Les 10 meilleures applications d’authentifications pour Android, iOS, Windows et macOS | Blog officiel de Kaspersky

Si vous avez activé l’authentification à deux facteurs et que vous utilisez une application pour générer des codes à usage unique, sachez que Google Authenticator n’est pas la seule option. Depuis la création de cette solution originale de Google il y a dix ans ou presque, d’autres applications ont vu le jour et offrent mieux en termes de commodité et de fonctionnalités.

Il y a à peine trois ans, vous pouviez compter les applications d’authentification sur les doigts d’une main, mais avec les dizaines de solutions disponibles de nos jours, vous pouvez facilement vous perdre. Afin de vous aider à choisir un système d’authentification compatible avec vos systèmes d’exploitation, nous avons analysé les 10 applications les plus remarquables selon le système d’exploitation :

• Applications d’authentification pour Android : andOTP, Twilio Authy, Google Authenticator, Microsoft Authenticator, Cisco Duo Mobile, FreeOTP
• Applications d’authentification pour iOS 15 : OTP auth, Step Two, Twilio Authy, Google Authenticator, Microsoft Authenticator, Cisco Duo Mobile, FreeOTP, iOS built-in authenticator
• Applications d’authentification pour Windows : WinAuth, Twilio Authy
• Applications d’authentification pour macOS : Step Two, OTP auth (version payante uniquement), Twilio Authy

1. Google Authenticator

Systèmes d’exploitation : Android, iOS

Toute personne lisant cet article connaît certainement cette solution extrêmement populaire : Google Authenticator. Pourtant, nous nous devons de la mentionner dans cet article, et nous pouvons nous en servir comme point de référence pour évaluer les autres programmes.

De façon générale, Google Authenticator est une solution pratique pour les utilisateurs qui ne souhaitent pas synchroniser les jetons via le Cloud. À la place, l’application peut exporter tous les jetons créés et générer un seul QR code pour les importer en masse sur le nouveau dispositif. Avec la version iOS, il est possible depuis peu de chercher les jetons et de protéger l’accès à l’application avec Touch ID ou Face ID, contrairement à la version Android. Google Authenticator ne permet toujours pas de cacher les codes générés, ce qui peut être un problème si vous l’utilisez dans un lieu public. D’ailleurs, tous les systèmes d’authentification sous Android interdisent les captures d’écran, et c’est pourquoi les illustrations de cet article correspondent aux versions iOS des applications.

Avantages :

• Inutile de créer un compte,
• Accès à l’application protégé par Face ID ou Touch ID (seulement sous iOS),
• Interface simple avec un minimum de paramètres,
• Possibilité d’exporter et d’importe tous les jetons d’un coup,
• Possibilité d’effectuer une recherche par nom du jeton (seulement sous iOS).

Inconvénients :

• Aucune protection de connexion (version Android),
• Impossible de cacher les codes,
• Pas de sauvegarde et de synchronisation sur le Cloud,
• Danger potentiel plus important si l’application déverouillée tombe entre de mauvaises mains puisque les jetons peuvent facilement être exportés.

Conclusion

Google Autenticator manque de certaines fonctionnalités utiles, mais si vous ne souhaitez pas stocker les jetons sur le Cloud, c’est une bonne option.

2. Microsoft Authenticator

Systèmes d’exploitation : Android, iOS

Lorsque les utilisateurs cherchent une alternative à Google Authenticator, ils se tournent vers Microsoft Authenticator tout simplement à cause de la réputation du développeur. Ils ont en partie raison : l’application de Microsoft inclut quelques ajouts particulièrement utiles aux fonctionnalités de base. Par exemple, les codes affichés sur l’écran et les jetons conservés sur le Cloud peuvent être cachés, et les versions iOS et Android ont un système qui protège la connexion. Microsoft Authenticator est pratique si vous utilisez régulièrement des comptes Microsoft puisqu’il est inutile de saisir un code ; il vous suffit de toucher le bouton de l’application pour confirmer la connexion.

