2FA pour bureau à distance : configurer TOTP sur TeamViewer, AnyDesk, RDP, GoDesk

Vous craignez qu’un tiers n’accède à vos sessions à distance avec un seul mot de passe volé — et vous avez raison. Les identifiants de bureau à distance sont des cibles privilégiées : phishing, credential stuffing et mots de passe divulgués peuvent tous donner à un attaquant un accès interactif complet. Ce guide explique comment ajouter un second facteur — spécifiquement le TOTP (mots de passe à usage unique basés sur le temps) — pour les principaux flux d’accès distant : TeamViewer, AnyDesk, Microsoft RDP (on‑prem/RD Gateway) et des notes pour des déploiements auto‑hébergés comme GoDesk.

Pourquoi la 2FA pour bureau à distance (TOTP) est importante

Le mot de passe seul échoue souvent. Brute force, réutilisation des identifiants et ingénierie sociale sont des vecteurs d’attaque courants. Ajouter la 2FA réduit la surface d’attaque en exigeant un code à courte durée de validité dérivé d’un secret détenu par l’appareil de l’utilisateur. Le TOTP (RFC 6238) est largement supporté, fonctionne hors ligne et s’intègre aux applications d’authentification courantes (Google Authenticator, Microsoft Authenticator, Authy) et aux tokens matériels comme YubiKey en mode HOTP/TOTP.

Pour les scénarios de bureau à distance, vous devez distinguer deux protections :

• 2FA au niveau du compte (le portail/fournisseur) — empêche qu’un attaquant prenne le contrôle de votre compte cloud qui gère les appareils et les permissions.
• 2FA au niveau de la session ou de l’hôte (passerelles/connexions hôtes) — empêche les sessions RDP directes ou l’accès non supervisé si le mot de passe de l’hôte est compromis.

Les services cloud (TeamViewer, AnyDesk) fournissent généralement le TOTP au niveau du compte par défaut ; RDP nécessite une couche supplémentaire (Duo, Azure AD MFA, extension NPS ou un PAM tiers) pour protéger la session hôte.

Notions de base sur TOTP avant de commencer

Le TOTP génère des codes temporels (généralement 6 chiffres) toutes les 30 secondes en utilisant un secret partagé et l’heure courante. Points opérationnels clés :

• Longueur du code : généralement 6 chiffres. Certains systèmes acceptent 8 chiffres mais 6 est le plus courant.
• Pas temporel : typiquement 30 secondes. Les implémentations tolèrent un petit dérèglement d’horloge (±1 pas).
• Stockage du secret : le secret TOTP (le QR / clé secrète) est l’élément critique. Traitez‑le comme un mot de passe — s’il fuit, le compte est compromis.
• Codes de secours : générez et stockez des codes de récupération hors ligne (papier dans un coffre ou gestionnaire de mots de passe) au cas où l’appareil serait perdu.
• Applications d’authentification : Google Authenticator, Microsoft Authenticator, Authy fonctionnent bien. Les tokens matériels (YubiKey en mode OATH) sont préférables pour une sécurité élevée.

Assurez‑vous que les appareils exécutant les applications d’authentification ont l’heure exacte. Sur les téléphones c’est normalement automatique ; pour les serveurs utilisez NTP (ntpd/chrony) afin d’éviter des échecs de vérification TOTP.

TeamViewer : activer le TOTP au niveau du compte (rapide, intégré)

TeamViewer propose l’authentification à deux facteurs pour votre compte TeamViewer. Cela sécurise le compte qui gère les appareils, les journaux de connexion et les politiques d’accès non supervisé.

Étapes (client TeamViewer ou compte web) :

1. Ouvrez votre navigateur et allez sur https://login.teamviewer.com ou ouvrez le client TeamViewer et cliquez sur votre avatar → Manage account.
2. Allez dans la section « Security » ou « Two‑factor authentication ».
3. Cliquez sur « Enable » pour Two‑factor authentication. TeamViewer affichera un QR code et une clé secrète de 16 caractères que vous pouvez copier.
4. Ouvrez une application d’authentification (Google Authenticator, Authy, Microsoft Authenticator), ajoutez un nouveau compte et scannez le QR code ou collez la clé secrète.
5. Saisissez le code TOTP à 6 chiffres affiché dans l’application pour confirmer et finaliser la configuration. TeamViewer proposera des codes de récupération — stockez‑les de façon sécurisée.

