Google Authenticator : Téléphone perdu ? (2 Solutions)

Vous avez perdu votre téléphone et recherchez une solution pour récupérer vos codes Google Authenticator ?

Rassurez-vous, j’ai 2 solutions : vous êtes au bon endroit !

Dans cet article je vous explique les solutions envisageables pour débloquer ses comptes utilisant l’app 2FA de Google et comment vous en sortir sans trop de frais.

Et oui car nous sommes de plus en plus nombreux à utiliser google authenticator pour sécuriser l’accès à nos divers comptes et c’est une bonne chose !

L’authentification à 2 facteurs (2FA) est l’un des moyens les plus sûrs pour sécuriser ses comptes et éviter qu’un pirate ne s’empare de vos données personnelles.

google-authenticator-telephone-HS

Pourtant, si c’est pratique et facile à utiliser, utiliser google authenticator créé un gros soucis de dépendance envers celui-ci.

  • Que se passe-t-il si je perds mon téléphone ?
  • Puis-je récupérer mes codes Google Authenticator si on me vole mon Smartphone ?
  • Est-ce qu’un malware / virus peut voler mes codes Google Authenticator ?
  • Ou tout simplement comment transférer mes codes sur mon nouveau téléphone ?

C’est à toutes ces questions qui concernent directement Google Authenticator et son utilisation que je vais tenter de répondre, en espérant vous apporter une solution.

Mais avant d’aller dans le détail, voyons d’abord quelques généralités :

Qu’est ce que le 2FA ?

Tout d’abord, petite introduction sur la double authentification plus communément appelée 2FA (2 Factors Authentification) sur le web.

Il s’agit comme son nom l’indique d’utiliser en complément du classique login / mot de passe une couche de sécurité supplémentaire qui vient sous la forme d’un code qu’on rentre une fois qu’on a passé l’étape du login / mot de passe.

Et bien sur, ce code doit être juste pour pouvoir vous connecter, il ne faut donc pas prendre ce système à la légère car sans le fameux code vous n’avez plus accès à vos comptes, même avec le bon mot de passe.

C’est bien là l’intérêt du truc : un pirate ou un proche mal intentionné qui aurait vos accès (soit par négligence de votre part soit par tentative de piratage) ne pourrait pas se connecter pour autant à votre compte car il lui manque le code.

Il y a donc bien 2 étapes à franchir, sachant que le code en question est un code à 6 chiffre généré de façon aléatoire et changeant toutes les 10 secondes.

Le fonctionnement exact est variable selon le compte que vous voulez sécurisez mais l’ensemble fonctionne sur le même schéma :

  • On installe une application 2FA comme google authenticator
  • On scanne un QR code avec l’application pour relier l’app à votre compte
  • On voit apparaitre un code associé au compte

Google Authenticator : la reine des app 2FA

Pour pouvoir accéder à ce service gratuit de sécurisation de vos comptes, il faut donc installer une application sur votre smartphone / tablette, il y en a plusieurs mais la plus utilisée et surement la plus sécurisée est bien sûr celle offerte par le géant américain : google authenticator.

google-authenticator

Que ce soit pour sécuriser ses comptes google, dropbox, votre banque ou vos cryptomonnaies, google authenticator va donc vous permettre de générer un code unique et périssable selon le fonctionnement décrit plus haut.

J’ai perdu mon téléphone : et mes codes Google Authenticator ?

Sauf qu’à force de tout vouloir sécuriser via cette application, on finit par créer ce qu’on appelle un SPOF (Single Point Of Failure)

SPOF-Single-point-of-failure

Il suffit que votre téléphone soit :

  • Cassé
  • Buggé / souci Android
  • Perdu
  • inaccessible / introuvable
  • Volé
  • Atteint d’un malware / virus

Pour que celui-ci se transforme en SPOF et vous bloque accès à tous vos comptes les plus importants puisque ceux que vous avez délibérément voulu protéger avec Google Authenticator et le 2FA !

Il est donc important de sécuriser l’utilisation même de Google Authenticator quand tout va bien car cela peut avoir de grosses conséquences.

Cela est bien sur également valable si vous changez tout simplement de téléphone même si c’est infirment moins pénible car vous avez toujours accès à l’ancien.

Dans ce cas ne formatez / réinitialisez pas votre téléphone avant d’avoir fait le nécessaire décrit ci-dessous.