Pourtant, cette application a aussi des inconvénients. Tout d’abord, les applications pour Android et iOS utilisent un système de sauvegarde sur le Cloud incompatible, ce qui empêche le transfert des jetons. Les utilisateurs ayant des dispositifs avec différents systèmes d’exploitation rencontrent un problème de taille. Ensuite, Microsoft Authenticator a besoin de 10 fois d’espace de stockage que Google Authenticator, 150-200 Mo par rapport à 15-20 Mo.

Avantages :

• Accès protégé par code PIN, empreinte digitale ou Face ID,
• Sauvegarde et synchronisation sur le Cloud,
• Codes cachés,
• Inutile de créer un compte (tant que vous n’activez pas la sauvegarde sur le Cloud),
• Simplifie au maximum la connexion à un compte Microsoft,
• Compatible avec Apple Watch (version iOS).

Inconvénients :

• Compte Microsoft nécessaire pour la sauvegarde et la synchronisation (version Android uniquement),
• Incompatibilité entre les systèmes de sauvegarde et de synchronisation iOS et Android,
• Impossible d’exporter et d’importer les jetons,
• Application lourde (a besoin de 150 à 200 Mo).

Conclusion

Microsoft Authenticator simplifie la connexion aux comptes Microsoft, mais il est difficile de passer outre le poids considérable de l’application et l’incompatibilité des sauvegardes iOS et Android.

3. Twilio Authy

Systèmes d’exploitation : Android, iOS, Windows, macOS, Linux

Le principal avantage de Twilio Authy est son assistance complète multiplateforme. Non seulement Authy propose une version pour chaque système d’exploitation, mais en plus l’application permet de synchroniser facilement tous les dispositifs. Cet accès facile présente tout de même un inconvénient. L’application demande à l’utilisateur de créer un compte et de l’associer à son numéro de téléphone.

L’interface de l’application est très différente des autres. Au lieu d’une liste, nous avons un ensemble d’onglets pour qu’à tout moment vous n’affichiez que le jeton sélectionné, alors que les autres apparaissent sous la forme de petites icônes et vous pouvez passer de l’une à l’autre en bas de l’écran. Ce peut être gênant si vous avez beaucoup de jetons. Les utilisateurs de la version de bureau peuvent afficher la liste des jetons, mais cette option n’est pas disponible pour la version mobile.

Avantages :

• Accès protégé par code PIN, empreinte digitale ou Face ID,
• Sauvegarde et synchronisation sur le Cloud,
• Disponible pour tous les systèmes d’exploitation connus,
• Compatible avec Apple Watch (version iOS),
• Possibilité de faire une recherche par jeton.

Inconvénients :

• Le compte doit être associé à un numéro de téléphone,
• N’affiche qu’un jeton à la fois,
• Rechercher les jetons,
• Impossible de cacher le code du jeton actif,
• Impossible d’exporter et d’importer les jetons.

Conclusion

Vous ne pouvez pas utiliser Twilio Authy sans créer de compte, et l’interface pour smartphone n’est pas aussi facile à utiliser que ce que nous aimerions. Cette application est tout de même intéressante puisqu’il y a une version pour chaque système d’exploitation et que la synchronisation se fait facilement.

4. Cisco Duo Mobile

Systèmes d’exploitation : Android, iOS

L’application Duo Mobile, rachetée par Cisco en 2018, est un des plus anciens systèmes d’authentification. Son interface simple et facile à utiliser est son principal atout. Duo Mobile cache aussi les codes et n’exige pas la création d’un compte. Pourtant, le logiciel ne dispose pas de certaines fonctionnalités importantes, dont l’accès protégé. Que ce soit pour iOS ou Android, aucune des versions n’en est équipée.

