OTP (One-Time Password) : pilier historique de la cybersécurité

Un OTP (One-Time Password) est un mot de passe temporaire généré pour une seule session ou transaction : un mot de passe à usage unique. Il expire rapidement après utilisation ou après un délai très court (30 secondes à quelques minutes). 

Contrairement aux mots de passe statiques, un OTP change constamment et n’est valide qu’une seule fois, ce qui rend son interception quasi inutile pour la plupart des attaquants.  

Comment un OTP est-il généré ? 

Il existe principalement deux méthodes pour générer des OTP : 

TOTP : Time-based One-Time Password 

Ici le mot de passe est basé sur l’heure actuelle, une clé secrète partagée, et généré à intervalles réguliers (ex : toutes les 30 secondes). Ce procédé est utilisé par des applications comme Google Authenticator, Microsoft Authenticator.

L’avantage : pas besoin d’être connecté à Internet. L’inconvénient : la méthode nécessite une synchronisation horaire entre le serveur et le client. 

HOTP : HMAC-based One-Time Password 

Ici, l’OTP est calculé via une fonction HMAC, avec un compteur comme variable d’entrée. 

HMAC signifie Hash-based Message Authentication Code : une méthode cryptographique qui combine une clé secrète et un message (ici, le compteur) pour produire un code unique et sécurisé. Chaque demande d’OTP incrémente un compteur numérique de 1. Ce compteur doit rester synchronisé entre le client et le serveur pour que l’OTP soit valide. 

Avantage : le système est indépendant de l’heure, donc il évite les problèmes de décalage ou de désynchronisation liés à l’horloge du système.. 
Inconvénient : il exige la synchronisation du compteur. Si le compteur du client et celui du serveur ne sont plus alignés (par exemple si un OTP est généré mais non utilisé), l’authentification échoue — il faut donc gérer cette synchronisation avec soin. 

Quelle est la place de l’OTP dans une stratégie MFA moderne ? 

L’OTP peut être un composant d’un mécanisme d’authentification multi facteurs (MFA). Le principe du MFA repose en effet sur la combinaison d’au moins deux facteurs parmi les trois suivants : 

1. quelque chose que vous savez (un mot de passe) ; 
2. quelque chose que vous avez (téléphone, token, carte) ; 
3. quelque chose que vous êtes (biométrie). 

L’OTP relève de la catégorie « quelque chose que vous avez », par exemple un smartphone avec une application d’authentification ou un token physique (type RSA SecurID). 

OTP et sécurité : forces et limites 

L’OTP présente encore bien des avantages d’un point de vue sécurité. 

• Il rend le phishing plus difficile : un mot de passe volé ne suffit plus.  

• Son temps de validité court limite les possibilités d’exploitation en cas d’interception.  

• Il est facile à intégrer avec des outils SaaS, VPN, ou infrastructures AD/LDAP. 

Le procédé présente néanmoins des limites évidentes :  

• en cas d’attaques en temps réel (man-in-the-browser, reverse proxy) par exemple : certaines attaques peuvent intercepter et utiliser un OTP en quelques secondes.  

• en cas de phishing ciblé : des campagnes sophistiquées imitent des interfaces légitimes pour piéger les utilisateurs en direct.  

• en cas de canal de transmission vulnérable : un OTP envoyé par SMS est exposé aux attaques de type SIM swapping, interception SS7 notamment. 

OTP par SMS : une fausse bonne idée ? 

Bien que largement répandue, l’envoi d’OTP par SMS est aujourd’hui déconseillé dans les environnements critiques : 

• pour des problèmes de confidentialité : les SMS transitent en clair ; 

• en cas d’attaques ciblées et de détournement de ligne via SIM swap ; 

• à cause de la dépendance au réseau : il nécessite une couverture mobile active. 

Mieux vaut privilégier les OTP générés par applications d’authentification ou via tokens physiques FIDO2/U2F. 

L’OTP dans l’écosystème d’entreprise 

Dans une stratégie d’infogérance et de sécurité managée, l’OTP reste un outil de mitigation des risques au niveau des accès distants (VPN, RDP, Cloud), des connexions aux systèmes internes sensibles, des workflows critiques : approbation de paiements, administration IT, etc. 

Il est aussi fréquemment intégré via des solutions IAM (Identity & Access Management) telles que Okta, Duo, Azure AD, ou via des proxies d’authentification centralisée. 

Vers la fin de l’OTP ? 

Si l’OTP constitue un pilier historique du MFA, on peut s’interroger sur son avenir dans certains usages. Les attaques deviennent de plus en plus sophistiquées et certaines parviennent déjà à la contourner. Les technologies comme WebAuthn/FIDO2 proposent des authentifications sans mot de passe, plus robustes. 
Enfin, la biométrie et les tokens cryptographiques prennent le relais dans les contextes à très haute sécurité. 

L’OTP reste cependant très pertinent pour des usages intermédiaires, notamment dans les PME ou comme barrière supplémentaire dans un modèle de défense en profondeur (defense-in-depth). Il ne doit simplement pas être l’unique protection. 

OTP, un outil d’hier pour les menaces de demain ? 

La véritable question n’est plus de savoir si l’OTP est utile, mais dans quels cas son usage reste pertinent. Dans un environnement où les menaces évoluent rapidement et ciblent désormais les mécanismes d’authentification eux-mêmes, il devient indispensable de dépasser le modèle d’authentification ponctuelle et statique. Les entreprises doivent adopter une approche fondée sur une authentification contextuelle et adaptative, capable d’évaluer en temps réel le niveau de risque associé à chaque tentative d’accès. L’OTP conserve une valeur en tant que composant transitoire ou complémentaire, mais il ne peut plus être considéré comme une protection suffisante à lui seul face aux attaques avancées. 

L’OTP demeure un outil central dans l’arsenal de sécurité des entreprises. Il est simple, efficace, éprouvé, mais doit être intégré dans une stratégie MFA robuste, contextualisée et régulièrement réévaluée.