Comptes 2FA / Authenticator / TOTP après un décès : comment récupérer quand l’authentification bloque

/ Actualités / Par
Patrimoine numérique Vérifié le 21/05/2026

L’ESSENTIEL EN 5 MINUTES

📌 Cadre légal à connaître avant d’agir

  • Art. 226-15 C. pén. — accéder aux comptes mails / messageries du défunt sans accord exprès des héritiers ou directives écrites est sanctionné (1 an + 45 000 €).
  • RGPD art. 12-15 — les héritiers peuvent demander l’accès aux données du défunt aux plateformes, qui doivent répondre sous 1 mois.
  • Loi 2016-1321 art. 63 — le défunt peut, de son vivant, déposer des directives post-mortem (générales chez un tiers ou particulières directement chez la plateforme).
  • DSP2 — l’authentification forte bancaire ne se contourne pas, même pour les héritiers : seule la voie successorale (notaire + acte) débloque les comptes.
  • L’authentification à deux facteurs (2FA) protège les comptes du défunt même contre vous : sans son téléphone, sa Yubikey ou ses codes de récupération, l’accès est verrouillé techniquement, pas seulement administrativement.
  • Cinq cas typiques bloquent les héritiers : SMS sur ligne coupée, app Authenticator inaccessible, clé physique perdue, email de récupération également 2FA-protégé, codes de récupération papier introuvables.
  • Google, Apple, Microsoft et Meta disposent de procédures « deceased user » qui contournent le 2FA sur présentation d’un acte de décès. Délai : 4 à 12 semaines.
  • La banque en ligne fait exception : la directive européenne DSP2 impose le 2FA et n’autorise aucun contournement. La récupération passe obligatoirement par la succession bancaire classique avec le notaire.
  • Anticipation efficace : imprimer les codes de récupération de chaque service et les ranger avec le testament numérique. Dix minutes par compte, des semaines de blocage évitées pour les proches.

En 2026, plus de 78 % des Français utilisent une forme d’authentification à deux facteurs sur au moins un compte sensible, selon le baromètre annuel de la CNIL. Excellent réflexe de sécurité contre le piratage — et, au moment du décès, le blocage technique numéro un rencontré par les familles. Le mot de passe ne suffit plus : il faut aussi un code envoyé sur un téléphone perdu, généré par une application inaccessible, ou produit par une petite clé USB introuvable.

Ce guide explique comment reconnaître ce que le défunt utilisait, quelles procédures lancer auprès de chaque plateforme, comment agir concrètement face à un compte bloqué, et comment anticiper soi-même pour épargner ce calvaire à ses proches.

Pourquoi le 2FA devient un piège après un décès

L’authentification à deux facteurs (« 2FA » ou « MFA » pour Multi-Factor Authentication) ajoute une seconde preuve d’identité au mot de passe : un code reçu par SMS, généré par une application, ou validé par une clé physique. Même si un pirate connaît le mot de passe, il ne peut pas se connecter sans le téléphone ou la clé.

Cette protection devient redoutable lorsque le détenteur du second facteur disparaît. Vous connaissez peut-être le mot de passe du défunt, vous êtes son héritier légitime — et pourtant la connexion échoue. Le compte n’est pas perdu juridiquement, il est verrouillé techniquement. Seule la plateforme peut débloquer la situation.

Le paradoxe du 2FA post-mortem

Plus le défunt avait sécurisé ses comptes (banque, email principal, cloud, gestionnaire de mots de passe), plus vous serez bloqué. Le 2FA ne distingue pas un héritier d’un attaquant : il refuse toute connexion sans le second facteur, point final.

Les cinq scénarios qui bloquent les familles

1. SMS sur un téléphone perdu ou une ligne coupée. Si la SIM est active, vous pouvez intercepter le message — mais les opérateurs résilient les lignes 7 à 14 jours après réception de l’acte de décès. Au-delà, le SMS arrive dans le vide.

