L’authentification à deux facteurs est désormais la valeur par défaut pour les banques, la messagerie électronique, les plateformes sociales et la plupart des lieux de travail SaaS. Chaque compte actif ajoute un autre code à six chiffres à retenir, et l’application qui contient ces codes est progressivement devenue l’un des logiciels les plus critiques en matière de sécurité sur votre téléphone. Google Authenticator fonctionne, mais en 2026, ce n’est plus le choix évident. La synchronisation cloud est arrivée en 2023 sans end-to-end encryption, suscitant les critiques publiques de la part des chercheurs en sécurité de Mysk, et l’application reste propriétaire et uniquement pour Android et iOS. Il existe désormais de meilleures alternatives Google Authenticator, et la plupart d’entre elles sont gratuites.
Nous avons comparé sept applications 2FA au cours du mois dernier : comment elles chiffrent le coffre-fort, comment elles sauvegardent, si elles se synchronisent sur tous les appareils et que se passe-t-il si vous perdez votre téléphone. Les gagnants sont open source, fonctionnent hors ligne et vous permettent de décider où se trouvent les données. Aegis, Ente Auth et 2FAS sont en tête du peloton, avec quelques choix spécialisés qui méritent d’être connus.
Comparaison rapide
| Application | Idéal pour | Source ouverte | Synchronisation multi-appareils | E2E sauvegarde cryptée | Gratuit |
|---|---|---|---|---|---|
| Aegis Authenticator | Utilisateurs expérimentés d’Android | Oui (GPL-3.0) | Non (exportation manuelle) | Oui (fichier du coffre-fort) | Oui |
| Ente Auth | Multiplateforme avec sauvegarde cloud | Oui (AGPL-3.0) | Oui | Oui | Oui |
| 2FAS | Synchronisation sans compte et couplage de navigateur | Oui (GPL-3.0) | Oui | Cloud et manuel | Oui |
| Bitwarden Authenticator | Utilisateurs de Bitwarden | Oui (GPL-3.0) | Local seulement | Locale | Oui |
| Microsoft Authenticator | Connexions Microsoft 365 | Non | Oui (compte Microsoft) | Oui (avec phrase secrète) | Oui |
| FreeOTP | Jetons minimaux et sans fioritures | Oui (Apache 2.0) | Non | Non (exportation manuelle) | Oui |
| Yubico Authenticator | Stockage des clés matérielles | Oui | À travers YubiKeys | N/A (sur le matériel) | Oui |
Pourquoi les gens partent Google Authenticator
Trois problèmes concrets reviennent sans cesse dans les discussions des utilisateurs, les articles sur la sécurité et nos propres tests.
Synchronisation sans end-to-end encryption par défaut. Google a ajouté la synchronisation cloud facultative en avril 2023. Au lancement, les secrets synchronisés ont voyagé via l’infrastructure de Google sans end-to-end encryption, ce qui signifie qu’une compromission de compte Google (ou une assignation à comparaître) pourrait les exposer. Google a ensuite ajouté une phrase secrète de cryptage facultative, mais elle est facultative et de nombreux utilisateurs ne l’activent jamais.
Source fermée. Google Authenticator était open source jusqu’en 2020 et est désormais un logiciel gratuit propriétaire. La version open source la plus récente est archivée sur GitHub et figée dans une version 2020. Pour une application qui détient les clés de vos autres comptes, il s’agit d’un écart de confiance important.
Verrouillage du compte. La synchronisation cloud ne fonctionne qu’au sein d’un compte Google. Passez à un autre fournisseur de téléphone ou souhaitez une sauvegarde portable, et vous revenez aux transferts manuels.
Rien de tout cela ne rend Google Authenticator dangereux. Cela signifie simplement qu’il existe désormais de meilleures alternatives Google Authenticator pour presque tous les cas d’utilisation.
Les alternatives
1. Aegis Authenticator, idéal pour une utilisation hors ligne d’Android
Aegis Authenticator est le choix de facto pour tous ceux qui conservent leurs codes 2FA sur un seul appareil Android et souhaitent un cryptage local fort. Le coffre-fort est crypté avec AES-256-GCM, le mot de passe passe par scrypt et le déverrouillage peut être lié au Android Keystore pour la biométrie. Rien ne quitte le téléphone à moins que vous le lui demandiez.
