Glossaire

Code de Vérification

16/04/2026

Code de vérification est un code court à usage unique (généralement 6 chiffres) utilisé pour prouver qu'un utilisateur contrôle un appareil, un numéro de téléphone ou un compte spécifique. Les échanges de crypto, les portefeuilles et les pools de minage utilisent des codes de vérification comme second facteur au-delà d'un mot de passe — connu sous le nom de 2FA (authentification à deux facteurs).

Types de codes de vérification

TOTP (Applications d'authentification)

Généré localement par des applications comme Google Authenticator, Authy, ou des jetons matériels. Basé sur la norme TOTP (Mot de passe à usage unique basé sur le temps) — le code change toutes les 30 secondes en utilisant un secret partagé établi lors de la configuration.

  • Fort — la génération de code se fait hors ligne; aucun intermédiaire ne peut intercepter
  • Recommandé comme méthode 2FA par défaut sur la plupart des échanges

Codes SMS

Envoyés au numéro de téléphone de l'utilisateur par message texte.

  • Faible — vulnérable aux attaques de swap de SIM, où un attaquant convainc un opérateur de transférer le numéro de la victime vers une SIM qu'il contrôle, capturant tous les codes entrants
  • Plusieurs pertes de crypto de haut niveau ont commencé par des swaps de SIM
  • Évitez le 2FA par SMS si une alternative est disponible

Codes email

Envoyés à l'adresse email enregistrée de l'utilisateur.

  • Aussi sécurisé que le compte email lui-même — si l'email est compromis, les codes le sont aussi
  • Souvent utilisé pour des actions ponctuelles (réinitialisation de mot de passe, connexion sur un nouvel appareil) plutôt que pour chaque connexion

Clés de sécurité matérielles (Passkeys, U2F, WebAuthn)

Appareils physiques (YubiKey, Titan) qui signent un défi cryptographique. Option la plus forte — pas un code du tout, et immunisé contre le phishing.

Codes anti-phishing

De nombreux échanges offrent un code anti-phishing — une chaîne personnelle que vous configurez et qui apparaît dans chaque email légitime qu'ils vous envoient. Si un email prétend provenir de l'échange mais que le code anti-phishing est manquant ou incorrect, c'est une tentative de phishing.

Règles générales

  • Préférez TOTP ou les clés matérielles au SMS
  • Ne partagez jamais un code de vérification avec quiconque — le personnel de support ne le demandera jamais
  • Sauvegardez les graines 2FA lors de la configuration de TOTP (de nombreuses applications offrent une sauvegarde cloud chiffrée)
  • Activez les listes blanches de retrait sur les échanges comme couche supplémentaire

Voir aussi

Cet article est disponible dans d'autres langues: