Changer de téléphone ? Sauvegarde tes clés 2FA (TOTP)

Changer de téléphone ? Sauvegarde tes clés 2FA (TOTP) avant de te retrouver bloqué

Tu vois le moment où tu déballes ton nouveau smartphone, tu le configures, tout roule... et là tu ouvres ton appli d'authentification pour te connecter à ton compte bancaire, ton mail, ton GitHub ou ton compte Microsoft... et plus rien. Les codes ne sont plus là. Ou pire : ils sont sur l'ancien téléphone, déjà réinitialisé. La première fois que ça m'est arrivé, j'ai passé une soirée entière à récupérer des comptes un par un. Franchement, je ne le souhaite à personne.

Le truc avec le 2FA en TOTP (les codes à 6 chiffres qui changent toutes les 30 secondes), c'est que ce n'est pas "juste une appli". Derrière, il y a une clé secrète (un "seed") qui sert à générer les codes. Si tu perds cette clé, tu perds la capacité de générer les bons codes. Et là, bon courage.

Du coup, avant chaque changement de téléphone, je fais toujours la même routine : je sauvegarde correctement mes clés 2FA, je prépare un plan B, et seulement après je migre. Je te montre comment je m'y prends, sans blabla.

TOTP, c'est quoi exactement (et pourquoi tu peux te faire piéger)

Tu as déjà scanné un QR code quand tu activais la double authentification ? Ce QR code cache une clé secrète. Ton appli (Google Authenticator, Microsoft Authenticator, Aegis, 2FAS, Authy, etc.) enregistre cette clé, puis calcule des codes temporaires à partir de l'heure et de cette clé.

Affirmation directe : si tu n'as plus la clé, tu ne peux plus recréer les codes. Ça paraît évident dit comme ça, mais sur le moment on pense "je vais juste réinstaller l'appli". Non. Réinstaller l'appli ne recrée rien du tout, sauf si ton appli synchronise déjà tes tokens (et encore, selon les cas, c'est parfois bancal).

Et attention : je parle bien du TOTP. Les notifications "Valider la connexion" (type push) ou les clés physiques (FIDO2/YubiKey) ont d'autres logiques. Là, on se concentre sur les codes temporaires.

Avant de migrer : la checklist rapide que je fais à chaque fois

Je te donne ma méthode simple, celle qui m'a évité des sueurs froides plusieurs fois. L'idée : tu assures tes arrières avant de toucher à l'ancien téléphone.

1. Je vérifie que j'ai encore accès au compte (mail + mot de passe + 2FA OK).
2. Je récupère les codes de secours (backup codes) quand le site en propose.
3. Je prépare la migration des TOTP selon l'appli (export, sync, ou re-scan).
4. Je teste sur le nouveau téléphone avant d'effacer l'ancien.

Ça a l'air "trop", mais en pratique ça prend 15 minutes si tu es organisé. Et ça t'épargne la galère des procédures de récupération qui prennent parfois plusieurs jours (et parfois... qui échouent).

Option 1 : refaire proprement la 2FA sur chaque service (méthode la plus sûre)

Question simple : tu veux le plan le plus clean ? Personnellement, quand j'ai peu de comptes critiques (banque, mail principal, gestionnaire de mots de passe, cloud), je préfère désactiver puis réactiver la 2FA sur chaque service. Oui, c'est un peu long. Mais tu repars sur une base saine, et tu sais exactement où est enregistré le secret.

Le schéma typique :

1) Tu te connectes au service depuis un PC (plus confortable).
2) Tu vas dans Sécurité → Double authentification / Authenticator app.
3) Tu choisis "Changer d'application d'authentification" ou "Configurer une nouvelle clé".
4) Tu scans le nouveau QR code avec ton nouveau téléphone.
5) Tu rentres le code à 6 chiffres pour valider.
6) Tu télécharges les codes de secours (si proposés) et tu les ranges correctement.

Après avoir testé plusieurs approches, c'est celle que je recommande pour les comptes "noyau dur" : mail principal (Gmail/Outlook), Apple ID, compte Google, Microsoft, banque, gestionnaire de mots de passe. Bref, les trucs qui, si tu les perds, te pourrissent la vie.

Option 2 : exporter/importer tes tokens (pratique, mais à faire sérieusement)

Tu as 40 entrées TOTP et tu n'as pas envie de tout refaire à la main ? Je te comprends. Là, tu vas plutôt utiliser la fonction d'export/import de ton appli... quand elle existe.

Google Authenticator : migration possible, mais je reste prudent

Google Authenticator propose une fonction "Transférer des comptes". En gros, ça génère un QR code de migration à scanner avec le nouveau téléphone. Ça marche, mais je te conseille de faire ça au calme, sans être pressé, et de vérifier compte par compte.

Mon retour : la migration Google Authenticator, ça m'a déjà sauvé, mais je ne considère pas ça comme une sauvegarde "béton" tant que je n'ai pas testé quelques connexions réelles derrière.

