Transfert de Google Authenticator : Migrer l’authentification à deux facteurs vers un nouveau téléphone
Si vous perdez votre téléphone contenant vos codes d'authentification, Coinbase vous placera dans une file d'attente de vérification d'identité de 48 à 72 heures avant que vous puissiez à nouveau accéder à votre compte. Binance peut prendre une semaine. Une petite plateforme d'échange peut nécessiter un mois. C'est le prix à payer pour un authentificateur non migré, et c'est la seule raison d'être de ce guide.
Ce guide explique comment transférer vos identifiants Google Authenticator sur iOS ou Android, dans les deux sens, grâce aux deux méthodes fonctionnelles : l’exportation par QR code, intégrée à l’application depuis mai 2020, et la synchronisation avec votre compte Google dans le cloud, disponible depuis avril 2023 (attention toutefois aux risques liés à la sécurité). Il aborde également la procédure à suivre en cas de perte ou de vol de votre ancien téléphone, les risques liés au transfert des codes d’authentification à deux facteurs (2FA) vers un nouvel appareil, et les solutions pour les comptes en ligne importants dont la récupération n’est pas toujours possible. L’objectif : migrer vos identifiants Google Authenticator sans perdre l’accès à vos comptes et sécuriser vos codes.
Pourquoi le transfert de Google Authenticator est important avant de changer de téléphone
L'authentification à deux facteurs par SMS disparaît avec la carte SIM. Une attaque par transfert de numéro, un changement d'opérateur, voire un transfert eSIM raté, et le code se retrouve sur le téléphone d'une autre personne. Le rapport 2024 du FBI sur la cybercriminalité a recensé 982 plaintes pour échange de carte SIM et 25,98 millions de dollars de pertes directes (contre 72,65 millions en 2022, mais les mêmes arnaques restent la porte d'entrée vers l'usurpation d'identité et le pillage des portefeuilles de cryptomonnaies). Les codes à usage unique d'une application d'authentification sont stockés dans la mémoire sécurisée de l'appareil, et non sur le réseau de l'opérateur. C'est pourquoi Microsoft affirme depuis des années que l'activation de l'authentification à deux facteurs bloque plus de 99,9 % des tentatives automatisées de piratage de compte.
Le compromis est évident : chaque code est lié à un seul téléphone. Si vous le faites tomber à l’eau, si vous le réinitialisez accidentellement, si vous le prêtez à votre enfant « cinq minutes », vous ne pourrez plus accéder à vos comptes tant que vous n’aurez pas suivi la procédure de récupération pour chaque service. Il est donc essentiel de sauvegarder vos codes, de les générer uniquement sur un appareil que vous contrôlez et de considérer le passage à un nouveau téléphone comme une opération de maintenance courante.
Avant de commencer : préparez votre application Google Authenticator sur les deux téléphones.
Une part surprenante des échecs de transfert est due à une préparation insuffisante, et non à un problème logiciel. Trois éléments sont les plus souvent en cause : une application obsolète, l’absence de données biométriques et une connexion Wi-Fi instable. Ouvrez Google Authenticator sur votre ancien téléphone et vérifiez qu’il se lance et affiche les codes tournants actuels. Mettez-le à jour via Google Play (Android version 7.0 ou ultérieure, sortie le 14 novembre 2024) ou l’App Store. Installez la même application Google Authenticator sur votre nouveau téléphone, connectez-vous avec votre compte Google habituel et activez la biométrie : l’invite d’exportation refuse d’afficher le code QR sans empreinte digitale ou reconnaissance faciale. Branchez les deux appareils, connectez-les au même réseau Wi-Fi de confiance et désactivez tout VPN.
Pendant la mise à jour des téléphones, listez tous les services liés à l'application d'authentification. La plupart des utilisateurs possèdent dix comptes d'authentification, voire plus, sans le savoir : chaque compte Google, GitHub, chaque plateforme d'échange, gestionnaire de mots de passe, console AWS, CMS. Le tableau ci-dessous indique l'emplacement des codes de sauvegarde pour les services qui bloquent le plus souvent l'accès. Conservez précieusement cette liste et les mots de passe robustes de chaque service ; certaines procédures de récupération exigent les deux avant de dissocier l'ancien appareil.
| Service | Où se trouvent les codes de sauvegarde | Notes |
|---|---|---|
| Compte Google | moncompte.google.com → Sécurité → Vérification en deux étapes | 10 codes à usage unique |
| Microsoft | compte.microsoft.com → Sécurité → Sécurité avancée | Code de récupération, également courriel de secours |
| GitHub | Paramètres → Mot de passe et authentification → Codes de récupération | 16 codes |
| Coinbase | Paramètres → Sécurité → Codes de sauvegarde | Lié à la vérification d'identité lors de la réinitialisation |
| Binance | Centre utilisateur → Sécurité → Authentification à deux facteurs | Récupération de compte : 24 heures à 7 jours |
| AWS | Centre d'identité IAM → Profil utilisateur | Jusqu'à 8 dispositifs MFA |
| Facebook / Instagram | Centre de comptes → Mot de passe et sécurité | 10 codes de récupération |
Exporter et importer : transférez votre Google Authenticator par QR code.