Notes et points à surveiller : TeamViewer prend en charge des approbations push pour certains flux, mais le TOTP reste le recours et est plus portable. Si vous utilisez TeamViewer pour l’accès non supervisé, souvenez‑vous que l’activation de la 2FA du compte ne remplace pas le contrôle d’accès par appareil ni les mots de passe locaux. La 2FA du compte TeamViewer empêche les attaquants de modifier les paramètres ou d’ajouter des appareils de confiance, ce qui est souvent l’étape la plus critique.

AnyDesk : activer la vérification en deux étapes / TOTP

AnyDesk propose l’authentification à deux facteurs pour les comptes AnyDesk et a récemment étendu ses fonctions de sécurité dans la série 7.x. Le processus est similaire à TeamViewer : activez la 2FA sur le compte et utilisez une application d’authentification pour générer les codes TOTP.

Étapes (client AnyDesk ou my.anydesk.com) :

1. Connectez‑vous à votre compte AnyDesk sur https://my.anydesk.com ou ouvrez le client AnyDesk et identifiez‑vous.
2. Accédez à Profile → Security ou « Two‑Step Verification ».
3. Choisissez « Enable », scannez le QR présenté avec votre application d’authentification (ou entrez la clé partagée manuellement), et confirmez en saisissant un code valide à 6 chiffres.
4. Conservez les codes de récupération fournis dans un emplacement sécurisé.

Remarques : la 2FA au niveau du compte AnyDesk empêche un attaquant d’accéder à votre liste d’appareils et de modifier les autorisations. AnyDesk propose aussi des paramètres de sécurité par appareil (mot de passe d’accès non supervisé, listes de contrôle d’accès) ; utilisez‑les en complément de la 2FA du compte. Dans des flux où AnyDesk est principalement utilisé pour le support à distance, la 2FA du compte empêche l’abus de votre compte plutôt que de protéger chaque connexion hôte — considérez de combiner la 2FA compte avec des contrôles par hôte.

Microsoft RDP : ajouter le TOTP aux ouvertures de session sur l’hôte (le cas plus difficile mais nécessaire)

Le RDP « vanilla » de Microsoft (le protocole RDP sur Windows 10/11/Windows Server) ne prend pas nativement en charge le TOTP pour l’ouverture de session interactive. Pour ajouter la 2FA/TOTP aux sessions RDP, il faut insérer un fournisseur d’authentification dans le chemin de connexion. Choix courants :

• Cisco Duo : Duo propose une intégration Windows Logon/RDP qui supporte TOTP, push, appel téléphonique ou tokens matériels. Duo installe un credential provider sur l’hôte Windows. Consultez la documentation Duo pour « Duo for Windows Logon and RDP ».
• Azure AD + Conditional Access + MFA : si vos machines sont jointes à Azure AD ou utilisent Azure AD Domain Services, vous pouvez exiger Azure AD MFA pour l’accès distant via RD Gateway ou Windows Virtual Desktop. Azure MFA utilise généralement les notifications push mais peut aussi utiliser OATH TOTP via Microsoft Authenticator.
• NPS Extension pour Azure MFA : pour les configurations RD Gateway/NPS, l’extension NPS de Microsoft intègre Azure MFA avec RADIUS NPS, ce qui permet d’appliquer la MFA à l’authentification de la passerelle.
• Options libres/open source : vous pouvez déployer un serveur RADIUS (FreeRADIUS) et un plugin PAM ou RADIUS TOTP (par ex. Google Authenticator PAM ou freeradius‑oath) devant une RD Gateway. Cela demande plus de travail sysadmin mais garde tout on‑prem et supporte les tokens HOTP/TOTP standard.