Aegis vs Google Authenticator : open source sous GPL-3.0, cryptographie auditée et chemin d’importation depuis Authy, andOTP, FreeOTP, Microsoft Authenticator, Steam et Google Authenticator lui-même. Les sauvegardes sont automatiques dans un dossier de votre choix, y compris tout fournisseur de cloud qui expose le Storage Access Framework (Nextcloud, Cryptomator, ProtonDrive). La version actuelle est la v3.4.2, publiée en février 2026.
Là où cela échoue : Android uniquement. Il n’y a pas de iOS ou de client de bureau, ni de synchronisation intégrée entre les appareils. Si vous échangez des téléphones, vous effectuez une restauration à partir du fichier du coffre-fort crypté.
Tarifs : Gratuit, sans publicité, sans télémétrie.
Migration depuis Google Authenticator : Utilisez le code QR “Transférer les comptes” de Google Authenticator, scannez-le avec Aegis, c’est fait. Les clés sont transférées proprement.
Download: En résumé : Si vos codes résident sur un téléphone Android, Aegis est l’option locale uniquement la plus puissante en 2026.
2. Ente Auth, idéal pour multiplateforme avec sauvegarde end-to-end encrypted
Ente Auth est ce qui se rapproche le plus d’un remplacement immédiat Google Authenticator qui fonctionne partout. Applications natives pour Android, iOS, macOS, Windows, Linux, plus un client Web sur auth.ente.io et un CLI pour les scripts. La sauvegarde cloud est end-to-end encrypted utilisant le même protocole utilisé par Ente Photos, qui a été audité par Cure53.
Le vernis est ce qui surprend la plupart des gens. Ente Auth vous montre le code suivant avant l’expiration du code actuel (vous n’avez donc pas à attendre lorsque vous le tapez dans une fenêtre de 2 secondes), prend en charge les balises et l’épinglage, propose une véritable recherche et vous permet de partager un code sous forme de lien limité dans le temps au lieu de dicter des chiffres lors d’un appel téléphonique. Les codes fonctionnent hors ligne et vous pouvez utiliser l’application entièrement sans compte si vous ne souhaitez pas de sauvegarde dans le cloud.
Ente Auth vs Google Authenticator : synchronisation end-to-end encrypted (zéro connaissance, pas d’adhésion), open source sous AGPL-3.0, disponible sur tous les principaux systèmes d’exploitation et gratuit pour toujours. La synchronisation de Google Authenticator nécessite un compte Google et ne propose qu’un mode de cryptage basé sur une phrase secrète que la plupart des utilisateurs n’activent jamais.
Là où cela échoue : La synchronisation dans le cloud nécessite un compte Ente. L’application Android fait environ 14 Mo, ce qui est plus grand que Aegis ou 2FAS. Les icônes de certains émetteurs de niche sont absentes du pack d’icônes.
Tarif : Gratuit, perpétuellement. Ente gagne son argent sur Ente Photos.
Migration depuis Google Authenticator : L’importateur intégré accepte le code de transfert QR de Google Authenticator, ainsi que les fichiers d’exportation Aegis, 2FAS, Authy et simplement JSON.
Download: En résumé : Choisissez Ente Auth si vous utilisez plusieurs appareils ou si vous souhaitez une récupération sans confier vos secrets à Google.
3. 2FAS, idéal pour la synchronisation sans compte
2FAS existe depuis 2015 et est progressivement devenu l’un des authentificateurs indépendants les plus utilisés sur le Play Store, avec cinq millions d’installations Android. Le crochet est une synchronisation qui ne nécessite pas de compte : vous associez l’application mobile à une extension de navigateur 2FAS sur un canal local crypté, et les codes sont automatiquement envoyés dans une invite de remplissage sur votre ordinateur. Pas d’inscription, pas d’e-mail, pas d’e-mail de récupération pour phishing.
L’application Android est open source sous GPL-3.0, prend en charge la sauvegarde cloud et manuelle, la protection biométrique ou PIN au lancement, Apple Watch sur iOS, l’organisation par groupes et tags, et fonctionne entièrement hors ligne. La base de code, l’application iOS, l’extension du navigateur et le serveur de synchronisation sont tous dans une seule organisation GitHub pour inspection.
2FAS vs Google Authenticator : simplicité similaire, mais avec remplissage automatique du navigateur propriétaire, synchronisation entre appareils sans vous verrouiller sur un compte fournisseur et base de code open source que vous pouvez auditer.
