Qu’est-ce qu’un One Time Password ?
Un OTP est un code de sécurité à usage unique qui vise à minimiser le risque de tentatives de connexion frauduleuses et garantir une sécurité élevée. Il s'agit d'une chaîne de caractères ou de chiffres générée automatiquement et envoyée à l'utilisateur par SMS, message vocal ou notification push.
L'OTP est devenu une méthode standard utilisée dans le monde entier pour sécuriser une connexion dans des circonstances précises, comme la validation d'un nouveau compte, la connexion, ou la confirmation de la légitimité d'une transaction. Également connu sous le nom de code PIN à usage unique, de code d'autorisation à usage unique (CAOT) ou de mot de passe dynamique, il s'agit le plus souvent d'un numéro à six chiffres envoyé par SMS à votre client. Ce dernier aura juste à saisir ce code sur le site ou l'application pour se connecter.
Pourquoi utiliser des One Time Password ?
Des millions d'OTP sont envoyés chaque jour dans le monde et une grande partie d'entre eux sont envoyés par SMS. Les consommateurs gardent toujours leur téléphone portable à portée de main. De plus, en tant que bien personnel précieux, un téléphone est généralement utilisé par une seule personne, ce qui en fait un excellent moyen de confirmer son identité.
Le but d'un One Time Password est d'ajouter une deuxième couche de sécurité afin de devancer la cybercriminalité et de protéger votre organisation contre les effets catastrophiques de la fraude sur votre activité.
Le risque de fraude est considérablement réduit si l'utilisateur ne doit pas seulement renseigner son nom d'utilisateur et son mot de passe, mais qu'il a également besoin d’un objet personnel pour compléter la connexion. Cet objet personnel peut être le téléphone de l'utilisateur. Les OTP e présentent sous divers formats, mais ils ajoutent toujours une étape supplémentaire d'authentification.
Comment fonctionne un One Time Password ?
Les OTP sont utilisés lorsqu'une transaction nécessite une sécurité supplémentaire ou une méthode alternative pour prouver l'identité d'un client. Lorsqu'une telle situation se présente - un client ayant besoin d'un rappel de mot de passe, une banque confirmant une transaction, et bien d'autres cas - une demande d'OTP est faite, soit par le client lui-même, soit par l'institution en question.
L'OTP est généré automatiquement sous la forme de chiffres ou d'une chaîne de caractères semi-aléatoire. Il n'y a aucun moyen de prédire ce que sera l'OTP à l'avance. De plus, les OTP sont généralement limités dans le temps, ne pouvant être utilisés que pendant quelques minutes.
Il existe plusieurs façons d'envoyer un OTP. Certains sites offrent la possibilité de recevoir les OTP par e-mail, bien que cette méthode ait tendance à être moins sûre. D'autres fournisseurs permettent même de recevoir les OTP sous forme de messages vocaux : le client reçoit un appel automatisé, qui énonce le mot de passe OTP à haute voix. Mais le moyen le plus courant d'envoyer des OTP est de loin la messagerie mobile : généralement un SMS est envoyé sur le téléphone portable du client.
Exemples de One Time Password
One Time Password sous forme de message SMS
La plupart des OTP sont envoyés sous forme de SMS. Une fois que l'utilisateur a commencé sa tentative de connexion, en remplissant son nom d'utilisateur et le mot de passe correct, un OTP SMS est envoyé au numéro de téléphone mobile relié à son compte. L'utilisateur saisit alors le code affiché sur son téléphone, ce qui complète le processus d'authentification.
One Time Password sous forme de message vocal
Une alternative au One Time Password par SMS est le message vocal. Avec Voice, le mot de passe est reçu via un appel téléphonique automatisé sur le portable de l'utilisateur. Le mot de passe ne sera pas stocké sur le téléphone. De plus, l’API Voix vous permet d'atteindre les utilisateurs malvoyants. Vous pouvez également utiliser la voix comme solution de secours dans le cas où votre SMS ne serait pas délivré.
One Time Password sous forme de notification push
Le processus d'authentification à deux facteurs utilisant les notifications push est similaire à l'OTP par SMS. Lors de la procédure de connexion, un code généré automatiquement est envoyé sous forme de notification push via votre application sur le téléphone de l'utilisateur. Ce dernier doit ensuite copier ce code sur l'écran de connexion pour vérifier son identité. Pour utiliser cette option, vous aurez besoin d'une application dédiée.
Pourquoi un One Time Password est-il sûr ?
Bien qu'ils semblent simples d’utilisation, l'envoi d'un OTP sur le téléphone portable d'un client requiert une technologie étonnamment poussée pour être mis en place. Les OTP envoyés par SMS utilisent des méthodes complexes pour garantir que seule la personne autorisée peut les utiliser pour se connecter à son compte personnel.