2. Application Authenticator inaccessible. Google Authenticator, Microsoft Authenticator, Authy, 2FAS génèrent des codes TOTP directement sur le téléphone du défunt. Appareil cassé, perdu ou verrouillé : application inaccessible, et avec elle tous les comptes protégés.

3. Clé physique U2F ou FIDO2 perdue. Yubikey, Solokey, Google Titan : ces dispositifs USB ou NFC prouvent physiquement l’identité. Clé introuvable ou rangée mais mot de passe inconnu : accès gelé dans les deux cas.

4. Email de récupération également 2FA-protégé. Beaucoup de services proposent un code de secours sur une adresse alternative — sauf que cette adresse est elle-même souvent protégée par 2FA. Boucle infernale.

5. Codes de récupération papier introuvables. Chaque service propose, à l’activation du 2FA, une liste de codes de secours (généralement dix, à usage unique). Neuf utilisateurs sur dix ne les impriment pas, ou les rangent dans un endroit inconnu des proches. Le défunt est parti avec le secret.

Les différents types de 2FA — reconnaître ce que le défunt utilisait

Avant de lancer toute procédure, identifiez précisément la méthode 2FA. La marche à suivre dépend entièrement de ce point.

Le 2FA par SMS

Le plus courant en France. L’écran affiche « Un code a été envoyé au …45 12 ». Si la SIM est active dans le téléphone du défunt, vous pouvez intercepter le message — à condition de déverrouiller l’appareil. Ligne résiliée : ce canal est mort, il faut basculer sur la procédure plateforme. À noter : Google, Microsoft et certaines banques abandonnent progressivement le SMS au profit des applications, jugé vulnérable au SIM swap.

Les applications Authenticator

Codes à 6 chiffres qui changent toutes les 30 secondes, stockés localement et fonctionnant hors-ligne. Les principales en France :

  • Google Authenticator — environ 60 % des utilisateurs FR. Icône grise avec un G stylisé.
  • Microsoft Authenticator — bleu, très utilisé en environnement professionnel Microsoft 365.
  • Authy — icône rouge, synchronisation cloud chiffrée (avantage post-mortem si vous avez le mot de passe).
  • 2FAS — open-source, populaire chez les utilisateurs soucieux de leur vie privée.
  • Bitwarden / 1Password Authenticator — intégré au gestionnaire de mots de passe. Si vous récupérez le coffre, vous récupérez aussi les 2FA.

Cherchez ces icônes sur le téléphone du défunt. Leur présence indique des comptes protégés et oriente la suite.

Les clés physiques U2F / FIDO2

Yubikey (jaunes, USB-A/C, parfois NFC), Google Titan (blanches), Solokey (oranges, open-source), clés intégrées (Apple Magic Keyboard avec Touch ID, Windows Hello). Cherchez physiquement : tiroir du bureau, porte-clés, sac, coffre. La clé seule ne suffit pas — il faut aussi le mot de passe. Mais sans la clé, beaucoup de services refusent la connexion sur un appareil non reconnu.

Biométrie et email de récupération

La biométrie (Face ID, Touch ID, empreinte) disparaît avec le défunt — pas de scan rétrograde possible. Tout compte protégé exclusivement par biométrie bascule sur la procédure plateforme.

L’email de récupération n’est pas un 2FA à proprement parler mais souvent le « plan B » proposé par les plateformes. Si cette adresse appartient aussi au défunt et est elle-même protégée par 2FA, la boucle se referme. Identifiez tôt l’email de récupération principal — c’est lui qu’il faudra débloquer en premier.

Procédures GAFAM si 2FA actif sur le compte du défunt

Chaque grande plateforme dispose désormais d’une procédure dédiée aux héritiers, conçue pour contourner le 2FA sur présentation de pièces officielles. Les délais varient de quelques semaines à plusieurs mois.

Google (Gmail, YouTube, Photos, Drive)

Procédure « Submit a request regarding a deceased user »

Si le défunt avait configuré le gestionnaire de compte inactif (Inactive Account Manager) de son vivant, ses proches désignés reçoivent automatiquement un accès simplifié — c’est la voie royale, elle contourne le 2FA en quelques jours.