Google authenticator n’est pas lié à votre compte google

Déjà première chose à savoir qui m’a personnnelment beaucoup surpris quand j’ai entamé mes recherches pour cet article.

L’application Google authenticator installée sur votre téléphone n’est pas synchronisée avec votre compte google.

Je pensais en commençant ces recherches que c’était le cas et qu’il suffisait dans le cas ou on utilisait Android comme moi qu’il suffisait de renseigner son compte google et réinstaller google authenticator pour retrouver ses codes.

PAS DU TOUT !

La procédure est en réalité bien plus compliquée : il faut pouvoir se connecter à son compte (par exemple Dropbox) et à partir de là générer un nouveau Device pour le 2FA.

Sauf que bien sur pour se connecter à votre compte il faut le code de google authenticator… le serpent qui se mord la queue en somme.

Un malware peut-il voler mes codes Google Authenticator ?

La réponse est oui !

Une variante du malware bancaire Android bien connu dénommé Cerberus détourne les paramètres d’accessibilité pour voler les codes d’authentification 2FA directement dans Google Authenticator.

Les chercheurs de Threatfabric pensent que la fonctionnalité vise à briser la sécurité 2FA et donc voler vos codes.

Pour cette raison comme pour beaucoup d’autres, soyez donc prudents et ne téléchargez pas tout et n’importe quoi sur vos Smartphone pour éviter tout risque de contamination par un malware de ce type.

Solution 1 : remplacer Google Authenticator par le SMS

Certains sites qui offrent le 2FA vous offrent bien souvent le choix entre :

  • Une application 2FA comme Google Authenticator
  • Un numéro de téléphone sur lesquels ils envoient un code temporaire par SMS

Si vous avez perdu vos codes ou l’accès à Google Authenticator, il faut alors quand c’est possible basculer sur l’autre mode 2FA.

confirmation-code-sms

Pour cela il suffit en général de contacter le site en question en lui expliquant la situation et en demandant :

  • Soit la désactivation du 2FA
  • Soit la validation par SMS via votre numéro de téléphone

Evidemment, si vous avez perdu votre téléphone ou qu’on vous l’a volé seule la première option est possible.

carte-identite-2FA-verification

Il faudra alors montrer patte blanche en confirmant votre identité par exemple via :

  • Une photo
  • La photo /scan d’une pièce d’identité
  • Toute preuve que vous êtes le propriétaire du compte

C’est le service client du site qui vous donnera la procédure qui est différente à chaque fois.

Ne leur en voulez pas si c’est un peu contraignant, il est normal qu’ils vérifient que c’est bien vous !

C’est même un test de sécurité non négligeable car si un pirate peut désactiver le 2FA en faisant une simple demande, celui-ci ne sert à rien !

Solution 2 : les Backup Codes de Google Authenticator

Heureusement, certains (mais pas tous) les services comme Dropbox vous donnent des backup codes au moment ou vous activez le 2FA afin de ne pas rester bloqué.

Ces codes sont à utilisation unique et ne changent pas toutes les 10 secondes comme les autres, même plusieurs années après leur génération ils sont toujours utilisables… une seule fois.

2FA-QR-code

Bien sur, en contactant les services en question il sera toujours possible d’envoyer un document pour prouver votre identité mais c’est à la fois long, aléatoire et stressant.

Gardez donc précieusement ces backup codes quelque part, sur un papier au fond du tiroir ou ailleurs, attention simplement à toujours pouvoir y accéder.

Par exemple, au début je faisais des screenshots dans un dossier spécifique de mon ordi synchronisé sur le cloud sauf que si je perds accès au cloud ça ne m’avancera à rien : un peu de low tech donc est le bienvenu !

N’hésitez donc pas à récupérer ces codes dès à présent et AVANT d’en avoir besoin : récupérer ses codes avec est bien plus simple que de récupérer ses données effacées et vous évitera bien des maux de tête par la suite car vous le savez aussi bien que moi : ce genre de choses n’arrivent jamais au bon moment.

Google Authenticator sur un nouveau smartphone ?

Si vous êtes dans le cas ou vous avez un nouveau téléphone et que vous souhaitez simplement basculer vos codes google authenticator sans devoir tout refaire compte par compte, il est possible d’utiliser une app comme Authy.