L'exportation par QR code a été lancée en mai 2020. Elle reste la méthode recommandée par la page d'aide iOS de Google et permet de transférer les clés de chaque compte sélectionné d'un téléphone à l'autre sans passer par un serveur. Ni le cloud, ni un compte Google ne sont nécessaires.
Commencez par votre ancien téléphone. Ouvrez l'application et repérez le menu : sur Android, il se trouve en haut à gauche avec trois lignes horizontales ; sur iPhone, il s'agit de trois points, généralement en haut à droite, mais parfois en bas. Appuyez sur le menu, sélectionnez « Transférer les comptes », puis « Exporter les comptes ». L'application vous demandera votre empreinte digitale, Face ID ou le code d'accès de votre appareil. Une fois l'authentification terminée, vous verrez la liste de tous les comptes Google Authenticator enregistrés sur l'appareil. Cochez ceux que vous souhaitez transférer (vous pouvez en sélectionner plusieurs) et appuyez sur « Suivant ». L'application génère alors un code QR contenant la clé de chiffrement pour un maximum de dix comptes simultanément. Vous en avez plus de dix ? Vous obtiendrez une série de codes QR numérotés, et l'application vous indiquera lequel est affiché.
Maintenant, ouvrez votre nouveau téléphone. Ouvrez Google Authenticator, appuyez sur « Démarrer » ou sur l'icône « + » en bas à droite si l'application est déjà ouverte. Sélectionnez « Scanner un code QR ». Si l'étape d'importation vous demande si vous importez un compte existant, répondez « Oui ». Placez votre nouveau téléphone devant l'écran de l'ancien et laissez l'appareil photo scanner le code QR. Votre nouvel appareil affiche la liste des comptes importés. Appuyez sur « Suivant » pour les autres codes QR du lot.
Les codes d'origine restent sur l'ancien téléphone. Vérifiez d'abord le nouvel appareil, puis supprimez les données. Ouvrez un service lié, connectez-vous et vérifiez que le code de vérification à six chiffres du nouvel authentificateur correspond bien à celui attendu par le service. Une fois que vous avez réussi à vous connecter aux deux services, supprimez les entrées de l'application de l'ancien téléphone, ou mieux encore, réinitialisez-le avant de le revendre.
Quelques problèmes peuvent survenir en pratique. La conversion d'Android à Android se déroule presque toujours sans encombre. La conversion d'Android vers iPhone peut parfois ne pas afficher certains comptes après l'importation, notamment lorsque le scan du code QR encode plus de cinq entrées ; réduisez la taille du lot et réessayez. La conversion d'iPhone vers Android peut parfois se bloquer sur l'écran d'exportation, car l'implémentation iOS de Google est plus lente que l'implémentation Android ; si cela se produit, forcez la fermeture de l'application, rouvrez-la et relancez l'exportation. Un VPN activé sur l'un ou l'autre appareil peut également corrompre le scan en raison de la limitation de la vitesse de la caméra par certains clients VPN. Désactivez-le pour le transfert. Les codes de transfert contenus dans le code QR ont une durée de validité limitée ; si l'horloge du nouvel appareil est décalée, vous risquez d'afficher des codes invalides après l'importation. Ouvrez le menu de l'application et appuyez sur « Correction de l'heure des codes » pour resynchroniser l'horloge de l'appareil.
Synchronisez les codes Google Authenticator avec votre compte Google.
La synchronisation cloud, ajoutée le 24 avril 2023 avec la version 6.0 sur Android et la version 4.0 sur iOS, est la méthode la plus pratique. Une fois activée, chaque code ajouté ou supprimé s'affiche sur tous les téléphones connectés au même compte Google, sans avoir besoin de code QR. Pour la plupart des connexions occasionnelles, c'est exactement ce que recherchent les utilisateurs.
Il convient de s'attarder sur cette mise en garde concernant la sécurité. Moins de 48 heures après le lancement d'avril 2023, les chercheurs en sécurité de Mysk Inc. ont démontré que le trafic transportant les clés TOTP vers les serveurs de Google n'était pas chiffré de bout en bout. Google s'est publiquement engagé à ajouter le chiffrement de bout en bout « ultérieurement », mais à l'heure actuelle, la synchronisation n'est protégée que par le chiffrement côté serveur de Google, ce qui signifie que Google peut techniquement lire les clés. Pour un compte Spotify ou Twitter, ce compromis est acceptable face à la perte d'accès. Pour un gestionnaire de mots de passe principal ou une plateforme d'échange de cryptomonnaies, je privilégie la méthode du QR code et j'accepte les contraintes qu'elle implique.