À défaut, le formulaire officiel « Submit a request regarding a deceased user’s account » permet d’obtenir l’accès au contenu (ou la fermeture du compte) avec : acte de décès, pièce d’identité du demandeur, justificatif du lien (livret de famille, acte de notoriété). Délai annoncé par Google : 4 à 12 semaines, souvent plus en pratique.

URL officielle : support.google.com/accounts/troubleshooter/6357590 — voir aussi notre guide détaillé Gmail post-mortem.

Apple (iCloud, Apple ID, Photos, achats)

Digital Legacy (depuis iOS 15.2)

Depuis décembre 2021, Apple propose le mécanisme Contact légataire numérique. Si le défunt l’avait configuré, il a généré une clé d’accès (une suite de caractères) qu’il a transmise à des proches désignés. Cette clé, combinée à l’acte de décès, ouvre l’accès à iCloud sans 2FA en quelques jours.

À défaut : la procédure Digital Asset Request (DAR), anciennement passage par ordonnance judiciaire, accepte désormais l’acte de décès et l’acte de notoriété directement. Délai : 4 à 8 semaines. Procédure détaillée dans notre guide Compte Apple d’un défunt.

Microsoft (Outlook, Hotmail, Live, Xbox, OneDrive)

Procédure « Next of kin »

Microsoft propose une procédure pour les proches mais plus lourde que Google ou Apple. Vous devez contacter le support, fournir les pièces officielles, et parfois produire une ordonnance judiciaire pour les comptes très anciens ou si la valeur des données stockées est élevée.

Téléphone Microsoft France : 0805 540 800 (gratuit). Délai : 1 à 3 mois. Voir notre procédure complète Microsoft / Outlook.

Meta (Facebook, Instagram, WhatsApp)

Memorialization et demande spéciale

Facebook contourne le 2FA en transformant le compte en compte de commémoration à la demande d’un proche, avec acte de décès. Le compte n’est plus connectable mais reste visible. Pour obtenir un accès au contenu (photos, messages), un héritier désigné doit faire une demande séparée et fournir les pièces d’identité familiales.

Formulaire : facebook.com/help/contact/228813257197480. Délai : 2 à 6 semaines. Voir notre guide Facebook après un décès.

Banque en ligne (BoursoBank, Fortuneo, Hello Bank, néobanques)

Aucun contournement possible — c’est la règle européenne

Depuis septembre 2019, la directive européenne DSP2 (Payment Services Directive 2) impose l’authentification forte sur toute opération bancaire en ligne. Le 2FA bancaire est obligatoire et il n’existe aucune procédure de contournement, même pour les héritiers. La récupération passe obligatoirement par la succession bancaire classique : présentation de l’acte de décès à l’agence, blocage des comptes, intervention du notaire, transfert vers les comptes des héritiers. Délai : 1 à 3 mois.

Autres plateformes (LinkedIn, X, TikTok, Coinbase, Binance)

Toutes les grandes plateformes ont désormais une procédure « deceased user ». La logique est partout la même : acte de décès, pièce d’identité du demandeur, justificatif du lien, formulaire dédié, délai de 4 à 12 semaines. Le 2FA est contourné par la plateforme, qui crée un accès administrateur pour les héritiers ou ferme le compte. Pour les exchanges crypto, voir notre guide dédié Crypto-actifs post-mortem.

Plan d’action quand vous découvrez un 2FA actif

L’écran demande un code de vérification. Marche à suivre selon ce que vous avez sous la main.

Cas 1 — Le téléphone du défunt est accessible Le plus simple

1. Chargez et déverrouillez l’appareil. Si le code est inconnu, voir notre guide Smartphone verrouillé.

2. Ouvrez les applications Authenticator présentes et photographiez chaque code TOTP affiché (ils changent toutes les 30 secondes).