Là où cela échoue : Aucune application de bureau native pour l’instant (l’extension du navigateur est l’histoire du bureau). La sauvegarde cloud utilise Google Drive sur Android et iCloud sur iOS, ce qui est pratique mais lie la récupération à ces fournisseurs.
Tarif : Gratuit, pas de niveau premium.
Migration depuis Google Authenticator : Scannez le transfert de Google QR. 2FAS importe chaque entrée intacte.
Download: En résumé : L’application open source la plus simple à recommander à un utilisateur non technique qui souhaite connaître ses codes sur son téléphone et son ordinateur portable.
4. Bitwarden Authenticator, idéal pour les utilisateurs de Bitwarden
Bitwarden Authenticator est une application autonome TOTP publiée par Bitwarden en 2024. Elle est intentionnellement séparée du gestionnaire de mots de passe Bitwarden, de sorte que les secrets ne se trouvent jamais dans le même coffre-fort que les mots de passe qu’ils protègent. L’application est gratuite, open source sous GPL-3.0 et fonctionne sur Android et iOS.
Le cas d’utilisation est restreint mais précieux : si vous utilisez déjà Bitwarden pour les mots de passe et que vous souhaitez conserver les codes TOTP en dehors de ce même coffre-fort pour une défense en profondeur, voici l’application correspondante. C’est délibérément minimal, sans synchronisation cloud aujourd’hui, juste des secrets locaux et une option d’exportation.
Là où cela échoue : Local uniquement. Il n’y a pas de synchronisation entre les appareils ni de sauvegarde cloud depuis la version actuelle. Si vous avez besoin d’un accès multi-appareils, consultez plutôt Ente Auth ou 2FAS. L’interface utilisateur est également simple par rapport à Aegis ou Ente.
Tarif : Gratuit.
Migration depuis Google Authenticator : Saisie manuelle ou analyse de code QR par compte. Il n’y a pas encore d’importation groupée depuis le transfert de Google QR.
Download: En résumé : Un choix judicieux si vous faites déjà confiance à Bitwarden et souhaitez que vos codes TOTP soient stockés dans une application distincte à usage unique.
5. Microsoft Authenticator, idéal pour les connexions Microsoft 365
Microsoft Authenticator vaut l’emplacement si vous vous connectez à Microsoft 365, Entra ID ou à toute organisation qui utilise Microsoft comme fournisseur d’identité. Il prend en charge la connexion sans mot de passe, les invites d’approbation push (appuyez pour approuver au lieu de taper six chiffres) et la correspondance de numéros pour vous défendre contre les attaques de fatigue MFA. Pour les comptes non Microsoft, cela fonctionne comme une application TOTP standard pour tout service prenant en charge l’algorithme.
La sauvegarde cloud s’effectue end-to-end encrypted sur votre compte Microsoft sur iOS, avec restauration sur un nouvel appareil protégé par le mot de passe de votre compte Microsoft et les options de récupération. Sur Android, la sauvegarde utilise également votre compte Microsoft. Les codes fonctionnent hors ligne une fois ajoutés.
Microsoft Authenticator vs Google Authenticator : plus de fonctionnalités pour les utilisateurs d’entreprise, des approbations push et un modèle de sauvegarde qui est mature depuis des années. Le problème est que l’application est fermée et vous entraîne dans l’écosystème d’identité de Microsoft.
Là où cela échoue : Source fermée. La sauvegarde nécessite un compte Microsoft. L’application pèse environ 60 Mo et comprend des fonctionnalités de gestion de compte sans rapport avec TOTP.
Tarif : Gratuit.
Migration depuis Google Authenticator : Aegis peut importer depuis Google Authenticator et réexporter vers Microsoft Authenticator. L’importation directe dans Microsoft Authenticator est limitée.
Download: En résumé : Le bon choix si la moitié de vos connexions sont des comptes Microsoft. Sautez-le sinon.
6. FreeOTP, idéal pour les jetons minimes et sans fioritures
FreeOTP est le projet lancé par Red Hat pour donner à la communauté open source un authentificateur propre sous licence Apache 2.0. Il fait une chose : générer les codes TOTP et HOTP. Il n’y a pas de synchronisation, pas de pack d’icônes, pas de notes, pas de biométrie sur la plupart des versions, pas d’interface utilisateur sophistiquée. Pour ceux qui souhaitent la surface d’attaque la plus petite possible et une licence permissive, ce minimalisme est la caractéristique.