Exemple : Duo for Windows Logon (étapes à haut niveau)

1. Créez une application dans le Duo Admin Panel et notez la integration key, la secret key et l’API hostname.
2. Téléchargez l’installeur « Duo Authentication for Windows Logon » et exécutez‑le sur l’hôte cible (Windows 10/11/Server 2016+ pris en charge dans les versions récentes de Duo).
3. Pendant la configuration de l’installeur, saisissez integration key/secret/API hostname. Choisissez si Duo doit être requis pour la connexion console, RDP ou les deux.
4. Les utilisateurs s’enregistrent dans Duo et peuvent utiliser l’application Duo Mobile (le TOTP est disponible via les tokens OATH de Duo) ou des tokens matériels.

Notes et limites : exiger la 2FA au niveau de l’hôte peut compliquer les tâches automatisées et les comptes de service — assurez‑vous d’exempter les comptes de service et d’utiliser des identifiants de service distincts ou des certificats machine. Conservez aussi un compte de secours « break‑glass » sécurisé hors ligne sans 2FA pour récupérer l’accès si l’infrastructure 2FA échoue.

Bureau à distance auto‑hébergé (GoDesk et autres) : comment implémenter le TOTP

Les solutions auto‑hébergées offrent le plus de flexibilité mais aussi la responsabilité. GoDesk (bureau à distance open‑source) peut être déployé en auto‑hébergé ou utilisé via une option managée — dans les deux cas, l’application de la 2FA se fait sur deux fronts : le portail web/compte et l’agent hôte.

Portail de compte 2FA : si vous utilisez un plan de contrôle hébergé, activez la 2FA dans le portail (scannez un QR, saisissez le code, stockez les codes de récupération). Pour un plan de contrôle auto‑hébergé, vous pouvez ajouter le TOTP en intégrant un fournisseur d’identité qui supporte le TOTP (Keycloak, Authelia) ou en ajoutant une crate/bibliothèque TOTP si vous maintenez vous‑même le portail.

2FA au niveau de l’hôte : pour les agents auto‑hébergés, protégez l’accès non supervisé en exigeant un mot de passe local fort et en le couplant à une passerelle externe qui impose la 2FA. Options :

• Placez vos serveurs GoDesk derrière une RD Gateway ou un VPN qui exige la MFA.
• Utilisez un broker d’identité (Keycloak, Dex) avec le TOTP activé et configurez GoDesk pour exiger l’authentification via ce broker.
• Sur des hôtes Linux, imposez PAM TOTP (libpam‑google‑authenticator) pour les sessions de bureau ; combinez cela avec des règles de pare‑feu de sorte que le bureau à distance ne soit accessible que via la passerelle d’authentification.

Si vous exécutez GoDesk en auto‑hébergé et voulez un guide pratique, voyez notre guide sur le bureau à distance auto‑hébergé : /self-hosted-remote-desktop-guide. Pour tester le client ou le serveur, téléchargez les builds sur /download. Si vous évaluez les tarifs ou les offres managées, voyez /pricing pour les options actuelles et les différences entre auto‑hébergé et managé.

Bonnes pratiques, récupération et dépannage

Mettre en place le TOTP est simple, mais des erreurs courantes créent des verrouillages ou une protection faible. Suivez ces règles pragmatiques :

• Codes de secours : sauvegardez immédiatement les codes de récupération affichés lors de l’activation de la 2FA. Stockez‑les dans un gestionnaire de mots de passe (1Password, Bitwarden) ou imprimés dans un coffre sécurisé.
• Synchronisation d’heure : assurez‑vous que serveurs et téléphones ont l’heure correcte. Pour les serveurs, utilisez NTP (chrony/ntpd/systemd‑timesyncd). Les applications d’authentification reposent sur une heure exacte ; un décalage entraîne des échecs de codes.
• Comptes de secours : conservez un compte administrateur « break glass » hors ligne (non enregistré sur votre téléphone principal) pour récupérer l’accès si la 2FA est perdue — mais limitez l’usage de ce compte.
• Politiques d’appareil : exigez des authentificateurs matériels (FIDO2/YubiKey) pour les utilisateurs privilégiés quand c’est possible. Ils résistent mieux au phishing que les applications TOTP.
• Audit et journaux : journalisez les échecs d’authentification et les événements 2FA. Si un compte utilise de nombreux codes de récupération soudainement, considérez‑le comme compromis.
• Évitez la 2FA par SMS pour l’accès à distance ; le SMS est vulnérable au SIM swapping et à l’interception.

