📋 Sur cette page
Votre mot de passe seul ne suffit plus. Chaque semaine, des milliers de Canadiens voient leurs comptes compromis — non pas parce que leur mot de passe était devinable, mais parce qu'il a été volé lors d'une fuite de données chez un tiers. L'authentification à deux facteurs (2FA) ajoute un second verrou : même si quelqu'un connaît votre mot de passe, il ne peut pas accéder à votre compte sans l'élément supplémentaire que vous seul possédez.
Ce guide vous explique comment ça fonctionne, quelle méthode choisir, et comment l'activer sur les services que vous utilisez au Québec — y compris les plus critiques : votre dossier fiscal à l'ARC et à Revenu Québec.
Qu'est-ce que l'authentification à deux facteurs?
Le 2FA (ou A2F en français) repose sur un principe simple : pour vous connecter, vous devez fournir deux preuves d'identité appartenant à deux catégories différentes :
- Ce que vous savez — votre mot de passe
- Ce que vous possédez — votre téléphone (code temporaire), une clé physique
- Ce que vous êtes — données biométriques (empreinte, visage) — moins courant pour le 2FA web
L'idée est qu'un attaquant qui vole votre mot de passe n'a accès qu'à un seul des deux facteurs. Sans le second — généralement votre téléphone — il est bloqué.
Les méthodes classées par sécurité
Toutes les méthodes de 2FA ne sont pas équivalentes. Voici un classement du plus faible au plus sécurisé :
SMS / appel vocal
Un code à 6 chiffres vous est envoyé par texto ou appel téléphonique. C'est la méthode la plus répandue, mais aussi la plus vulnérable. Le principal risque : le SIM swapping (voir plus bas).
⚠️ Faible — acceptable pour débuterApplication authenticator
Google Authenticator, Authy, Microsoft Authenticator ou Aegis génèrent un code à 6 chiffres toutes les 30 secondes, sans connexion internet. Ce code est généré localement sur votre téléphone — aucun SMS interceptable.
✅ Recommandé pour la plupart des gensClé physique (hardware key)
YubiKey, Google Titan Security Key. Une petite clé USB ou NFC que vous branchez physiquement. Pratiquement impossible à pirater à distance. Idéale pour les comptes les plus sensibles.
🏆 Le plus sécurisé disponiblePourquoi le SMS est-il le plus faible?
Les SMS transitent par le réseau téléphonique (SS7), un protocole des années 1970 avec des vulnérabilités connues. Plus concrètement, l'attaque la plus fréquente au Canada est le SIM swapping : un fraudeur appelle Bell, Rogers ou Telus en se faisant passer pour vous, fournit vos informations personnelles (souvent piochées dans une fuite de données), et fait transférer votre numéro sur sa propre carte SIM. À partir de ce moment, il reçoit vos codes SMS.
Des centaines de Canadiens ont perdu des dizaines de milliers de dollars via le SIM swapping — souvent en combinaison avec le vol de compte bancaire ou de compte crypto. Bell Canada a reconnu des incidents de SIM swapping dans ses rapports de sécurité. Rogers et Telus ont subi des incidents similaires.
Activer le 2FA sur vos services québécois essentiels
🏛️ Mon dossier ARC (Agence du revenu du Canada) — PRIORITÉ ABSOLUE
La fraude fiscale via le vol de dossier ARC est l'une des escroqueries les plus lucratives au Canada. Des fraudeurs s'emparent de comptes ARC pour rediriger les remboursements d'impôt, demander des prestations (PCU, PCRE) et contracter des dettes en votre nom. Des milliers de Québécois en ont été victimes.
- Connectez-vous à Mon dossier ARC sur canada.ca/mon-dossier-arc
- Allez dans « Paramètres de sécurité » dans le menu de gauche
- Sélectionnez « Authentification à plusieurs facteurs » et cliquez sur « Activer »
- Choisissez votre méthode : application authenticator (recommandé) ou SMS
- Sauvegardez vos codes de récupération — imprimez-les ou conservez-les dans un gestionnaire de mots de passe
📊 Mon dossier Revenu Québec
Revenu Québec gère votre déclaration provinciale, les remboursements de TPS/TVQ et plusieurs prestations québécoises. Le vol de ce compte peut entraîner une fraude fiscale provinciale.