Pour activer la synchronisation, ouvrez Google Authenticator sur votre ancien téléphone, appuyez sur votre avatar ou l'icône de profil en haut à droite, puis connectez-vous avec le compte Google que vous souhaitez utiliser comme compte de secours. Un nuage vert apparaît à côté de chaque entrée synchronisée. Ouvrez ensuite la même application sur votre nouveau téléphone, connectez-vous avec le même compte Google, et les codes s'afficheront en quelques secondes. Aucun code QR à scanner ni authentification biométrique ne sont requis.
Si vous souhaitez un transfert Google Authenticator quasi instantané, la synchronisation est la solution idéale. Toutefois, si vous avez des doutes quant à son architecture sans chiffrement de bout en bout, utilisez-la uniquement pour les comptes à faible valeur ajoutée. Pour les mots de passe importants (comptes bancaires, cryptomonnaies, comptes GitHub essentiels), conservez-les sur un seul appareil via l'exportation QR, ou transférez-les intégralement vers une clé matérielle ou un code d'accès. La fiche d'information de la CISA sur l'authentification multifacteur (MFA) résistante au phishing, publiée en 2022 et confirmée en 2024, place les clés matérielles FIDO2 au-dessus de toute méthode TOTP.
Configurer Google Authenticator sur un nouvel appareil sans l'ancien téléphone
Si votre ancien téléphone est perdu, volé ou hors service, aucune des méthodes précédentes ne fonctionnera, car elles nécessitent toutes l'appareil source. Il n'existe aucune restauration depuis le cloud, sauf si la synchronisation était activée avant la perte. La seule option restante est la suivante, mais elle est lente.
Pour chaque service associé, vous devez vous connecter différemment et réassocier l'authentification à deux facteurs (2FA) à votre nouveau téléphone. Les codes de sauvegarde constituent la méthode la plus rapide pour récupérer votre compte : Google génère dix codes de sauvegarde à usage unique depuis votre compte Google lors de la configuration de la 2FA, GitHub en génère seize et la plupart des plateformes d'échange en génèrent entre huit et douze. Si vous les avez enregistrés dans un gestionnaire de mots de passe ou imprimés, utilisez-en un pour vous connecter, puis accédez directement aux paramètres de sécurité, supprimez l'ancienne association d'authentification de l'autre appareil et associez le nouveau téléphone en scannant un nouveau code QR pour transférer à nouveau les codes vers votre compte Google.
Sans codes de secours, la procédure peut s'avérer longue. Coinbase indique un délai de 48 à 72 heures pour la réinitialisation de l'authentification à deux facteurs (2FA), et plus long encore lorsque la vérification d'identité est activée. Certaines banques exigent un déplacement en agence. Conseil : configurez Google Authenticator avec des codes de secours associés à un gestionnaire de mots de passe dès son activation et imprimez-en une copie papier que vous conserverez ailleurs que sur votre téléphone. Dans tous les cas, gardez une liste de vos identifiants et adresses e-mail de récupération pour chaque compte en ligne protégé par Authenticator.
Transférez vos codes 2FA entre Android et iPhone sans perdre l'accès
La migration interplateforme est le domaine où se concentrent la plupart des discussions d'assistance. Le transfert de Google Authenticator fonctionne dans les deux sens entre iOS et Android, mais deux problèmes récurrents surviennent. Le premier est la réussite de l'exportation via le QR code, mais le nouvel appareil n'affiche qu'une partie des comptes. Il s'agit presque toujours de la limite de dix comptes par QR code, qui est atteinte silencieusement, surtout lorsque l'application iOS génère le QR code. Réduisez l'exportation à cinq comptes à la fois. Le second problème est l'affichage du message « Aucun compte à exporter » dans le menu d'exportation sur iOS, même si les codes sont valides. La solution, dans les versions 2026, consiste à mettre à jour l'application vers la dernière version disponible sur TestFlight ou l'App Store, à forcer sa fermeture, puis à désactiver et réactiver l'authentification biométrique de l'appareil.
Prenez des captures d'écran de chaque code QR d'exportation avant de le scanner (sur un autre appareil, ou imprimez-les). N'importe quel appareil peut scanner un code QR pour importer des données, mais Google ne permet pas de régénérer la même exportation. Une capture d'écran propre vous évitera donc bien des tracas. Que vous migriez sur iOS ou Android, stocker ces captures d'écran de codes QR en lieu sûr (dans une note chiffrée avec un gestionnaire de mots de passe) est la meilleure solution à moindre coût.