Étapes courantes de dépannage

• Codes refusés : vérifiez l’heure sur client et serveur, assurez‑vous d’utiliser le bon compte/la bonne clé. Essayez ±1 pas temporel si le système autorise une fenêtre.
• Appareil d’authentification perdu : utilisez les codes de récupération stockés pour désactiver la 2FA et réinscrire un nouvel appareil. Si vous n’avez pas de codes de récupération, contactez le support de récupération du fournisseur (préparez‑vous à des vérifications et des délais).
• Comptes de service : n’appliquez pas la 2FA sur les comptes de service nécessitant une connexion non supervisée ; utilisez plutôt des certificats machines, des identités gérées ou un compte de service dédié avec permissions strictes.

Quand un concurrent est plus simple — et quand RDP a encore besoin d’aide

Évaluation honnête : des produits cloud comme TeamViewer et AnyDesk rendent l’activation du TOTP au niveau du compte triviale — intégrée au portail avec QR codes et codes de récupération. Si tout ce dont vous avez besoin est de protéger le compte qui supervise les appareils, c’est souvent l’étape la plus rapide et efficace. Là où ils montrent des limites, c’est sur l’application au niveau de l’hôte : si quelqu’un possède déjà des identifiants locaux sur une machine, la 2FA du compte ne bloquera pas nécessairement une session RDP directe à moins que l’accès non supervisé sur la machine soit verrouillé.

RDP, surtout en environnements on‑prem, nécessite des composants supplémentaires (Duo, Azure MFA, extension NPS, PAM/RADIUS) pour protéger les ouvertures de session hôtes avec le TOTP. Cette complexité supplémentaire est nécessaire pour la sécurité — prévoyez une fenêtre d’installation/configuration de quelques heures à quelques jours selon votre échelle, la configuration des certificats et les cas limites comme les comptes de service.

Checklist rapide avant d’activer le TOTP

• Définir la portée : protection au niveau du compte uniquement vs protection au niveau de l’hôte.
• Choisir la stratégie d’authentification : TOTP via application (Authy/Google) vs matériel (YubiKey/FIDO2) pour les utilisateurs privilégiés.
• Générer et stocker les codes de récupération dans un coffre sécurisé avant de tester.
• Synchroniser les horloges (NTP) sur les serveurs et l’infrastructure critique.
• Planifier la gestion des appareils perdus : flux de récupération documenté, processus break‑glass et contact de support.

Si vous voulez une aide pas à pas pour l’auto‑hébergement ou l’intégration de la MFA dans votre architecture d’accès distant, nous avons publié un article plus large sur la sécurité du bureau à distance qui couvre les modèles de menace et les contrôles réseau : /remote-desktop-security. Pour des instructions pratiques pour des déploiements auto‑hébergés, consultez notre guide : /self-hosted-remote-desktop-guide.

La double authentification avec TOTP n’est pas une solution miracle, mais c’est l’une des protections les plus rentables à ajouter aux workflows d’accès distant. Commencez par activer le TOTP au niveau du compte sur TeamViewer/AnyDesk, puis planifiez une stratégie 2FA au niveau de l’hôte pour RDP ou les agents auto‑hébergés. Si vous êtes prêt à tester un bureau à distance auto‑hébergé ou à essayer GoDesk, téléchargez les builds client et serveur sur /download et suivez les étapes d’installation — et envisagez de coupler cela avec un broker d’identité ou une passerelle MFA pour appliquer la 2FA sur les ouvertures de session hôtes.