la clé secrète et fait une faute de frappe
- Le processus de configuration a été interrompu et la clé n’a pas été sauvegardée correctement
Comment y remédier : Allez dans les paramètres de sécurité du service, désactivez la 2FA (vous pourriez avoir besoin des codes de secours pour cela), et configurez-la à nouveau depuis le début. Scannez le QR code soigneusement, et vérifiez en saisissant un code avant de fermer la page de configuration.
Vous regardez le mauvais compte
Si vous avez plusieurs comptes sur le même service (un Gmail personnel et un pro, par exemple), votre application d’authentification a des entrées pour les deux. Il est facile de lire le code du mauvais, surtout si les étiquettes sont similaires.
Comment y remédier : Vérifiez l’étiquette sur l’entrée TOTP dans votre application. La plupart des applications d’authentification montrent l’adresse email ou le nom d’utilisateur associé à chaque entrée. Assurez-vous de lire le code pour le compte auquel vous vous connectez réellement.
L’horloge du serveur est fausse (rare, mais cela arrive)
Parfois ce n’est pas de votre faute. Si l’horloge d’un serveur d’un service dérive, il rejettera les codes valides de tout le monde. C’est inhabituel avec les gros fournisseurs mais peut arriver avec des services plus petits, des applications auto-hébergées, ou des outils internes d’entreprise.
Comment vérifier : Essayez votre code sur 2fa.zip. Saisissez la même clé secrète et voyez si le code qu’il génère correspond à votre application d’authentification. S’ils correspondent, le problème est du côté serveur, pas du vôtre. Vous devrez contacter l’équipe de support du service.
Le format de la clé secrète est erroné
Les secrets TOTP sont des chaînes encodées en base32 (utilisant les lettres A-Z et les chiffres 2-7). Si vous avez saisi manuellement un secret et inclus des caractères hors de cette plage, ou si le service vous a donné une clé dans un format différent, les codes générés seront erronés.
Comment y remédier : Vérifiez à nouveau la clé secrète. Supprimez les espaces ou tirets (ceux-ci sont juste pour la lisibilité). Assurez-vous qu’il n’y a pas de caractères ambigus (0 vs O, 1 vs l). En cas de doute, supprimez l’entrée et scannez le QR code au lieu de saisir la clé manuellement.
Liste de vérification rapide
Si votre code TOTP ne fonctionne pas, parcourez ceci :
- L’heure de votre téléphone est-elle réglée sur automatique ? (Résout 80% des problèmes)
- Avez-vous attendu un nouveau code avant de saisir ?
- Lisez-vous le code pour le bon compte ?
- Le code a-t-il déjà fonctionné, ou a-t-il échoué depuis le début ?
- Pouvez-vous vérifier votre code contre 2fa.zip ?
Si vous avez parcouru tout cela et que le code ne fonctionne toujours pas, le problème est probablement du côté du service. Vérifiez leur page de statut ou contactez le support.
Pour des guides étape par étape sur comment configurer correctement la 2FA depuis le début, consultez nos guides pour Discord et GitHub.