Duo Mobile utilise deux systems pour la sauvegarde sur le Cloud : Google Cloud pour Android et iCloud pour iOS. L’application se sert du compte Google ou Apple que l’utilisateur a créé pour son smartphone, ce qui signifie qu’il n’a pas besoin de créer un nouveau compte pour que l’application fonctionne. Pourtant, les utilisateurs ne peuvent pas synchroniser les données entre les versions Android et iOS. L’application ne permet pas l’exportation des données, et il est impossible de voir la clé secrète ou le QR code des jetons déjà sauvegardés (ce qui pourrait s’avérer utile pour une synchronisation manuelle).

Avantages :

• Interface simple et facile à utiliser,
• Possibilité de cacher les codes,
• Inutile de créer un compte,
• Sauvegarde et synchronisation sur le Cloud,
• Compatible avec Apple Watch (version iOS).

Inconvénients :

• Accès non protégé,
• Impossible d’exporter et d’importer les jetons,
• Incompatibilité entre les systèmes de sauvegarde et de synchronisation iOS et Android.

Conclusion

Cisco Duo Mobile peut vous suffire si vous utilisez un seul système d’exploitation et pensez ne pas en changer.

5. FreeOTP

Systèmes d’exploitation : Android, iOS

L’application d’authentification open-source a été créée après que Google a dissimulé le code source de Google Authenticator. L’interface de FreeOTP est très minimaliste, et rien n’est superflu. Cette approche est particulièrement flagrante dans la version iOS puisqu’elle ne permet pas de créer un jeton à partir d’une clé secrète ; cela n’est possible qu’en scannant un QR code. La version Android dispose des deux options et est particulièrement flexible lorsqu’il s’agit de créer un jeton manuellement. L’utilisateur peut choisir le type de génération (TOTP ou HOTP), le nombre de caractères dans le code, l’algorithme et le temps qui doit s’écouler avant que les codes ne soient rafraîchis.

L’inconvénient est qu’aucune version de l’application ne permet la synchronisation sur le Cloud, ni l’importation et l’exportation des jetons sous la forme d’un fichier. Vous ne pouvez plus changer une fois que vous avez commencé à utiliser cette application. De plus, il est impossible de choisir un code PIN ou d’utiliser n’importe quelle autre méthode pour protéger l’accès à FreeOTP, même si avec la version iOS vous pouvez utiliser Touch ID ou Face ID pour protéger les jetons individuellement. L’application cache les codes par défaut et les dissimule automatiquement après 30 secondes d’inactivité. Le dernier avantage de FreeOTP est que l’application occupe très peu d’espace, entre 2 et 3 Mo alors que Google Authenticator a besoin de 15-20 Mo et Microsoft Authenticator de 150-200 Mo.

Avantages :

• Inutile de créer un compte,
• Interface simple,
• Codes cachés par défaut,
• Codes automatiquement cachés après 30 seconds d’inactivité,
• Espace de stockage minimum,
• Jetons protégés par Touch ID ou Face ID (version iOS),
• Possibilité de faire une recherche par jeton.

Inconvénients :

• Impossible de générer un jeton à partir d’une clé secrète (QR code obligatoire avec la version iOS),
• Impossible d’exporter et d’importer les jetons,
• Impossible de faire une sauvegarde et de synchroniser les données,
• Accès non protégé.

Conclusion

Comme toutes les applications open-source, FreeOTP est un peu bizarre, mais nous sommes indulgents parce que son interface et l’espace de stockage nécessaire sont minimalistes.

6. andOTP

Systèmes d’exploitation : Android

L’application d’authentification andOTP a tout ce dont vous avez besoin pour conserver facilement vos jetons en lieu sûr. Parmi les fonctionnalités de andOTP nous trouvons l’utilisation d’étiquettes et la possibilité de rechercher un jeton par son nom. Vous pouvez aussi connecter un bouton de panique pour pouvoir supprimer tous les jetons de l’application et réinitialiser en cas d’urgence.

