OTP

OTP (One-Time Password) est un code d’authentification à usage unique, généralement 6 chiffres, valide pour une courte fenêtre. Combiné à un mot de passe ordinaire, il forme l’authentification à deux facteurs (2FA).

Trois canaux de livraison courants :

• OTP par SMS — code envoyé par message au téléphone de l’utilisateur. Le plus courant, aussi le moins sécurisé (attaques par échange de SIM).
• TOTP (basé sur le temps, RFC 6238) — généré par une application d’authentification à partir d’un secret partagé + l’heure actuelle. Pas de réseau requis. Courant dans Google Authenticator, Authy, 1Password.
• HOTP (basé sur un compteur, RFC 4226) — incrémente un compteur à chaque utilisation. Désormais rare, sauf pour les jetons matériels comme le mode OTP de YubiKey.

Les OTP contrecarrent les attaques par réutilisation de mots de passe (le mot de passe volé seul est inutile) mais ne contrecarrent pas le phishing moderne — un attaquant qui hameçonne l’OTP peut le rejouer dans la fenêtre de validité. L’authentification par clé matérielle (FIDO2 / WebAuthn) résiste au phishing car la clé prouve qu’elle se trouve sur le site légitime.

Le problème de rétrogradation par SMS-OTP : la révision 2017 du NIST SP 800-63B a déprécié le SMS comme authentificateur hors bande en raison de trois modèles d’attaque documentés — fraude par échange de SIM, exploitation du protocole SS7, et fraude par portabilité de numéro. Les applications qui permettent de désactiver le SMS en faveur du TOTP uniquement ou de WebAuthn uniquement sont significativement plus sécurisées.

Mécanique TOTP — pourquoi la fenêtre de 30 secondes : TOTP est HMAC-SHA1 de (secret partagé, horodatage actuel par tranche de 30 secondes), tronqué à 6 chiffres. La granularité de 30 secondes est un compromis : suffisamment court pour limiter les fenêtres de replay, suffisamment long pour pardonner un léger décalage d’horloge. Le provisionnement se fait via un code QR encodant otpauth://totp/Issuer:user?secret=...&period=30&digits=6. Voir aussi : TOTP. Référence : RFC 6238 — TOTP.

Exemple concret

Vous vous inscrivez à TOTP. Le serveur génère un secret de 160 bits (ex. JBSWY3DPEHPK3PXP en base32), vous montre un code QR, et votre application d’authentification stocke le secret. Pour générer un code à l’heure Unix actuelle 1716393600 : calculez la tranche de temps T = floor(1716393600 / 30) = 57213120, puis HMAC-SHA1(secret, T) produit un hash de 20 octets. Tronquez dynamiquement selon RFC 4226 pour obtenir un code à 6 chiffres — par exemple 492039. Le serveur effectue le même calcul ; si les codes correspondent (en autorisant un pas de chaque côté pour le décalage d’horloge), l’authentification réussit.

Pourquoi et quand cela importe

L’OTP fait la différence entre « la fuite de données sur le dark web compromet votre compte » et « la fuite de données est inutile sans votre téléphone. » Empiriquement, l’étude 2019 de Google avec NYU et UCSD a montré que l’ajout de n’importe quel second facteur bloquait 99 % des attaques massives par bourrage de mots de passe. L’échelle pragmatique pour tout compte : mots de passe seulement → OTP par SMS → application TOTP → clé de sécurité matérielle. Chaque étape augmente considérablement le coût pour l’attaquant. Référence : NIST SP 800-63B — Directives d’identité numérique.