OTP (mot de passe à usage unique)

Un OTP (mot de passe à usage unique) est une courte chaîne d'authentification valide pour exactement une connexion ou une transaction. Une fois utilisé ou après l'expiration d'une courte fenêtre de temps, il ne peut pas être réutilisé. Les OTP sont conçus pour atténuer le risque de réutilisation de mots de passe et d'interception d'identifiants : même si l'OTP est capturé en transit, il n'a aucune valeur une fois consommé.

Les OTP se présentent sous deux formes principales. HOTP (One-Time Password basé sur HMAC, RFC 4226) génère des codes à partir d'un compteur croissant partagé entre le serveur et le client. Chaque connexion réussie incrémente le compteur, de sorte que les codes sont produits dans une séquence déterministe mais non répétitive. TOTP (One-Time Password basé sur le temps, RFC 6238) remplace le compteur par l'heure actuelle, divisée en fenêtres discrètes de généralement 30 secondes. Les deux schémas utilisent un secret partagé et HMAC-SHA1 (parfois SHA256 ou SHA512) pour dériver les chiffres visibles de l'état sous-jacent.

En pratique, la livraison des OTP s'effectue via plusieurs canaux :

• SMS : le serveur génère un code court aléatoire, l'envoie via le réseau d'opérateur, et l'utilisateur le saisit dans le formulaire de connexion. C'est le canal le plus courant et le moins sécurisé.
• Email : similaire au SMS mais livré à une boîte de réception, plus lent et légèrement plus sécurisé.
• Application d'authentification : code TOTP généré localement sur un appareil en utilisant un secret échangé à l'inscription.
• Notification push : une invite de confirmation en un clic vers un appareil enregistré.
• Jeton matériel : un appareil dédié (RSA SecurID, YubiKey) qui affiche ou transmet le code.

Les OTP sont un élément constitutif de l'authentification à deux facteurs et de l'authentification progressive. La sécurité d'un système OTP dépend entièrement du secret du matériel de base et de l'intégrité du canal de livraison — un OTP livré via SMS à un numéro victime d'échange de carte SIM ne fournit aucune réelle protection. Les codes TOTP générés localement sont plus robustes car il n'y a pas de canal de livraison à intercepter.

Les normes web modernes (WebAuthn, clés d'accès) remplacent progressivement les OTP car les OTP restent sensibles à l'hameçonnage : un utilisateur peut être trompé en saisissant son OTP sur une fausse page de connexion, et un attaquant peut le rejouer dans la fenêtre de validité. Malgré cela, l'OTP via SMS ou application d'authentification reste la norme de facto pour l'authentification à second facteur sur le web grand public en 2026.