Microsoft Authenticator : attention au mélange TOTP et "push"

Microsoft Authenticator gère à la fois des codes TOTP classiques et des validations par notification pour les comptes Microsoft. Selon ce que tu utilises, la migration ne se passe pas pareil. Le plus important : teste la connexion à ton compte Microsoft sur le nouveau téléphone avant de supprimer quoi que ce soit.

Et si tu utilises Microsoft Authenticator pour d'autres services (TOTP), assure-toi que ces entrées ont bien migré aussi. J'ai déjà vu des gens migrer "le compte Microsoft" et oublier le reste.

Aegis / 2FAS : mes préférés pour une migration propre

Honnêtement, pour Android, Aegis est un de mes choix favoris : export chiffré, import simple, et tu peux verrouiller l'accès. 2FAS a aussi une approche sympa avec synchronisation et sauvegarde, et l'expérience est agréable.

Ce que je fais : j'exporte une sauvegarde chiffrée, je la transfère (AirDrop/Drive/USB selon le cas), j'importe sur le nouveau téléphone, puis je vérifie quelques comptes. Une fois que tout est OK, je supprime le fichier d'export qui traînait.

Les codes de secours : le truc que tout le monde ignore... jusqu'au jour où

Petite anecdote : un ami a cassé son téléphone, carte SIM morte, plus d'accès à l'appli TOTP. Il avait encore son mot de passe, mais le 2FA bloquait tout. Il a pu récupérer ses comptes uniquement parce qu'il avait gardé ses backup codes imprimés dans un tiroir. Sans ça, ça partait en procédure "preuve d'identité", attente, stress, etc.

Sur pas mal de services (Google, GitHub, Dropbox, Microsoft, etc.), tu peux générer une liste de codes à usage unique. Tu les utilises quand tu n'as plus ton TOTP.

• Je les stocke dans mon gestionnaire de mots de passe (dans la fiche du site concerné).
• Pour les comptes ultra sensibles, je garde aussi une copie hors-ligne (papier ou coffre).

Le truc, c'est de ne pas les laisser dans un screenshot qui traîne dans la galerie. Ça, c'est l'erreur classique.

Ma méthode de migration "sans sueur froide" (pas besoin d'être expert)

Voilà le déroulé que j'applique quand je change de smartphone. Simple, efficace.

Étape 1 : Je prépare le nouveau téléphone (Wi‑Fi, mises à jour, verrouillage écran, biométrie).
Étape 2 : J'installe mon appli 2FA sur le nouveau.
Étape 3 : Je migre soit par export/import, soit en réactivant la 2FA sur les services critiques.
Étape 4 : Je teste 3 connexions réelles : mail principal, gestionnaire de mots de passe, un service au hasard (genre GitHub).
Étape 5 : Seulement après, je réinitialise l'ancien téléphone.

Oui, je teste "en vrai". Pas juste "je vois les entrées dans l'appli". Parce que le but, c'est d'être certain que les codes générés sont acceptés.

Où sauvegarder tes clés TOTP, sans faire n'importe quoi

Question qui revient tout le temps : "Je peux juste prendre en photo les QR codes ?" Techniquement oui... mais je te le déconseille. Un QR code TOTP, c'est quasiment la clé du coffre. Si quelqu'un met la main dessus, il peut générer les mêmes codes que toi.

Ce que je préfère :

1) Export chiffré via une appli sérieuse (Aegis, 2FAS, etc.).
2) Stockage dans un endroit chiffré (coffre-fort de mots de passe, stockage chiffré, archive protégée par mot de passe solide).
3) Un plan de secours : backup codes + éventuellement une deuxième méthode 2FA (clé de sécurité ou second appareil).

Et si tu veux vraiment dormir tranquille : garde un second facteur alternatif sur les comptes qui le permettent (ex : une clé FIDO2). Comme ça, même si ton TOTP part en fumée, tu as une autre porte d'entrée.

Les erreurs que je vois tout le temps (et que j'ai déjà faites)

Bon, on termine avec les pièges classiques. J'en ai coché quelques-uns à une époque, donc je parle d'expérience.

Effacer l'ancien téléphone trop tôt. Classique. Tu crois que tout est migré, et tu te rends compte qu'il manque 2-3 tokens importants.
Ne pas avoir les codes de secours. Ça va bien... jusqu'au jour où ça ne va plus.
Confondre sauvegarde et synchronisation. Une sync peut planter, un compte peut se déconnecter, une option peut changer. Une vraie sauvegarde, tu sais où elle est et tu peux la restaurer.
Stocker un QR code en clair dans les photos. Mauvaise idée. Si ton cloud photos se fait aspirer, tu offres ton 2FA sur un plateau.

Conclusion : fais-le avant, pas après

Changer de téléphone, c'est censé être un moment cool. Pas une session de récupération de comptes à 23h avec des messages "Accès refusé". Si tu retiens une seule chose : prépare la migration TOTP avant de toucher à l'ancien smartphone, récupère tes codes de secours, et teste sur le nouveau.

Si tu me dis quelle appli 2FA tu utilises (Google Authenticator, Microsoft, Aegis, 2FAS, Authy...) et si tu es sur Android ou iPhone, je peux te donner la procédure la plus simple et la plus safe pour ton cas.