L’application vous permet de voir votre clé secrète ou le QR code de chaque jeton. Vous pouvez aussi sauvegarder tous les jetons d’un coup dans un fichier chiffré sur Google Drive. Cela signifie que vous pouvez facilement sauvegarder sur le Cloud ou exporter un fichier. L’accès à l’application peut être protégé par un mot de passe ou par l’empreinte digitale que vous utilisez pour déverrouiller l’appareil Android. Pour plus de sécurité, vous pouvez choisir un autre code PIN ou un mot de passe long, mais aussi indiquer après combien de temps d’inactivité l’application doit se verrouiller. Il y a encore trois ou quatre paramètres relatifs à l’écran. Cette application est parfaite pour les geeks.

Avantages :

• Accès protégé par un code PIN ou un mot de passe propre à l’application, ou par le code PIN et l’empreinte digitale du dispositif,
• Possibilité de voir la clé secrète ou le QR code de n’importe quel jeton,
• Possibilité d’exporter tous les jetons en une seule fois dans un fichier chiffré sur Google Drive,
• Codes cachés,
• Codes automatiquement cachés lorsque l’utilisateur est inactif (entre 5 et 60 secondes, à personnaliser),
• Application automatiquement verrouillée lorsque l’utilisateur est inactif (entre 10 et 360 secondes, à personnaliser),
• Recherche flexible des jetons, par nom ou par étiquettes personnalisées,
• Possibilité d’utiliser un bouton de panique pour supprimer tous les jetons,
• Paramètres flexibles et variés.

Inconvénients :

• Uniquement disponible pour Android,
• Clé facile à récupérer, ce qui augmente les risques si l’application déverrouillée tombe entre de mauvaises mains.

Conclusion

andOTP est l’application d’authentification la plus complète pour Android et va faire le bonheur des geeks.

7. OTP auth

Systèmes d’exploitation : iOS, macOS (5,99 dollars)

Si vous avez un iPhone et enviez les utilisateurs Android après avoir lu la description ci-dessus de andOTP, nous avons de bonnes nouvelles. Une application d’authentification de pointe existe aussi pour iOS. Les créateurs de OTP auth ont clairement compris les problèmes que les personnes rencontrent lorsqu’elles utilisent la 2FA pour plusieurs services. C’est pourquoi cette application est équipée d’un système qui permet d’organiser les jetons par fichier.

De plus, OTP auth vous permet de voir la clé secrète ou le QR code d’un jeton à tout moment ou de tous les exporter d’un coup dans un fichier sauvegardé dans votre smartphone. L’application peut aussi synchroniser les données sur iCloud. Les utilisateurs peuvent protéger l’accès avec Touch ID ou Face ID, ou choisir un mot de passe différent pour OTP auth. Nous préférons cette dernière option étant donné qu’il est très facile d’exporter les jetons. La seule fonctionnalité manquante et pourtant utile est la possibilité de cacher les codes.

Avantages :

• Possibilité de voir la clé secrète ou le QR code de n’importe quel jeton,
• Possibilité d’exporter en une seule fois tous les jetons,
• Sauvegarde et synchronisation sur iCloud,
• Système de fichiers pour organiser le stockage des jetons,
• Compatible avec Apple Watch,
• Configuration de l’affichage des codes,
• Accès protégé par mot de passe ou Touch ID/Face ID.

Inconvénients :

• Uniquement disponible pour iOS et macOS (et seulement en version payante pour macOS),
• Impossible de cacher les codes,
• Icônes personnalisables avec la version payante,
• Clé facile à récupérer, ce qui augmente les risques si l’application déverrouillée tombe entre de mauvaises mains.

Conclusion

OTP auth est l’application d’authentification la plus complète pour iOS et elle permet d’exporter facilement et simplement les jetons.

8. Step Two

Systèmes d’exploitation : iOS, macOS

Si andOTP vous semble trop technique et que la création obligatoire d’un compte, comme avec Twilio Authy, vous effraie mais que vous avez tout de même besoin d’une application d’authentification pour iOS et macOS, alors vous devriez envisager d’utiliser Step Two. L’interface est minimaliste. Les versions pour iOS et macOS rappellent l’application de la calculatrice d’Apple, ce qui est assez agréable.