3. Consultez les SMS récents pour repérer les codes 2FA et les services concernés.

4. Cherchez dans les Notes, photos et fichiers d’éventuels codes de récupération sauvegardés.

Cas 2 — Le téléphone est inaccessible (cassé, perdu, code inconnu)

1. Cherchez les codes de récupération papier : tiroir du bureau, coffre, classeur « papiers importants », testament, dossier chez le notaire. Format type : « 1234-5678 » ou « ABCD-EFGH ».

2. Ouvrez le gestionnaire de mots de passe du défunt (Bitwarden, 1Password, Dashlane, KeePass). Beaucoup stockent aussi les TOTP. Si l’Emergency Access est configuré, vous récupérez tout le coffre.

3. Contactez l’opérateur télécom pour demander le maintien temporaire de la SIM (rare, exige acte de décès et demande motivée du notaire).

4. Lancez en parallèle les procédures « deceased user » de Google, Apple, Microsoft, Meta et de la banque. Les délais courent dès réception du dossier complet.

Cas 3 — Yubikey trouvée mais mot de passe inconnu

La clé seule ne suffit pas. Cherchez le mot de passe dans le gestionnaire, dans un carnet papier ou dans les enveloppes scellées chez le notaire. À défaut : procédure « deceased user » de la plateforme — l’acte de décès l’emporte sur le 2FA. Conservez la clé : certaines procédures (Google) demandent la preuve de possession du 2FA initial pour accélérer le traitement.

Anticiper de son vivant pour épargner ses proches

Le 2FA post-mortem est l’un des chantiers les plus simples à préparer. Trente minutes suffisent à éliminer la majorité des blocages futurs.

1. Imprimer les codes de récupération de chaque service

Chaque plateforme propose une liste de codes de récupération à usage unique (généralement dix) lors de l’activation du 2FA. Ces codes débloquent le compte si le second facteur est perdu — c’est exactement le scénario du décès. Marche à suivre identique sur Google, Apple, Microsoft, Meta, banques et exchanges :

  1. Compte > Sécurité > Authentification à deux facteurs.
  2. Repérez « Codes de récupération », « Backup codes » ou « Codes de secours ».
  3. Imprimez la liste sur papier (pas de capture d’écran stockée numériquement).
  4. Rangez la feuille dans un coffre-fort domestique, chez le notaire avec le testament, ou dans le module successoral du gestionnaire de mots de passe.
  5. Régénérez tous les ans : chaque code utilisé devient invalide.

2. Multiplier les facteurs et utiliser un gestionnaire de mots de passe

La plupart des services permettent d’activer simultanément plusieurs méthodes (SMS + Authenticator + Yubikey). En cas de perte d’une méthode, fallback automatique sur la suivante.

Bitwarden, 1Password et Proton Pass stockent les codes TOTP directement dans le coffre. Avec l’Emergency Access (Bitwarden), le Family Plan (1Password) ou les contacts d’urgence Proton, le proche désigné récupère tout d’un coup. Limite : tous les œufs dans le même panier — à combiner avec une passphrase solide et idéalement une Yubikey.

3. Documenter dans un testament numérique et tester sa procédure

Un testament numérique centralise : liste des comptes principaux, emplacement des codes de récupération, accès au gestionnaire de mots de passe, personne désignée pour exécuter ces volontés. Voir notre modèle de testament numérique gratuit.

Faites le test grandeur nature une fois par an : simulez la perte du téléphone et tentez de revenir avec les seuls codes de récupération. Si vous galérez, vos héritiers galéreront aussi.

Erreurs fréquentes à éviter

  1. Désactiver le 2FA pour « simplifier ». Mauvaise idée. Vos comptes deviennent immédiatement vulnérables au piratage, y compris post-mortem. Mieux vaut conserver le 2FA et imprimer les codes de récupération.
  2. Stocker les codes de récupération dans le téléphone. Capture d’écran dans la galerie photo, note dans Apple Notes, fichier texte sur l’ordinateur : si l’appareil est cassé ou inaccessible, les codes le sont aussi. Le papier reste imbattable.
  3. Tout reposer sur le SMS. La SIM est résiliée en 7 à 14 jours après le décès, parfois automatiquement par l’opérateur dès la réception de l’acte. Configurez toujours un second canal (Authenticator, codes de récupération).
  4. Oublier le compte bancaire dans son inventaire. DSP2 = pas de bypass possible. Listez explicitement les banques dans votre testament numérique et indiquez les coordonnées de votre notaire pour la succession.
  5. Ne jamais tester sa propre procédure. Si vous n’avez jamais récupéré un compte vous-même avec les codes de secours, vous demandez à vos proches en deuil de le faire à votre place dans des conditions émotionnelles dégradées. C’est cruel.