Le successeur maintenu, FreeOTP+, ajoute quelques touches de qualité de vie comme la sauvegarde et la restauration à partir d’un fichier crypté, tout en conservant le même modèle simple. Les deux constituent de bons choix pour un appareil secondaire que vous conservez dans un tiroir en cas de récupération d’urgence.
FreeOTP vs Google Authenticator : open source, pas de compte Google, pas de synchronisation cloud du tout. Vous ne perdrez pas les codes dus à un mot de passe Google oublié, mais vous ne les récupérerez pas si vous perdez le téléphone sans exportation manuelle.
Là où cela échoue : Pas de sauvegarde dans le cloud ni de synchronisation des appareils. L’interface utilisateur est basique. Les mises à jour sont peu fréquentes par rapport à Aegis ou 2FAS.
Tarif : Gratuit.
Migration depuis Google Authenticator : Analyse manuelle ou saisie par compte. Pas d’importation en masse.
Download: En résumé : Utilisez FreeOTP lorsque vous souhaitez l’authentificateur le plus petit et le plus ennuyeux possible. Aegis est un choix plus puissant pour un usage quotidien.
7. Yubico Authenticator, idéal pour le stockage des clés matérielles
Yubico Authenticator stocke les secrets du TOTP sur un YubiKey, pas sur votre téléphone. Le téléphone lit le YubiKey sur USB-C ou NFC, demande à la clé de calculer le code et l’affiche. Retirez la clé et les codes ont disparu. Il s’agit du modèle de menace le plus puissant de la liste : un téléphone volé n’a jamais eu de secrets et une expertise médico-légale ne les trouve jamais.
Le piège est évident. Vous avez besoin d’un token YubiKey 5 ou compatible (environ 50 à 70 USD), et vous devez l’appuyer à chaque fois que vous avez besoin d’un code. Pour les comptes sensibles (administrateur racine, trésorerie, courrier électronique de récupération), ce compromis en vaut la peine. Pour Twitter ou Reddit de tous les jours, c’est exagéré.
Yubico Authenticator vs Google Authenticator : les secrets ne quittent jamais un périphérique matériel, aucun cloud et aucun risque de perte de codes si le téléphone est volé ou remplacé. Le même ensemble de codes est disponible sur iOS, Android, Windows, macOS et Linux tant que la clé est branchée.
Là où cela échoue : Nécessite du matériel. Plus lent par code. Les emplacements OTP gratuits YubiKey sont limités à 32 entrées sur YubiKey 5 NFC, ils ne s’adaptent donc pas à une centaine de comptes.
Prix : L’application est gratuite. YubiKey 5 NFC commence à 55 USD sur yubico.com.
Migration depuis Google Authenticator : Chaque compte doit être réinscrit auprès du YubiKey. De par sa conception, il n’existe pas de chemin d’importation groupée.
Download: En résumé : L’option la plus paranoïaque qui fonctionne toujours pour les humains normaux. Associez-le à l’une des applications ci-dessus pour la longue traîne.
Comment choisir
Si vous utilisez uniquement Android et souhaitez un téléphone, un coffre-fort : Aegis. La cryptographie est solide, le chemin d’importation est propre et vous contrôlez l’emplacement du fichier de sauvegarde.
Si vous possédez un iPhone, une tablette Android et un ordinateur de bureau Linux : Ente Auth. Synchronisation cryptée de bout en bout qui fonctionne, gratuite, open source et complète sur toutes les plateformes.
Si vous souhaitez synchroniser et pouvez utiliser une extension de navigateur au lieu d’une application de bureau : 2FAS. Le remplissage automatique de l’extension au téléphone est la plus fluide de toutes les options gratuites.
Si vous faites déjà confiance à Bitwarden pour les mots de passe et que vous souhaitez par principe vos codes TOTP ailleurs : Bitwarden Authenticator. Même fournisseur, application distincte, coffre-fort séparé.
Si la plupart de vos connexions sont Microsoft 365 ou Entra ID : Microsoft Authenticator. Les approbations push accélèrent les connexions quotidiennes et l’histoire de sauvegarde est mature.
Si vous souhaitez une application simple sur papier et conviviale pour les audits : FreeOTP. Cela fait une chose.