En plus d’une interface minimaliste, Step Two a aussi des paramètres et des fonctionnalités très simples, même si la synchronisation avec iCloud est possible. L’application de bureau peut scanner un QR code en lisant une capture d’écran. L’utilisateur doit donner son autorisation, mais cette fonctionnalité est dangereuse puisqu’en théorie le programme voit tout ce que l’utilisateur fait.

Avantages :

• Aucune fonctionnalité superflue,
• Inutile de créer un compte,
• Sauvegarde et synchronisation sur iCloud,
• Possibilité de scanner les QR codes (version macOS),
• Compatible avec Apple Watch,
• Possibilité de faire une recherche par nom du jeton.

Inconvénients :

• Accès non protégé,
• Codes non cachés,
• Impossible d’exporter et d’importer les jetons,
• Dix jetons maximum avec la version gratuite,
• Autorisation de faire des captures d’écran pour lire un QR code (version macOS).

Conclusion

Step Two est une application d’authentification minimaliste pour toute personne ayant un Mac ou un iPhone et ne souhaitant avoir que l’essentiel.

9. WinAuth

Systèmes d’exploitation : Windows

L’application WinAuth a spécialement été conçue pour les amateurs de jeux vidéo. Le pouvoir unique de WinAuth est sa compatibilité avec les jetons d’authentification hors-norme, comme ceux utilisés par Steam, Battle.net ou les jeux Trion/Gamigo. Si vous recherchez une application autre que Steam Guard, Battle.net Authenticator ou Glyph Authenticator/RIFT Mobile Authenticator, cette application devrait vous plaire.

Pour dissiper vos doutes, l’application est aussi compatible avec les jetons standards, dont ceux de Guild Wars 2 et autres jeux NCSoft (que les développeurs ont notés à part pour une quelconque raison), et pour tous les autres services : Google, Facebook, Instagram, Twitter, etc. WinAuth utilise un mot de passe pour se connecter et pour les jetons individuels. L’application cache les codes par défaut, voire automatiquement, et vous permet de chiffrer les données sauvegardées et exportées.

Avantages :

• Compatible avec les jetons hors-norme des services de jeux vidéo. L’application peut remplacer Steam Guard et Battle.net Authenticator mais aussi Glyph Authenticator and RIFT Mobile Authenticator,
• Possibilité d’exporter les jetons dans un fichier texte non chiffré ou dans une archive chiffrée,
• Codes cachés,
• Codes automatiquement dissimulés après 10 secondes d’inactivité,
• Accès protégé par mot de passe ou YubiKey (U2F),
• Possibilité de protéger chaque jeton par un mot de passe,
• Portable, avec la possibilité de sauvegarder les données sur une clé USB ou sur le Cloud,
• Possibilité de chiffrer les données stockées,
• Possibilité de scanner le QR code à partir d’un fichier (local ou sur Internet).

Inconvénients :

• Pour créer un jeton pour Steam avec WinAuth vous devez partager votre nom d’utilisateur et votre mot de passe Steam,
• L’utilisation d’une application d’authentification à deux facteurs sur PC n’est généralement par recommandée,
• Pas de version pour les autres systèmes d’exploitation,
• Clé facile à récupérer, ce qui augmente les risques si l’application déverrouillée tombe entre de mauvaises mains.

Conclusion

Les amateurs de jeux vidéo adorent WinAuth puisque cette application permet de créer des jetons hors-norme compatible avec les jeux vidéo.

10. Système d’authentification intégré de macOS et iOS

Systèmes d’exploitation : iOS (intégré dans le système), macOS (intégré dans le navigateur Safari)

Depuis iOS 15, tous les systèmes d’exploitation d’iPhone ont un générateur de code à usage unique intégré pour la 2FA. Pour ce faire, allez dans Réglages → Mots de passe, sélectionnez le compte sauvegardé (ou créez-en un nouveau), puis touchez Configurer un code de validation dans la section Options du compte. Le reste ne change pas : vous pouvez lire un QR code ou saisir manuellement la clé secrète. Vous pouvez aussi scanner le QR code d’authentification avec l’appareil photo puis ajouter un jeton à un compte existant dans Mot de passe et sécurité. Malheureusement, cette dernière option ne va pas vous demander de créer un nouveau compte.