Cas particuliers

Compte bancaire DSP2 : aucun bypass

Aucune banque française ne dispose d’une procédure « deceased customer » pour contourner le 2FA en gardant le compte vivant. Procédure unique : présenter l’acte de décès à l’agence, faire bloquer les comptes, attendre l’acte de notoriété du notaire, virer vers les comptes des héritiers. Délai : 1 à 3 mois. Le compte du défunt est fermé en fin de processus, pas réouvert avec un nouvel utilisateur.

Exchanges crypto et comptes professionnels

Le 2FA des exchanges custodial (Coinbase, Kraken, Binance) est contournable par leurs procédures « deceased customer ». Mais la plateforme n’a aucun accès aux wallets non-custodial (Ledger, MetaMask, Trezor) : seule la seed phrase du défunt permet alors la récupération. Détails dans notre guide Crypto-actifs post-mortem.

Si le défunt était salarié d’une entreprise sous Google Workspace ou Microsoft 365, l’employeur est administrateur du tenant et peut désactiver le 2FA en quelques clics. Contactez le service IT avec l’acte de décès. Pour les indépendants administrateurs de leur propre tenant : configurez un compte admin secondaire confié à un proche, sous peine de transformer le tenant entier en orphelin technique.

Apple Magic Keyboard avec Touch ID

La biométrie disparaît avec son propriétaire. La Recovery Key Apple ID (28 caractères) devient la seule porte d’entrée — encore faut-il que le défunt l’ait imprimée et rangée. À défaut : procédure Digital Legacy ou DAR.

Anticipez votre patrimoine numérique en 15 minutes

Notre questionnaire gratuit génère un plan personnalisé avec courriers pré-remplis pour vos héritiers : comptes 2FA, codes de récupération, exchanges, banque. 100 % gratuit, sans démarchage.

Créer mon plan →

Glossaire

2FA / MFA
Authentification à deux ou plusieurs facteurs. Combine un mot de passe (ce que vous savez) avec un second facteur (ce que vous avez : téléphone, clé physique) ou un troisième (ce que vous êtes : biométrie).
TOTP (Time-based One-Time Password)
Code temporaire à 6 ou 8 chiffres généré toutes les 30 secondes par une application Authenticator. Norme ouverte RFC 6238, indépendante du téléphone et de la connexion internet.
U2F (Universal 2nd Factor) / FIDO2
Standards de sécurité pour les clés physiques d’authentification (Yubikey, Google Titan). FIDO2 est la version moderne qui supporte aussi la connexion sans mot de passe (passkey).
Yubikey
Clé physique d’authentification de la marque Yubico (jaune emblématique). Existe en USB-A, USB-C, NFC, Lightning. Standard de référence pour la sécurité grand public et entreprise.
Authenticator
Application qui génère des codes TOTP. Les plus connues : Google Authenticator, Microsoft Authenticator, Authy, 2FAS, Bitwarden Authenticator.
Code de récupération
Liste de codes à usage unique (généralement dix) fournie lors de l’activation du 2FA. Permet de débloquer le compte si le second facteur est perdu. À imprimer et conserver dans un lieu sûr et connu des proches.
DSP2
Directive européenne (UE) 2015/2366 sur les services de paiement. Impose depuis septembre 2019 l’authentification forte sur toute opération bancaire en ligne. Aucun bypass post-mortem.
Digital Legacy (Apple)
Mécanisme Apple introduit en décembre 2021 (iOS 15.2) permettant de désigner des contacts légataires numériques qui pourront accéder à l’iCloud du défunt sans passer par le 2FA.
Inactive Account Manager (Google)
Gestionnaire de compte inactif Google. L’utilisateur configure de son vivant les proches à notifier après une période d’inactivité, avec accès simplifié à certaines données.