- Connectez-vous sur revenuquebec.ca → Mon dossier
- Accédez à « Mon profil » → « Sécurité »
- Activez la vérification en deux étapes — par SMS ou par application
- Revenu Québec recommande d'utiliser un numéro de téléphone fiable et de mettre à jour votre profil si vous changez de numéro
⚡ Espace client Hydro-Québec
Votre compte Hydro-Québec contient votre adresse, votre historique de consommation et vos informations de paiement. Il peut aussi être utilisé pour des fraudes à l'identité.
- Connectez-vous sur hydroquebec.com → Espace client
- Allez dans « Mon profil » → « Sécurité du compte »
- Activez la vérification en deux étapes — Hydro-Québec propose le SMS ou l'application
📧 Gmail / Google
Votre compte Google est souvent la clé maîtresse de votre vie numérique — il permet la réinitialisation de mot de passe pour la plupart de vos autres comptes. Sa protection est critique.
- Allez sur myaccount.google.com → Sécurité
- Sous « Comment vous connectez-vous à Google » → Validation en deux étapes
- Suivez l'assistant — choisissez « Application d'authentification » plutôt que SMS
- Google propose aussi les clés de sécurité physiques et les codes de sauvegarde
📱 Facebook et Instagram (Meta)
Le vol de compte Facebook peut être utilisé pour des escroqueries ciblant vos proches. Sur Instagram, les comptes volés sont souvent revendus ou utilisés pour des fraudes.
- Facebook : Paramètres → Centre de comptes → Mot de passe et sécurité → Authentification à deux facteurs
- Instagram : Profil → Menu → Paramètres → Sécurité → Authentification à deux facteurs
- Choisissez « Application d'authentification » — Meta génère un QR code à scanner
- Sauvegardez les codes de récupération affichés à la fin de la configuration
Authy vs Google Authenticator : laquelle choisir?
Une fois décidé d'utiliser une application authenticator, le choix principal est entre Google Authenticator et Authy (de Twilio). Les deux génèrent des codes TOTP (Time-based One-Time Password) standard, compatibles avec tous les services.
| Critère | Google Authenticator | Authy |
|---|---|---|
| Sauvegarde dans le nuage | Oui (compte Google requis, depuis 2023) | Oui (chiffrée, mot de passe Authy requis) |
| Multi-appareils | Oui (via sync Google) | Oui (jusqu'à plusieurs appareils) |
| Accès hors ligne | Oui | Oui |
| Risque si téléphone perdu | Récupérable via compte Google | Récupérable via sauvegarde Authy chiffrée |
| Entreprise propriétaire | Twilio (États-Unis) | |
| Gratuit | Oui | Oui |
Notre recommandation : Si vous débutez avec le 2FA, Authy est plus convivial et la sauvegarde chiffrée réduit le risque de vous retrouver bloqué en cas de perte de téléphone. Utilisez un mot de passe Authy fort et unique — c'est la clé de voûte de votre sauvegarde. Ne réutilisez pas votre mot de passe habituel.
Si vous êtes à l'aise avec la gestion des codes de récupération et que vous préférez éviter la dépendance à un service nuage, Google Authenticator ou l'application open-source Aegis (Android uniquement) sont d'excellentes alternatives.
Les codes de récupération : l'étape critique que tout le monde saute
Quand vous activez le 2FA sur un service, celui-ci vous offre généralement de générer des codes de récupération — une série de codes à usage unique (souvent 8 à 10 codes) que vous pouvez utiliser si vous perdez l'accès à votre méthode 2FA normale. La plupart des gens cliquent « Continuer » sans les sauvegarder. C'est une erreur grave.
Où conserver vos codes de récupération?