Un système d’authentification est désormais disponible avec macOS dans le navigateur Safari, et plus spécifiquement pour les versions 15 et ultérieures. Pour ce faire, ouvrez Safari et dans le menu en haut à droite cliquez sur Safari → Préférences → Mots de passe. Sélectionnez un compte (ou cliquez sur + pour en créer un nouveau), choisissez Modifier et cliquez sur Configurer un code de vérification dans la fenêtre qui s’ouvre. Il est impossible d’utiliser un QR code dans ce cas. Les jetons se synchronisent automatiquement sur iCloud, donc vous n’avez pas besoin de les activer sur Mac si vous les avez créés sur votre iPhone.

En théorie, le système d’authentification intégré de macOS/iOS est compatible avec le remplissage automatique, mais en pratique cela ne fonctionne pas aussi bien. Nous avons fait un test avec un compte Twitter et l’authentification à deux facteurs avec le code reçu. Les résultats sont mitigés : lorsque nous nous connectons à Twitter depuis l’application, le système écrit bien le code d’identifications, mais si nous essayons de nous compter depuis le site de Twitter dans safari, le code n’apparaît pas, que ce soit avec iOS ou macOS.

Avantages :

• Disponible sur tous les iPhone (versions iOS 15 et ultérieures) et Mac (peu importe le système d’exploitation, Safari 15 et ultérieur).
• Inutile de créer un autre compte,
• Possibilité d’ajouter un jeton depuis l’appareil photo (mais seulement pour un compte existant. Il est impossible d’en créer un nouveau),
• Codes à usage unique saisi automatiquement,
• Accès protégé par Touch ID ou Face ID,
• Sauvegarde et synchronisation sur le Cloud.

Inconvénients :

• Option bien cachée dans les paramètres de Safari ou iOS,
• N’affiche qu’un jeton à la fois,
• Impossible de cacher les codes,
• Mot de passe du compte visible à côté du code (version iOS),
• Jetons 2FA et mots de passe stockés au même endroit, ce qui est contraire aux principes de l’authentification à deux facteurs,
• Impossible d’exporter ou d’importer les jetons.

Conclusion

Au premier abord, l’idée d’avoir un système d’authentification intégré dans le système d’exploitation semblait bonne. Pourtant, dans ce cas, le remplissage automatique ne fonctionne pas toujours et la fonctionnalité est difficile à trouver.

N’oubliez pas de faire une copie de sauvegarde

Pour conclure, voici quelques conseils supplémentaires. Tout d’abord, vous avez le choix entre plusieurs applications d’authentification. Une option peut sembler plus appropriée dans un certains cas, alors qu’une autre peut être plus adaptée dans une situation différente. Vous pouvez, et devez, combiner les applications selon vos besoins.

Ensuite, nous vous invitons à faire attention à votre sécurité. Installez un outil de verrouillage de confiance et vérifiez que l’accès à l’application est toujours protégé, surtout si vous envisagez d’utiliser une des applications d’authentification et d’exporter les jetons (Google Authenticator, andOTP, OTP auth, or WinAuth). Avec ces applications, qui favorisent un accès facile, un éventuel escroc peut facilement voler un code à usage unique valable pendant 30 secondes mais aussi cloner tous les jetons.

Enfin, n’oubliez pas de faire une copie de sauvegarde de vos jetons, surtout si vous avez choisi une des applications qui ne permet pas de voir la clé secrète ou le QR code, ou d’exporter les jetons dans un fichier (c’est-à-dire presque toutes). Cette copie de sauvegarde sera utile si vous perdez votre smartphone ou si, par exemple, l’application ne fonctionne plus correctement après une mise à jour ordinaire. Dans la plupart des cas, il sera beaucoup plus difficile de récupérer les données de l’application d’authentification sans une copie de sauvegarde.