Pour aller plus loin

Sur MemoMori

Préparer son patrimoine numérique en 2 heures : guide d’anticipation → Modèle de testament numérique à recopier (gratuit, version 2026) → Crypto-actifs post-mortem : Bitcoin, Ethereum et NFT après un décès → Compte Apple d’un proche décédé : iCloud, photos, iPhone bloqué → Comment récupérer un compte Microsoft / Outlook d’un défunt ? → Les démarches pour accéder à un compte Gmail d’un défunt → Que devient un compte Facebook après un décès ? → Patrimoine numérique : la gestion de vos données après un décès → Tous nos guides patrimoine numérique →

Questions fréquentes

Oui, mais pas par le 2FA. Cherchez d’abord les codes de récupération papier qu’il a peut-être imprimés (tiroir, classeur, coffre, notaire). À défaut, lancez la procédure officielle Google « Submit a request regarding a deceased user’s account » avec l’acte de décès, votre pièce d’identité et le livret de famille. Délai : 4 à 12 semaines. Si votre père avait activé l’Inactive Account Manager, la procédure est beaucoup plus rapide. Voir notre guide Gmail post-mortem.

Non, le mécanisme Digital Legacy est gratuit et intégré à iOS depuis la version 15.2 (décembre 2021). La configuration prend cinq minutes dans Réglages > Apple ID > Mot de passe et sécurité > Contact légataire. Apple génère une clé d’accès à transmettre aux proches désignés (par message, par email, ou imprimée). Au décès, cette clé combinée à l’acte de décès ouvre l’accès à l’iCloud sans procédure judiciaire ni 2FA.

Non, jamais. La directive européenne DSP2 impose l’authentification forte sans exception, y compris post-mortem. La récupération passe obligatoirement par la procédure de succession bancaire classique : présentation de l’acte de décès à l’agence, blocage des comptes, acte de notoriété du notaire, virement vers les comptes des héritiers. Le compte du défunt sera fermé en fin de processus. Délai : 1 à 3 mois. Aucune banque française ne déroge à cette règle.

Officiellement 4 à 12 semaines, en pratique souvent plus, surtout si le dossier est incomplet. Le 2FA n’allonge pas significativement le délai : Google le contourne par voie administrative dès lors que les pièces (acte de décès, justificatif d’identité du demandeur, lien de parenté) sont validées. Conseils pour accélérer : fournir un acte de décès traduit en anglais si vous écrivez à l’équipe internationale, joindre tous les documents en PDF clair et numéroté, mentionner si l’Inactive Account Manager avait été configuré.

Branchez la clé sur un ordinateur et essayez de la connecter sur les principaux services à 2FA : Google (myaccount.google.com), Microsoft, GitHub, exchanges crypto, gestionnaires de mots de passe (Bitwarden, 1Password). La clé ne vous donnera pas le mot de passe principal, mais elle confirme l’existence d’un compte protégé. Listez ensuite tous les services où la clé répond, et lancez les procédures « deceased user » correspondantes en mentionnant que vous possédez le 2FA hardware (accélère parfois le traitement). Conservez précieusement la clé jusqu’à la fin des démarches.

Connectez-vous sur myaccount.google.com > Sécurité > Validation en deux étapes > Codes de secours. Cliquez sur « Afficher les codes » puis « Imprimer » (10 codes à usage unique). Rangez la feuille dans : votre coffre-fort domestique ignifuge, une enveloppe scellée chez le notaire avec votre testament olographe, ou dans le module successoral de votre gestionnaire de mots de passe (Bitwarden Emergency Access, 1Password Family). Régénérez tous les ans et après chaque utilisation d’un code. Indiquez explicitement à un proche désigné où trouver ces codes — un trésor caché que personne ne connaît reste un trésor perdu.