Utilisez les comptes Google Authenticator avec les plateformes d'échange de cryptomonnaies et Web3.
La prise de contrôle d'un compte sur une plateforme d'échange de cryptomonnaies ou un portefeuille crypto est pratiquement irréversible : une fois les fonds transférés, ils sont perdus. Les codes d'authentification constituent le minimum requis, et le rapport de Microsoft faisant état d'une augmentation de 146 % en un an des attaques de phishing par l'intermédiaire d'un adversaire du milieu (AiTM) jusqu'en 2024 signifie que même le TOTP ne suffit pas à lui seul. La campagne AiTM de mai 2026, basée sur un prétendu « code de conduite », a touché plus de 35 000 utilisateurs dans 13 000 organisations réparties dans 26 pays. Les attaquants ont utilisé des pages de connexion légitimes comme proxy, capturé le code TOTP en temps réel et volé le cookie de session avant même que l'utilisateur ne s'en aperçoive. Il est donc essentiel de lier une clé matérielle (YubiKey ou équivalent) au compte Google principal, puis d'ajouter Authenticator côté plateforme d'échange et de désactiver l'authentification à deux facteurs par SMS dès que le bon fonctionnement d'Authenticator est confirmé. Selon les chiffres de l'IC3 du FBI pour 2024, les pertes totales liées à la cybercriminalité s'élèvent à 16,6 milliards de dollars, et les plaintes concernant les cryptomonnaies continuent d'augmenter chaque année.
Les plateformes de paiement en cryptomonnaies méritent le même traitement que les plateformes d'échange. Plisio, par exemple, prend en charge le TOTP pour les comptes marchands et son association via Google Authenticator (ou toute autre application compatible TOTP) sécurise le tableau de bord qui gère les transactions sortantes. Lors d'un transfert vers un nouveau téléphone, traitez le tableau de bord de la passerelle de paiement comme un portefeuille en ligne : exportation du code QR uniquement, pas de synchronisation cloud, et génération et stockage de nouveaux codes de sauvegarde après le transfert.
Alternatives à l'application Google Authenticator à considérer
L'effondrement d'Authy a bouleversé le marché. Le 19 mars 2024, Twilio a mis fin aux applications de bureau d'Authy plusieurs mois avant la date initialement prévue en août. Puis, en juillet 2024, des pirates ont dérobé 33 420 546 numéros de téléphone Authy via une API non authentifiée, et Twilio a confirmé la faille. Deux attaques en quatre mois. Les utilisateurs d'Authy se sont dispersés.
| Application | Synchronisation avec le cloud | Synchronisation E2EE | Plateformes | Source libre |
|---|---|---|---|---|
| Authentificateur Google | Oui (depuis 2023) | Non (côté serveur uniquement) | iOS, Android | Non |
| 2FAS | Oui (facultatif) | Oui | iOS, Android, navigateur | Oui |
| Égide | Non (sauvegarde locale uniquement) | N / A | Androïde | Oui |
| Authentification d'entrée | Oui | Oui | iOS, Android, ordinateur | Oui |
| Authentificateur Microsoft | Oui | Oui | iOS, Android | Non |
| Application Mots de passe iOS 18 | Trousseau iCloud | Oui | iOS, macOS | Non |
Apple a discrètement annoncé une nouveauté importante en septembre 2024. iOS 18 a transformé le Trousseau iCloud en une application Mots de passe dédiée, générant nativement des codes TOTP, remplissant automatiquement les champs dans Safari et se synchronisant avec un chiffrement de bout en bout. Pour les utilisateurs d'appareils Apple, cela élimine complètement le besoin d'une application d'authentification supplémentaire. Pour les autres, le tableau ci-dessus présente les principales options.
Conservez vos codes Google Authenticator en lieu sûr après le transfert.
Dès que l'importation est terminée, suivez cette liste. Connectez-vous à au moins trois des services les plus importants liés à votre nouveau téléphone et vérifiez que les codes fonctionnent et que l'écran principal de l'application Authenticator affiche bien tous les comptes attendus. Générez des codes de secours pour chaque service transféré et conservez-les dans un gestionnaire de mots de passe et sur papier, à différents endroits. Effacez l'ancien téléphone via Localiser mon iPhone ou Localiser mon appareil Android avant de le donner. Pour le compte Google principal, ajoutez une clé d'accès ou une clé de sécurité matérielle afin que même un autre téléphone équipé de votre Authenticator ne suffise pas. Cette configuration renforcée permet de bloquer les attaques AiTM que Microsoft surveille jusqu'en 2026. Plus important encore, elle transforme le prochain transfert de Google Authenticator en une opération de quinze minutes seulement, et non en une source de panique.