C’est une sorte d’outil de synchro de vos app 2FA si vous en utilisez plusieurs, et qui permet en l’installant sur le nouveau téléphone de récupérer automatiquement tous vos comptes.

authy-app

Dans tous les cas, et afin que google authenticator ne créé pas plus de problème qu’il en résout, il faut anticiper et avoir ses backup codes au chaud afin de pouvoir les ajouter le moment venu.

Conclusion : le 2FA mérite quelques améliorations

Ce mode de fonctionnement est le bienvenu quand on veut transférer ses codes Google authenticator vers un nouveau smartphone, mais ce n’est je trouve pas aussi fluide que cela pourrait-être.

Je n’arrive par exemple pas à comprendre pourquoi ces accès ne sont pas liés au compte Google et synchronisés avec lui (à la demande explicite de l’utilisateur) ce qui éviterait tous ces problèmes liés à un Google Authenticator perdu.

Il suffirait alors d’aller sur n’importe quel device avec le compte Google et d’installer l’app 2FA et hop on retrouve ses codes comme par magie après avoir rentré un double mot de passe par exemple.

Google a probablement jugé que ce n’était pas assez sécurisé, mais je trouve personnellement que le risque SPOF est plus contraignant, et j’ai moi-même hésité à basculer sur un 2FA via SMS à la place de Google Authenticator à cause de cela.

Le SMS est globalement moins sécurisé car dans l’absolu ils peuvent être interceptés (police, pirates, votre fournisseur mobile) et ça ne résout pas le soucis du téléphone perdu / volé.

On compte sur Google pour améliorer cela !

Vous avez connaissance d’une autre solution pour débloquer les comptes utilisant Google Authenticator et que je n’aurais pas évoqué dans cet article ?

N’hésitez pas à utiliser les commentaires pour en faire profiter les centaines de personnes qui lisent cet article tous les jours et qui sont parfois désespérément à la recherche d’une solution !

Vous aimerez aussi...

22 réponses

  1. Cephylia dit :

    Bonjour moi mon téléphone est cassé pas moyen de l’utiliser. Comment récupérer mon compte 2FA . Qui contacter exactement pour cela slvp

  2. @NF : Merci beaucoup 🙂

  3. nf dit :

    Super article, très clair, merci beaucoup !

  4. @Narimane : il faut contacter le support facebook pour qu’ils désactivent le 2FA

  5. Narimane dit :

    Bonjour, alors j’ai un petit(grand) problème ! J’ai supprimé l’app d authentification par inadvertance et je n’ai plus accès à mon compt Facebook malgré le fait que je reçois un code par SMS. Facebook me demande quand même un code généré par l’app.
    Que faire svp ?

  6. @Philippe : Ce ne sont pas les codes affichés par l’application qu’il faut conserver évidemment, puisqu’ils changent en permanence et c’est de la que vient la sécurité. Les codes à conserver sont fournis lors de l’activation du 2FA par le site que vous sécurisez, il y a donc un code de récupération par site activé.

    Ce n’est peut être pas systématique mais la plupart des sites vous donnent un code que vous pouvez rentrer sur le site en cas de perte de votre Google authenticator.
    Si vous n’avez pas de code de récupération il faudra contacter le support de chaque site pour leur demander de réinitialiser le 2FA de leur coté et vous permettre de refaire la procédure avec votre nouveau téléphone.

  7. BOURQUI Philippe dit :

    Bonjour, malgré la clarté de votre article quelques questions subistent : Vous parlez de codes à conserver mais ils changent toutes les 10 secondes.
    Les backups codes eux sont-ils fournis systématiquement par GA lors de la première connexion ou sont-ils fournis par les sites eux-même comme Dropbox que vous citez ? Je suis sur plusieurs sites de cryptomonnaies je ne vois pas de fonction pour récupérer les Les backups codes ?
    Je vais chercher des solutions du côté d’Authy mais comme les codes sont èphémères je comprends mal comment cette application pourra m’aider dans la mise en route d’un nouveau smartphone….

