Cas d'usage

Comment envoyer des codes de secours 2FA en toute sécurité

Les codes de secours sont de véritables passe-partout pour vos comptes — et la plupart des gens les transmettent par e-mail, Slack ou WhatsApp, où ils restent dans un historique consultable pour toujours. Voici comment faire parvenir un code à la bonne personne sans laisser de copie nulle part.

Envoyer un code via un chat qui disparaît — gratuit, sans inscription

Pourquoi les canaux habituels sont le mauvais endroit pour un code de secours

Un code de secours à deux facteurs existe pour une seule raison : il contourne votre second facteur. Quiconque en trouve un peut entrer directement dans le compte auquel il appartient. Le canal par lequel vous l'envoyez devient donc aussi important que le code lui-même.

L'e-mail est le pire de tous. Un code envoyé par e-mail vit dans la boîte d'envoi de l'expéditeur, la boîte de réception du destinataire, les serveurs des deux fournisseurs et chaque appareil qui synchronise l'une ou l'autre des boîtes — indéfiniment, entièrement indexé et consultable. Si l'une des deux boîtes est un jour compromise, une simple recherche sur "code de secours" le fait apparaître en quelques secondes.

Les applications de messagerie ne valent guère mieux. WhatsApp, Telegram et Slack conservent le message dans l'historique par défaut, le sauvegardent dans le cloud et le synchronisent sur chaque appareil connecté. Même les applications avec un mode éphémère persistent généralement le message quelque part au préalable — dans une sauvegarde, un journal de notifications ou un export.

Le schéma sûr est simple : le code doit exister en transit et nulle part ailleurs. Une fois que le destinataire l'a rangé correctement (dans un gestionnaire de mots de passe, pas dans une capture d'écran), aucune copie ne doit subsister sur aucun serveur, dans aucun historique, sur aucun appareil.

Les moyens sûrs de transmettre un code de secours

  • 1. Un coffre partagé dans un gestionnaire de mots de passe — idéal pour un accès durable

    Si vous et le destinataire partagez déjà un coffre 1Password, Bitwarden ou Proton Pass, placez-y le code. Il est chiffré de bout en bout, l'accès est auditable, et rien ne transite par un canal de discussion. Le hic : cela ne fonctionne que si les deux parties utilisent déjà le même gestionnaire — ce qui est rarement le cas avec des proches ou pour des situations ponctuelles.

  • 2. Un chat qui disparaît — idéal pour une remise ponctuelle

    FadeChats vous offre un salon privé à deux où les messages transitent en pair-à-pair via un canal WebRTC chiffré et ne sont jamais stockés sur aucun serveur. Envoyez le code, confirmez que l'autre personne l'a enregistré, fermez l'onglet — pas d'historique, pas de sauvegarde, aucune copie nulle part. Aucun compte ni installation nécessaire de part et d'autre, ce qui le rend pratique pour la situation exacte que créent les codes de secours : un transfert urgent et unique vers quelqu'un qui n'installera pas un outil pour ça.

  • 3. Une note autodestructrice — convient aux remises à sens unique

    Des services comme Privnote ou One-Time Secret chiffrent une note et la suppriment après une lecture. Solide pour un seul code, mais à sens unique : si le destinataire doit confirmer, demander à quel compte il appartient ou réclamer le code suivant, vous revoilà sur un canal non sécurisé pour la suite.

  • 4. En personne ou par téléphone — le plan B analogique

    Lire un code à voix haute lors d'un appel ne laisse aucune copie numérique (à condition que personne n'enregistre). Lent et sujet aux erreurs pour les codes longs, mais ça fonctionne quand rien d'autre n'est disponible.

Où finit une copie de votre code

CanalCopie sur serveurHistorique sur les appareilsConsultable ensuite
E-mailOui — les deux fournisseurs, indéfinimentChaque appareil synchroniséOui
Slack / TeamsOui — historique du workspaceChaque appareil connectéOui
WhatsApp / TelegramSauvegardes et synchronisation multi-appareilsOui, sauf suppression manuelleOui
Note autodestructriceJusqu'à la première lectureNonNon
FadeChatsJamais — pair-à-pair uniquementDisparaît à la fermeture de l'ongletNon
Coffre partagéChiffré de bout en boutStockage chiffré de l'applicationUniquement dans le coffre

Comportement constaté en juillet 2026. Les réglages de sauvegarde cloud peuvent modifier ce que les messageries conservent.

Envoyer un code via FadeChats

  1. Ouvrez FadeChats

    Un salon privé est créé instantanément — pas de formulaire, pas d'e-mail, pas de mot de passe.

  2. Envoyez le lien d'invitation à usage unique

    Partagez-le par n'importe quel canal, même non sécurisé. Le lien ne s'utilise qu'une seule fois et expire en quelques minutes : un lien intercepté déjà utilisé ne vaut plus rien.

  3. Collez le code, confirmez, fermez

    Le code transite directement entre vos deux navigateurs. Attendez que l'autre personne confirme l'avoir enregistré dans son gestionnaire de mots de passe, puis fermez l'onglet — la conversation a disparu et aucune copie n'a jamais touché un serveur.

La recommandation honnête

Si vous vivez tous les deux dans le même gestionnaire de mots de passe, utilisez un coffre partagé — c'est de toute façon le bon foyer à long terme pour un code de secours. Pour tout le reste — aider un parent à récupérer un compte, transmettre un code d'urgence à un collègue, un transfert ponctuel vers quelqu'un qui n'installera rien — utilisez un chat qui disparaît et laissez le canal s'effacer de lui-même.

Questions fréquentes

Est-ce vraiment risqué d'envoyer un code de secours par e-mail puis de le supprimer ?

Supprimer votre copie ne supprime ni la copie du destinataire, ni les copies sur les serveurs des fournisseurs, ni les sauvegardes que l'une ou l'autre boîte a pu faire entre-temps. La suppression d'un e-mail élimine une copie parmi tant d'autres — le reste demeure consultable.

Et si quelqu'un intercepte le lien d'invitation FadeChats ?

Le lien d'invitation ne s'utilise qu'une seule fois et expire au bout de 10 minutes. Si votre destinataire l'a déjà utilisé, un lien intercepté est mort. Si quelqu'un d'autre l'utilise en premier, votre destinataire ne peut pas entrer — vous le remarqueriez immédiatement, et aucun code n'a encore été envoyé.

L'autre personne peut-elle faire une capture d'écran du code ?

Oui — aucun outil ne peut réellement empêcher les captures d'écran, y compris les applications qui le prétendent. L'objectif réaliste est d'éliminer les copies que vous ne contrôlez pas : journaux de serveur, historiques de discussion et sauvegardes. Le destinataire est censé conserver le code ; l'important est que personne d'autre ne le fasse.

Où le destinataire doit-il ranger le code une fois reçu ?

Dans une entrée de gestionnaire de mots de passe, idéalement rattachée à l'identifiant du compte concerné. Pas dans une capture d'écran, une application de notes ou l'historique d'une autre messagerie — cela ne fait que recréer le problème un cran plus loin.