- Imprimez-les et rangez-les dans un endroit physique sécurisé (avec vos documents importants, non dans votre portefeuille)
- Dans votre gestionnaire de mots de passe — Bitwarden, 1Password ou KeePassXC offrent des champs de notes sécurisés. Stockez les codes dans la note du compte correspondant.
- Dans un fichier chiffré sur un disque dur externe conservé hors ligne
- Évitez : email non chiffré, notes non protégées sur votre téléphone, fichier texte non chiffré sur le bureau
Le SIM swapping au Canada : comment vous protéger
Le SIM swapping est une attaque où un fraudeur convainc votre opérateur de transférer votre numéro de téléphone sur une carte SIM qu'il contrôle. Il reçoit alors tous vos SMS — y compris vos codes 2FA et vos réinitialisations de mot de passe. Cette attaque a été documentée chez Bell, Rogers, Telus et Vidéotron.
Le fraudeur obtient vos informations personnelles (nom complet, date de naissance, adresse) via des fuites de données ou les réseaux sociaux, puis se présente comme vous au service à la clientèle de votre opérateur.
Ajouter un NIP de compte chez votre opérateur
| Opérateur | Comment ajouter un NIP |
|---|---|
| Bell | Connectez-vous sur bell.ca → Mon compte → Sécurité → Créer un NIP de compte. Ce NIP sera requis pour toute modification importante de votre ligne. |
| Rogers | rogers.com → Mon profil Rogers → Sécurité → NIP de compte. Activez aussi l'option « Vérification supplémentaire pour les changements de SIM ». |
| Telus | telus.com → Mon compte → Gestion du compte → NIP de sécurité. Ajoutez un NIP de 6 à 8 chiffres différent de votre date de naissance. |
| Vidéotron | videotron.com → Mon compte → Sécurité. Ajoutez un NIP de compte pour les modifications de ligne mobile. |
| Fido / Koodo / Virgin | Ces filiales (Rogers/Telus) offrent aussi des NIP de compte via leurs portails respectifs. |
Questions fréquentes
Est-ce que le 2FA par SMS est suffisant pour protéger mon compte bancaire?
Le 2FA par SMS est mieux que rien, mais c'est la forme la plus faible. Il est vulnérable au SIM swapping. Pour vos comptes bancaires et fiscaux, une application authenticator offre une protection nettement supérieure. Malheureusement, certaines institutions financières canadiennes n'offrent que le SMS — dans ce cas, c'est votre seule option chez eux, mais appliquez les protections SIM swapping décrites ci-dessus.
Si je perds mon téléphone, est-ce que je perds accès à tous mes comptes 2FA?
Pas si vous avez sauvegardé vos codes de récupération à l'avance. Chaque service génère ces codes lors de l'activation — imprimez-les et rangez-les. Si vous utilisez Authy avec sauvegarde activée, vous pouvez restaurer vos codes sur un nouveau téléphone avec votre mot de passe Authy. Google Authenticator est récupérable via votre compte Google depuis 2023.
Mon opérateur peut-il vraiment transférer mon numéro sans ma permission?
Oui, c'est le principe du SIM swapping — et c'est exactement pourquoi vous devez ajouter un NIP de compte chez votre opérateur. Ce NIP supplémentaire rend la fraude beaucoup plus difficile, car l'agent au téléphone doit le vérifier avant toute modification de votre ligne.
Combien de temps ça prend d'activer le 2FA sur tous mes comptes?
Comptez 5 à 10 minutes par service pour les comptes importants. Commencez par vos comptes les plus critiques : ARC, Revenu Québec, email principal, banque. Une après-midi suffit pour sécuriser l'essentiel. Vous n'avez pas besoin de tout faire d'un coup.
Aller plus loin
Le 2FA est une couche de protection essentielle, mais ce n'est qu'un élément d'une bonne hygiène numérique. Combinez-le avec des mots de passe forts et uniques, et vous élevez considérablement votre sécurité en ligne.