Les OTP utilisent des pratiques éprouvées
Les modèles courants pour la sécurisation des connexions, tels que l’authentification multifacteur (Authentification à deux facteurs - 2FA) et l'authentification forte du client (Strong Customer Authentication - SCA), partent du principe que la conbinaison de plusieurs facteurs, non suffisant individuellement, peut offrir une sécurité beaucoup plus élevée. Ces pratiques ne sont pas propres à l'OTP : ce sont des méthodes standard utilisées dans le secteur de la sécurité.
Les facteurs de l'authentification 2FA
En principe, ces facteurs combinent un objet possédé par une personne (un téléphone portable personnel) avec ce que cette personne sait (sa propre adresse électronique) et/ou ce qu'elle est, comme une question secrète sur le lieu de naissance d'un parent. La combinaison d'un appareil personnel, d'un code d'accès semi-aléatoire (l'OTP) et d'une courte fenêtre pour le saisir, est un cadre parfait pour une connexion sécurisée.
Génération du code OTP crypté
Le code One Time Password qui arrive sur le téléphone d'un client ne provient pas d'une liste et n'est pas stocké. Il est généré de la même manière que les clés cryptographiques qui protègent les comptes bancaires : la méthode "one-way hash function". Cette méthode présente un avantage important : ces codes sont relativement faciles à générer, mais pratiquement impossibles à "retracer", c'est-à-dire qu’il est impossible de savoir comment le code a été généré en l'observant.
Cela signifie que l'OTP que le client reçoit est imprévisible : même si un individu malveillant disposait de listes de millions d'OTP, il n'existe aucun modèle qui lui permettrait de savoir quel One Time Password sera généré à l'avenir pour un client donné.
L'utilisation des OTP est limitée dans le temps
Pour renforcer la sécurité, la durée de vie d'un OTP est très courte : rarement plus d'une demi-heure, et parfois seulement quelques minutes. Seul le client assis à son bureau qui essaie de se connecter à son compte, ou le client debout au comptoir de vente peut confirmer que son paiement est légitime.
D’ailleurs, il s'agit d'un autre avantage du SMS par rapport aux autres canaux. Bien que le SMS n'ait pas été conçu à l'origine comme une technologie de messagerie instantanée, en pratique, grâce au SMS, un message texte est envoyé en seulement quelques secondes à son destinataire. Celui-ci peut être situé n’importe où dans le monde.
Et les OTP sont à usage unique !
En outre, les OTP ne peuvent être utilisés que pour une seule occasion. Une fois expirés, ces mots de passe deviennent inutiles, et le même OTP ne peut pas être utilisé pour se connecter plus d'une fois, même pendant sa période de validité : c'est ce qu'on appelle la "non-reprise". Même si les OTP étaient faciles à pirater, ce facteur temps fait du piratage des OTP un exercice presque inutile.
Comment envoyer des One Time Password ?
Il n'est pas nécessaire de faire office de réseau mobile pour utiliser les OTP. Des fournisseurs tels que CM.com proposent les One Time Password en tant que service. Ainsi, vous pouvez accéder à une plateforme sécurisée pour recevoir des demandes d'OTP, les envoyer sous forme de SMS ou via un autre canal, et vérifier que les OTP ont été saisis correctement, afin que la transaction puisse avoir lieu.
Vous pouve intégrer la fonctionnalité d'envoi d'OTP à votre site web ou à votre application par le biais d'une API. C'est de cette manière que le site ou l’application identifie si l’OTP saisi est correct ou non, avec des critères tels que la vérification du respect du temps imparti. Lorsque vous recevez un OTP pour vous connecter à votre compte bancaire ou effectuer une transaction, l'organisation n'utilise pas un logiciel qu'elle a développé en interne, mais a recours un fournisseur de services OTP comme CM.com.
Avantages de l'utilisation des One Time Password
Les OTP sont largement populaires et intuitifs
Très peu de personnes ont besoin d'apprendre à utiliser un OTP ; les codes à usage unique sont une pratique courante pour bon nombres d'actions, de l'activation d'une carte bancaire à la réinitialisation d'un mot de passe. Et, bien sûr, dans un monde qui compte près de deux fois plus d'appareils mobiles que de personnes, presque toutes les personnes ayant besoin d'un OTP ont accès à un téléphone portable.
Une technologie éprouvée garantit une grande fiabilité
Les One Time Password envoyés par SMS ne sont pas infaillibles - ils peuvent parfois se perdre en cours de route - néanmoins la grande majorité d'entre eux sont livrés comme prévu, en quelques secondes. Et même dans le cas rare d'une livraison échue, le client peut simplement demander un autre OTP.