  8. Avez-vous lu l’article ?

  9. Sonon dit :

    Bonjour
    J’ai perdu mon téléphone et je n’avais pas noté le code lié à ce compte. Comment faire pour accéder à ce copmte

  10. Ahmed dit :

    J’ai perdu mon tél mais j’ai garder le code de secours .comment je récupère mon 2 fa

  11. @Chris : c’est le site sur lequel vous rentrez le code de Google Authenticator qui vous fournit le code, pas google ou lors de l’installation de l’app. Il faut voir avec le site sur lequel vous utilisez le code donc 🙂

  12. Chris dit :

    Bonjour, j’ai bien mon téléphone mais je ne me souviens pas avoir vu une clé ou qr code lors de l’installation de l’appli. Est-il possible d’y avoir accès? Comment puis-je avoir ce code pour le sauvegarder autre part que sur mon téléphone? Merci bcp

  13. @May : Bonjour, les codes de récupération 2FA ne sont pas liés à votre application Google Authenticator et ce qu’elle contient mais à chaque compte que vous avez rentré. Vous devriez donc en principe avoir 3 codes différents, mais c’est déjà ça d’en avoir un… pour les deux autres vous pouvez contacter les services client / aide des sites en question en leur demandant de basculer sur une vérification par SMS par exemple le temps de réinstaller un nouveau google Authenticator et noter les codes de récupération cette fois 🙂

  14. May dit :

    Est ce qu’il existe un seul code GOOGLE authenticator par smartphone ou est ce qu’il y a un code par site ? Je l’utilise pour 3 compagnies differentes mais n’ai noté qu’un seul code de récupération … Merci

  15. Abel dit :

    Je ne peux plus me connecter a mon compte mais vous parlée dun site depuis

    Dites nous lequel

  16. @Je reste anonyme : c’est écrit dans l’article, il faut contacter les sites auxquels vous voulez accéder pour désactiver le 2FA ou le remplacer par une vérification par SMS. Il n’est pas possible de récupérer les codes de Google Authenticator si vous n’avez pas gardé les codes ou le QR à leur mise en place, sinon j’en aurai parlé dans l’article !

    Bon courage à vous ! Ne stressez pas, les sites ont l’habitude des gens qui perdent l’accès à Google authenticator ou autre application 2FA, ils ont des process de vérification, tant que c’est votre compte vous ne risquez rien.

  17. je reste anonyme dit :

    j ai tt perdu et j ai besoin de récupérer mon code comment je peut faire ses important comme une debile j ai effacer en me disant ses pas grave je vais le recup et la page blanche sachant que j ai pas pris le code cle

  18. @Marc Comlan : aucun site ne pourra vous redonne un code comme ça, il faut contacter le site sur lequel vous ne pouvez plus vous connecter et lui demander de désactiver le 2FA. Il faudra probablement justifier de votre identité, les sites sont habitués ils ont ce genre de demande fréquemment.

  19. Marc Comlan dit :

    Bonsoir Nico Mercie pour vous aider d’explications je sur dans ce problèmes actuellement j’ai perdu mon code et cela m’en perche d’accès a mon compte j’aimerai bien que vous m’aide a trouve une solution en l’expliquant les site appropriés qui peuvent mais résoudre le problèmes
    Mercie encore une fois de plus

  20. Bonjour Nico,
    Si votre ancien smartphone est inutilisable alors vous ne pouvez pas (dites-m’en un peu plus sur le soucis, il y a peut etre un contournement en branchant une souris ou un écran externe par exemple)

    La procédure la plus simple est d’aller sur le site / service qui utilise authenticator et de le désactiver dans les paramètres ou de choisir le sms comme mode 2FA à la place de google authenticator. Bien souvent, pour désactiver ce dernier on vous demandera le code et c’est le serpent qui se mord la queue, mais des fois c’est faisable selon le site.

    Autre option, contacter le support du site et leur expliquer. Ils pourront le désactiver de leur coté et vous permettre de rebrancher un nouveau google authenticator ou peut etre (meme si c’est moins sécurisé dans l’absolu) rester sur le SMS comme 2éme facteur d’authentification car c’est quand meme beaucoup plus simple en cas de soucis (à condition d’avoir la puce, ce qui n’est pas le cas en cas de vol / perte)

  21. Bertrand dit :

    Bonjour, je suis exactement dans le cas que vous décrivez dans votre article. J’ai un nouveau téléphone car l’ancien est cassé et inutilisable, que faire pour récupérer le QR code que je suis censé récupérer sur l’ancien téléphone ?
    Je vous remercie d’avance….
    Nico

  22. Dom dit :

    Merci beaucoup pour votre article : j’ai perdu mon smartphone avec google authenticator ce n’est pas simple cette histoire !! Mais grace a vous je comprends mieux ce que j’ai à faire pour régler le problème merci !!

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *