Activer le 2FA Google avec deux clés YubiKey

Ce guide protège votre compte Google avec deux clés physiques : une principale et une de secours. On supprime les facteurs faibles (SMS) et on génère des codes de secours.

🛡️ Méthode recommandée
🔑 FIDO2 / U2F / Passkeys
📱 Google Prompt en secours

Prérequis

  • Deux clés YubiKey compatibles FIDO2/U2F (USB-C/USB-A/NFC). Idéal : 1 clé principale + 1 clé de secours.
  • Un navigateur à jour (Chrome/Edge/Firefox) et, si possible, un smartphone NFC.
  • Accès à myaccount.google.com et un mot de passe long/unique (phrase de passe).

Compatibilité iPhone / Android sans NFC

Si votre téléphone n’a pas de NFC, utilisez une clé compatible USB-C (Android récents, iPhone 15 et +) ou Lightning pour les anciens iPhone. Un adaptateur USB-A/USB-C peut dépanner sur ordinateur. Vérifiez la connectique avant achat.

Étape 1 — Ouvrir la sécurité Google

  1. Connectez-vous sur myaccount.google.com.
  2. Allez dans Sécurité > Validation en deux étapes > Démarrer.
  3. Reconnectez-vous si demandé.

Étape 2 — Ajouter la 1ʳᵉ clé (principale)

  1. Dans Méthodes de seconde étape, cliquez Clé de sécurité > Ajouter une clé.
  2. Branchez la YubiKey (ou utilisez NFC), puis touchez le capteur quand Google l’indique.
  3. Nommez la clé clairement : YubiKey-Principale-USB-C.
Si un PIN de clé est demandé, choisissez-en un robuste et mémorisez-le.

Étape 3 — Ajouter la 2ᵉ clé (secours)

  1. Revenez à Clés de sécurité > Ajouter une clé et enregistrez la seconde YubiKey.
  2. Nommez-la : YubiKey-Secours-NFC (par exemple).
  3. Rangez la clé de secours dans un endroit séparé et sûr.

Étape 4 — Définir l’ordre des méthodes

  1. Dans la liste des méthodes, mettez la Clé de sécurité en moyen privilégié (si l’option est proposée).
  2. Laissez Google Prompt en secours si vous le souhaitez. Évitez d’utiliser SMS/Appel comme moyen préféré.

Étape 5 — Supprimer les facteurs faibles & générer des codes de secours

  1. Désactivez les méthodes SMS / Appel.
  2. Dans Codes de secours : Générer puis télécharger/imprimer. Rangez hors-ligne.
  3. Vérifiez qu’il reste au moins deux méthodes robustes actives : vos deux YubiKeys (+ éventuellement Google Prompt).

Étape 6 — (Optionnel) Authenticator & mots de passe d’application

  • Pour les applis non compatibles clés, utilisez Google Authenticator (TOTP) ou des Mots de passe d’application (IMAP/SMTP…).
  • La paire de clés physiques doit rester votre méthode prioritaire.

Étape 7 — Tester et documenter

  1. Déconnectez-vous puis reconnectez-vous avec la clé principale.
  2. Refaites l’essai avec la clé de secours.
  3. Notez un mémo : noms des clés, emplacement de stockage, emplacement des codes de secours.

Bonnes pratiques

  • Étiquetez les clés (discret) et stockez la clé de secours à part.
  • Maintenez navigateur/OS à jour. Vérifiez la compatibilité USB-C/USB-A/NFC/iOS/Android.
  • Conservez un numéro uniquement comme contact de récupération (pas comme 2FA principal).
  • Pour profils à risque élevé, envisagez le programme Protection Avancée de Google.

Dépannage rapide

  • Clé non détectée : essayez un autre port, déverrouillez la clé (PIN), ou utilisez NFC.
  • Changement d’appareil : les clés sont enregistrées au compte, pas par appareil. Une fois ajoutées, elles fonctionnent partout.
  • Clé perdue : utilisez l’autre clé ou les codes de secours, supprimez la clé perdue du compte, remplacez-la.

Les interfaces Google évoluent. Gardez toujours deux clés physiques actives et des codes de secours.