Les OTP répondent à un grand nombre de scénarios
Les utilisations des OTP sont multiples. Bien que les OTP soient surtout utilisés dans le secteur financier, ils sont de plus en plus courants dans tous secteurs d'activité, partout où l'identité d'un utilisateur ou ses droits d'accès doivent être vérifiés. Le principe général des OTP est qu'ils ajoutent une étape de sécurité supplémentaire à un processus déjà sécurisé - les "facteurs multiples" du TFA et du SCA.
L'ajout d'une telle authentification multifactorielle, signifie que même si l'adresse électronique et le mot de passe sont compromis, d'autres fraudes devront être commises avant qu'une tentative de connexion frauduleuse soit un un succès - comme le vol du téléphone portable du client.
Cas d'usage des OTP
Activation des cartes bancaires
Des millions de cartes bancaires sont envoyées chaque année. Chacune d’entre elles, doit être "activée", c'est-à-dire qu'il faut confirmer que la nouvelle carte est en possession de son propriétaire légitime. Cette activation s'effectue généralement au moyen d'un code OTP, souvent envoyé par SMS sur le téléphone du client.
Identification des transactions douteuses
Les logiciels de reconnaissance des fraudes s'appuient sur des modèles : les consommateurs ont tendance à agir de manière similaire à plusieurs reprises, par exemple en dépensant un montant prévisible le même jour chaque semaine dans une épicerie.
Si une transaction présente des caractéristiques inhabituelles - par exemple, si elle est effectuée dans un autre pays, pour un montant inhabituel ou simplement à un moment de la journée inhabituel - la transaction sera signalée comme étant "hors modèle". Un OTP peut souvent résoudre ces situations, en confirmant que la personne effectuant la transaction est bien celle qui y est autorisée.
Confirmation des transactions de grande valeur
Lorsque le prix d'une transaction dépasse un certain niveau, un OTP peut être utilisé pour confirmer que cette transition vient bien de l'initiative de la personne en question. Cette méthode est similaire à la saisie de votre code PIN lorsque votre paiement sans contact dépasse un certain montant (par exemple 50€ en France). De nombreux utilisateurs apprécient l'assurance supplémentaire qu'apporte un OTP dans de telles situations.
Traitement des mots de passe perdus
Un cas d'usage très courant des OTP est, bien sûr, celui des mots de passe perdus. Sur le Web aujourd'hui, les rappels de mots de passe sont de plus en plus rares, car les boîtes mail ne sont pas totalement sécurisées. Au lieu de cela, les utilisateurs sont généralement invités à réinitialiser leur mot de passe. Le One Time Password, généré et envoyé à la demande de l'utilisateur, permet à ce dernier de définir un nouveau mot de passe pour le site ou l'application qu'il visite.
Accès aux services publics
Les services gouvernementaux sont souvent difficiles d’accès. Effectivement, ces derniers donnent à un citoyen des comptes distincts pour les impôts personnels, les impôts professionnels, les dossiers médicaux, les permis de conduire, les demandes de passeport, etc. Les OTP peuvent être un facteur d'unification, aidant les citoyens à accéder aux différents services gouvernementaux sans trop de difficultés.
Reconnaissance des appareils peu familiers
Le consommateur type possède aujourd'hui plus d'un appareil, et beaucoup de ces appareils sont connectés à des réseaux mobiles - ce qui pose un problème aux créateurs de sites et d'applications, car de nombreux processus de sécurité vérifient les informations d'identification de l'appareil (connu ou non) ainsi que de l'utilisateur.
Les scénarios typiques sont les services de streaming où de nombreux appareils partagent une connexion. Un OTP permet de vérifier si le nouvel appareil est légitime - ou non.
Onboarding & Accueil
Tous les cas d'usage des OTP par SMS ne tournent pas autour du web et de la finance. L'"onboarding" - l'introduction d'un nouvel utilisateur dans un service quel qu'il soit, qu'il s'agisse de badges de sécurité pour des bâtiments ou de détenteurs de billets pour des festivals - utilise de plus en plus les OTP pour confirmer l'identité d'une personne.
Protection des informations privées
Certains ensembles de données contiennent des informations sensibles, comme le dossier médical d'une personne, mais doivent être accessibles à un certain nombre d'utilisateurs, comme les médecins. Les OTP remplissent plusieurs conditions dans ce cas : ils peuvent non seulement accorder l'accès aux bonnes personnes, mais aussi enregistrer qui a accédé à ces données et à quelle fréquence.