Si vous gardez la trésorerie, la racine ou tout ce qui pourrait ruiner votre année s’il était compromis : Yubico Authenticator avec un YubiKey 5. Associez-le à Aegis ou Ente Auth pour les comptes de tous les jours.
Restez sur Google Authenticator si vous n’utilisez qu’un seul appareil Android, que vous vous connectez principalement aux services Google, que vous avez activé manuellement la phrase secrète de cryptage pour la synchronisation du compte Google et que vous n’avez besoin des codes nulle part ailleurs. Pour tous les autres, l’un des sept ci-dessus convient mieux.
##FAQ
La synchronisation cloud de Google Authenticator est-elle end-to-end encrypted ? Pas par défaut. Google a ajouté la synchronisation dans le cloud en avril 2023, et les chercheurs en sécurité du Mysk ont publiquement noté que les secrets synchronisés étaient transmis aux serveurs de Google sans end-to-end encryption. Google a depuis ajouté une phrase secrète de cryptage facultative, mais vous devez l’activer vous-même. Des applications comme Ente Auth utilisent la synchronisation end-to-end encrypted par défaut sans phrase secrète à oublier.
Quelle est la meilleure alternative gratuite au Google Authenticator ? Pour une utilisation uniquement sur Android, Aegis Authenticator. Pour plusieurs appareils, Ente Auth. Les deux sont open source, les deux sont véritablement gratuits, sans niveau premium verrouillant la sauvegarde.
Puis-je importer mes codes Google Authenticator dans une autre application ? Oui. Ouvrez Google Authenticator, appuyez sur le menu, choisissez « Transférer des comptes » puis « Exporter des comptes » et scannez les codes QR résultants avec Aegis, Ente Auth ou 2FAS. Tous les trois acceptent directement le format de transfert de Google. Les codes fonctionnent dans les deux applications après l’importation, vous pouvez donc vérifier la nouvelle application avant de supprimer Google Authenticator.
Les applications d’authentification open source sont-elles réellement plus sûres ? L’open source ne garantit pas la sécurité, mais il supprime une étape de confiance. N’importe qui peut auditer le code de Aegis, Ente Auth, 2FAS, FreeOTP et Bitwarden Authenticator. Cela a détecté de vrais bugs dans le passé. Les applications fermées comme Microsoft Authenticator et Google Authenticator s’appuient entièrement sur la parole du fournisseur.
Que se passe-t-il si je perds mon téléphone avec mon application 2FA dessus ? Cela dépend de l’application. Avec Aegis vous restaurez à partir de votre fichier de coffre-fort crypté (cloud ou local). Avec Ente Auth ou 2FAS vous vous reconnectez sur un nouvel appareil et vos codes sont restaurés via la synchronisation end-to-end encrypted. Avec Google Authenticator, vous effectuez une restauration à partir de la synchronisation du compte Google, en supposant que vous l’aviez activée. Avec FreeOTP ou Bitwarden Authenticator sans sauvegarde, vous revenez aux codes de récupération de chaque service, c’est pourquoi l’écriture des codes de récupération est toujours importante quelle que soit l’application.
Ces applications fonctionnent-elles sans Internet ? Oui. La génération de code TOTP est purement un calcul d’horloge et de secret, aucun réseau n’est nécessaire. Les sept applications génèrent des codes hors ligne. Internet n’est nécessaire que pour la synchronisation et la sauvegarde, le cas échéant.
Est-ce que 2FAS est réellement gratuit, ou y a-t-il un niveau payant qui me manque ? 2FAS Auth est gratuit sans niveau premium. Le produit payant est 2FAS Pass, qui est un gestionnaire de mots de passe distinct. L’authentificateur et le gestionnaire de mots de passe sont des applications indépendantes avec une tarification indépendante.
Sources et lectures complémentaires
- Aegis Authenticator sur GitHub (GPL-3.0, AES-256-GCM coffre-fort)
- Ente Auth sur GitHub (AGPL-3.0, end-to-end encrypted sauvegarde)
- 2FAS sur GitHub (GPL-3.0, synchronisation sans compte)
- Projet Bitwarden Authenticator
- Présentation de Microsoft Authenticator
- FreeOTP de Red Hat
- Yubico Authenticator
- Analyse de sécurité Mysk de la synchronisation cloud de Google Authenticator, publiée sur X en avril 2023
