On vous a volé votre YubiKey : que faire dans les 10 prochaines minutes
On vous a volé votre YubiKey. Ou vous l'avez perdue. Ou vous ne la trouvez simplement plus et vous ne savez pas si elle est restée dans la poche d'une veste ou entre les mains de quelqu'un d'autre.
Vous avez une fenêtre de tir. Elle est courte. Voici ce que vous devez faire immédiatement.
Plan d'action immédiat
L'ordre est crucial. Commencez par ce qui peut causer le plus de dégâts si quelqu'un y accède avant vous.
Avant toute chose. Si on vous vole votre téléphone avec des sessions ouvertes, révoquer la YubiKey ne sert à rien — la session reste active. Sur Google, allez dans "Gérer les appareils" et déconnectez-les tous. Pour les autres services, cherchez "Se déconnecter de tous les appareils". C'est toujours la priorité.
C'est votre clé maîtresse. Celui qui contrôle votre email peut réinitialiser presque n'importe quel compte. Allez dans les paramètres de sécurité, supprimez la YubiKey comme méthode d'authentification et activez temporairement une autre méthode (appli d'authentification ou code de vérification).
Revolut, PayPal, Wise, BoursoBank. Connectez-vous depuis un autre appareil et révoquez la YubiKey dans les paramètres de sécurité. Si vous ne pouvez pas accéder au compte, appelez directement la banque pour bloquer l'accès numérique.
Binance, Coinbase, Kraken. Si vous avez des fonds, c'est une priorité absolue. Connectez-vous, révoquez la YubiKey et activez un 2FA alternatif. Si vous n'avez plus l'accès, utilisez immédiatement le processus de récupération de compte de la plateforme.
Bitwarden, 1Password, KeePass. Si votre gestionnaire utilise la YubiKey comme second facteur, révoquez-la depuis un autre appareil ou utilisez les codes de secours générés lors de la configuration.
Google, GitHub, réseaux sociaux, tout autre service où la YubiKey est enregistrée. Révoquez l'accès compte par compte depuis les paramètres de sécurité de chaque service.
Si vous n'avez pas de liste, le plus rapide est de chercher dans vos emails les notifications reçues lors de la configuration. Cherchez "security key", "clé de sécurité" ou "YubiKey" dans votre boîte de réception.
Si vous avez une YubiKey de secours (Backup)
C'est la situation idéale. Vous avez une deuxième clé configurée — vous l'activez et vous restez opérationnel.
Le processus est le même pour chaque service : connectez-vous avec votre second facteur alternatif (la clé de backup ou les codes de secours), allez dans les paramètres de sécurité et supprimez la clé volée de la liste des appareils de confiance.
Une fois révoquée partout, la clé volée devient inutile — même si quelqu'un la possède, il ne pourra plus s'authentifier sur vos comptes.
Révoquer la clé spécifique supprime cet appareil de votre compte. Désactiver le 2FA supprime toute protection. Assurez-vous de faire le premier, pas le second.
Si vous n'avez pas de backup
C'est plus inconfortable, mais il existe des solutions.
La plupart des services proposent des méthodes de récupération alternatives configurées lors de l'activation de la YubiKey. Le problème est que beaucoup d'utilisateurs les oublient.
Google, GitHub et bien d'autres services génèrent des codes à usage unique lors de l'activation du 2FA. Si vous les avez sauvegardés (dans un gestionnaire de mots de passe, sur papier ou dans un fichier), utilisez-les maintenant.
Si vous avez configuré une application d'authentification (Google Authenticator, Aegis, Authy) en plus de la YubiKey, utilisez-la pour entrer et révoquer la clé volée.
Si vous n'avez aucune méthode alternative, chaque service a un processus de récupération de compte. Cela nécessite généralement une vérification d'identité et peut prendre de quelques heures à plusieurs jours. C'est la voie la plus lente — une raison de plus pour avoir un backup configuré à l'avance.
Uniquement ceux qui ont la YubiKey comme seul et unique second facteur sans méthode alternative. Si vous avez une appli d'authentification ou des codes de secours, le risque est minime — la clé volée ne sert à rien sans vos autres identifiants.
Recommandation : configurez votre PIN avant qu'il ne soit trop tard
Si votre YubiKey n'a pas de PIN, celui qui la trouve peut l'utiliser directement pour s'authentifier sur vos comptes — s'il connaît aussi votre mot de passe. Avec un PIN activé, la clé se bloque après plusieurs tentatives infructueuses et devient inutile pour quiconque ne connaît pas le code.
Configurer un PIN prend moins de 2 minutes via YubiKey Manager. Si vous ne l'avez pas encore fait, faites-le maintenant — avant d'avoir réellement besoin de cet article.
→ Comment configurer le PIN dans YubiKey Manager
Plateau format carte
Gardez votre YubiKey dans votre portefeuille — toujours sur vous, toujours localisée. Format carte de crédit standard.
Portefeuille Slim avec blocage RFID
Portefeuille minimaliste avec fente pour YubiKey et emplacement AirTag intégré. Si vous le perdez, vous le localisez.
Perdre sa YubiKey a une solution. Perdre l'accès à ses comptes, pas toujours.
Si vous avez un backup configuré et un PIN activé, perdre la clé est un inconvénient mineur — vous révoquez, vous activez la seconde et vous continuez. Sans ces précautions, le processus est pénible et peut vous coûter l'accès à des comptes critiques.
La vraie prévention n'est pas seulement de savoir quoi faire quand cela arrive — c'est de la porter toujours sur soi et de la protéger pour ne pas la perdre.
Questions fréquemment posées
Peut-on utiliser ma YubiKey sans PIN ?
Oui. Si aucun PIN n'est configuré, quiconque possède la clé peut l'utiliser directement — à condition de connaître aussi votre mot de passe. Avec un PIN activé, la clé se bloque après plusieurs échecs.
Peut-on cloner ma YubiKey ?
Non. La YubiKey est conçue pour être impossible à cloner — les clés privées ne quittent jamais l'appareil physique. Pour s'authentifier, il faut avoir l'objet en main.
Que se passe-t-il si je n'ai pas de backup configuré ?
Vous devrez utiliser les méthodes de récupération de chaque service (codes de secours, second facteur alternatif ou processus de récupération). Cela peut être long. C'est pourquoi configurer une deuxième YubiKey de secours est la recommandation la plus importante de cet article.
Que se passe-t-il si j'oublie mon PIN ?
Si vous saisissez un PIN erroné plusieurs fois, la YubiKey se bloque. Pour la débloquer, vous avez besoin du PUK (PIN Unblocking Key) généré lors de la configuration du PIN. Si vous n'avez pas non plus le PUK, la clé devient inutilisable et doit être réinitialisée (ce qui efface toutes les données). Gardez toujours votre PUK en lieu sûr, par exemple dans votre gestionnaire de mots de passe.
