Si vous avez déjà utilisé un jeton matériel pour approuver des transactions bancaires numériques ou si vous avez appuyé sur une YubiKey pour générer un code de connexion, vous avez utilisé la technologie de mot de passe à usage unique basé sur l’HMAC (HOTP). Pour vous aider à comprendre comment vous pouvez utiliser le HOTP pour protéger vos comptes, nous allons explorer son fonctionnement, ses avantages et ses limites, et le comparer avec d’autres méthodes d’OTP.

Qu’est-ce que le HOTP ?

HOTP signifie mot de passe à usage unique basé sur l’HMAC. C’est une méthode d’authentification à deux facteurs (A2F) qui génère des codes de connexion à usage unique à la demande.

L’HMAC, ou code d’authentification de message basé sur le hachage, est une technique cryptographique qui utilise une clé secrète et une fonction de hachage pour produire une valeur sécurisée et inviolable. Le HOTP applique l’HMAC à un compteur pour garantir que chaque code d’authentification est unique et ne peut être utilisé qu’une seule fois.

Parce que les codes HOTP restent valides jusqu’à ce qu’ils soient utilisés ou remplacés, ils sont particulièrement adaptés au travail à distance et à d’autres environnements où une synchronisation temporelle fiable ou une connectivité constante n’est pas possible.

Comment fonctionne le HOTP ?

L’authentification HOTP repose sur deux composants partagés : une clé secrète et un compteur. L’appareil de l’utilisateur et le serveur d’authentification stockent tous deux ces valeurs et les utilisent pour générer indépendamment le même code à usage unique.

Configuration : lorsqu’un jeton matériel est configuré, une clé secrète est partagée entre l’appareil et le serveur d’application, puis stockée de manière sécurisée des deux côtés.

Génération d’un code : l’appareil utilise une fonction de hachage cryptographique appelée HMAC pour combiner la clé secrète avec la valeur actuelle du compteur. Le résultat est un mot de passe à usage unique court et imprévisible.

Authentification : lorsque vous saisissez le code HOTP, le serveur effectue le même calcul en utilisant sa propre copie de la clé secrète et du compteur. Si les codes correspondent, l’accès est accordé.

Le système de compteur HOTP expliqué

Le HOTP repose sur un système de compteur unique partagé entre votre appareil et le serveur d’authentification. Chaque fois que vous générez un nouveau code, le compteur s’incrémente. Après une connexion réussie, le serveur met également à jour son compteur. Tant que les compteurs de l’appareil et du serveur restent synchronisés, les codes correspondront et vous accorderont l’accès.

Imaginez le HOTP comme un carnet de coupons numérotés que vous détachez et utilisez l’un après l’autre. Un coupon utilisé ne peut pas être réutilisé, et vous devez passer au suivant. Le système de compteur HOTP fonctionne de manière similaire.

Authentification HOTP vs autres OTP

HOTP vs OTP

Les mots de passe à usage unique (OTP) sont un terme général désignant les différents mots de passe à usage unique que nous utilisons pour l’A2F. Le HOTP est un type spécifique d’OTP qui repose sur un système basé sur un compteur pour générer ses codes.

HOTP vs TOTP

Les mots de passe à usage unique basés sur le temps (TOTP) génèrent automatiquement un nouveau code toutes les 30 à 60 secondes. L’exemple le plus courant de TOTP est celui des codes générés par les applications d’authentification. Le HOTP, en revanche, génère un nouveau code uniquement lorsqu’il est demandé, en utilisant un compteur plutôt qu’un minuteur.

Cette différence affecte la sécurité de chaque méthode OTP. L’expiration rapide de TOTP offre aux attaquants une fenêtre d’opportunité très réduite. À l’inverse, les codes HOTP peuvent rester valides pendant des jours, voire des semaines.

Cependant, HOTP est plus fiable dans les situations où les appareils ont des horloges peu fiables. Par exemple, pour des équipements situés dans des emplacements reculés avec des connexions internet faibles.

HOTP contre codes SMS et e-mail

Les codes OTP envoyés par SMS et par e-mail sont susceptibles d’être interceptés, car ils doivent transiter par des réseaux cellulaires et internet. HOTP génère les codes sur l’appareil, ce qui le rend plus sécurisé tout en garantissant un accès constant, même en cas de perturbation du réseau.

Quels sont les avantages et les limites de HOTP ?

Les avantages de l’authentification HOTP

Il y a plusieurs avantages à utiliser HOTP comme votre méthode OTP préférée :

  • Fonctionne hors ligne : HOTP peut fonctionner hors ligne, ce qui le rend idéal pour les emplacements disposant d’un accès internet limité.
  • Pas de contrainte de temps : les codes HOTP n’expirent pas automatiquement, vous pouvez donc prendre votre temps pour saisir le code.
  • Algorithme reconnu : HOTP est défini par la norme RFC 4226(nouvelle fenêtre), ce qui garantit la compatibilité entre les différents fournisseurs de logiciels et jetons matériels de divers constructeurs.
  • Moins de dépendances : le système basé sur un compteur de HOTP ne dépend pas d’horloges précises ou d’une connectivité continue, ce qui peut le rendre plus prévisible dans certains environnements.

Les limites de l’authentification HOTP

Comme pour toutes les technologies, HOTP s’accompagne de considérations importantes :

  • Validité indéfinie : les codes HOTP peuvent rester actifs indéfiniment si aucun nouveau code n’est généré. Cela donne plus de temps aux attaquants pour exploiter des codes volés.
  • Désynchronisation du compteur : si vous générez des codes sans les utiliser, les compteurs de votre appareil et du serveur peuvent se désynchroniser, ce qui entraîne des échecs d’authentification.
  • Gestion manuelle : comme les codes n’expirent pas automatiquement, vous devez penser à générer de nouveaux codes après chaque utilisation.

Faites un pas vers une sécurité renforcée de vos mots de passe

Bien que HOTP n’offre pas l’avantage de sécurité lié à l’expiration automatique ni la commodité des codes SMS, son système basé sur un compteur présente des avantages uniques. Il s’agit d’un système d’A2F éprouvé avec un accès hors ligne fiable, et l’absence de contrainte de temps pourrait le rendre préférable pour certains.
Pour gérer facilement vos mots de passe et vos codes d’A2F dans un seul emplacement chiffré, pensez à utiliser Proton Pass. Notre gestionnaire de mots de passe sécurisé doté d’un authentificateur d’A2F intégré protège tous vos identifiants et codes d’A2F grâce au chiffrement de bout en bout. Garder votre vie numérique sécurisée et pratique n’a jamais été aussi simple.