Les applications d’authentification, les jetons matériels et les codes SMS sont des méthodes d’authentification courantes que vous rencontrerez lors de la configuration de l’authentification à deux facteurs (A2F). Elles reposent toutes sur des mots de passe à usage unique (OTP). Les protocoles TOTP et HOTP sont deux types d’OTP standardisés, tandis que les codes par SMS et par e-mail sont d’autres méthodes courantes de transmission d’OTP. Bien qu’ils répondent fondamentalement au même besoin de base, leurs implémentations diffèrent, ce qui leur confère des avantages et des limites qui leur sont propres. Dans cet article, nous allons détailler les différences entre HOTP, TOTP et OTP et expliquer quelle option est la plus adaptée aux différents cas d’utilisation.
Comprendre les protocoles HOTP, TOTP et OTP
Mot de passe à usage unique (OTP)
Les codes OTP sont des codes temporaires, parfois appelés mots de passe à usage unique ou codes A2F, qui ne sont utilisés qu’une seule fois. Ils ne remplacent pas les mots de passe ; ils fournissent plutôt une couche de sécurité supplémentaire. Les codes OTP sont couramment utilisés dans les applications bancaires pour la vérification de l’identité lors de la saisie des identifiants ou lors de la configuration d’un compte en ligne.
Remarque : OTP est le terme générique désignant les différentes formes de mots de passe à usage unique, notamment TOTP, HOTP et les e-mails ou SMS.
Mot de passe à usage unique basé sur le temps (TOTP)
Les codes TOTP sont généralement des codes à 6 chiffres générés par des applications d’authentification. Ils sont valables environ 30 secondes (parfois jusqu’à 60 secondes, selon le service). Lorsqu’un code expire, il n’est plus fonctionnel et un nouveau code est généré. Le fonctionnement basé sur le temps du TOTP le rend extrêmement sécurisé, car il limite la marge de manœuvre des attaquants pour utiliser un code volé.
Mot de passe à usage unique basé sur HMAC (HOTP)
Les HOTP se trouvent généralement dans des jetons physiques comme les YubiKeys et reposent sur un système basé sur un compteur pour générer des codes. Ce système fonctionne de manière similaire à un carnet de tickets numérotés — il existe un ordre séquentiel de codes qui est comparé au système. Tant que le jeton physique et le serveur d’application restent synchronisés, l’accès vous est accordé.
Contrairement au TOTP, les codes HOTP n’expirent pas selon un minuteur. Ils restent valides jusqu’à ce que vous les utilisiez ou génériez un nouveau code. Cela les rend idéaux pour les scénarios hors ligne, mais cela signifie également que si vous générez un code et ne l’utilisez pas, il reste une clé valide qu’un attaquant pourrait trouver et utiliser.
HOTP, TOTP et OTP : différences clés
Le TOTP et le HOTP sont tous deux des types d’OTP avec des méthodes de génération différentes. Par exemple, si vous comparez le TOTP à l’OTP, vous comparez probablement les codes basés sur le temps des applications d’authentification aux méthodes d’OTP générales telles que les codes par SMS et par e-mail.
| Codes par SMS/e-mail | TOTP | HOTP | |
| Validité du code | Variable (de quelques minutes à plusieurs heures) | 30 à 60 secondes | Jusqu’à ce qu’un nouveau code soit généré |
| Sécurité* | Faible | Élevée | Modérée |
| Complexité de la configuration | Aucune | Faible | Modérée |
| Nécessite un réseau actif | Oui | Non | Non |
| Matériel supplémentaire | Aucune | Aucune | Jeton matériel |
*Niveau de sécurité basé sur les fenêtres de validité du code et le risque d’interception.
Sécurité
Le HOTP, le TOTP et l’OTP offrent différents niveaux de sécurité, les principaux facteurs à prendre en compte étant le temps d’exposition et la méthode de transmission.
Le TOTP offre généralement une sécurité plus forte que les codes par SMS ou e-mail, car les codes sont générés sur l’appareil et ont une validité courte. Si des attaquants parviennent d’une manière ou d’une autre à obtenir votre code TOTP, celui-ci devient inutile.
Le HOTP repose sur des bases cryptographiques, offrant une sécurité solide. Cependant, comme les codes HOTP n’expirent pas selon un minuteur, les fenêtres de validité potentiellement longues pourraient faire des codes volés une vulnérabilité.
Les codes par SMS et e-mail sont les moins sécurisés du lot. Ils transitent par des réseaux qui peuvent être interceptés ou redirigés, ce qui les rend plus vulnérables aux attaques par échange de carte SIM (SIM swap) ou par hameçonnage..
Remarque : aucune méthode OTP n’est à l’abri des attaques d’ingénierie sociale, telles que le hameçonnage. Il est important de savoir repérer le hameçonnage pour bien se défendre.
| Codes par SMS/e-mail | TOTP | HOTP |
| Sensible à l’interception en raison de la nécessité d’un réseau actif | Temps minimal pour que les attaquants exploitent les codes volés | Une longue validité offre de plus grandes opportunités d’attaque |
| Les plateformes non chiffrées facilitent le vol de codes | Risque d’interception plus faible, car les codes sont générés sur l’appareil | Sécurité solide reposant sur des bases cryptographiques |
Expérience utilisateur
La complexité de la configuration, la pression temporelle et la fiabilité affectent l’expérience utilisateur de ces trois méthodes.
Le TOTP est fiable et pratique. La configuration est simple (souvent un simple scan de QR code), et les codes sont générés même sans réseau actif. Cependant, l’expiration rapide du code crée une pression temporelle, ce qui peut s’avérer frustrant pour les utilisateurs plus lents ou ceux qui gèrent plusieurs comptes.
Le HOTP est beaucoup plus souple en comparaison, sans aucune contrainte de temps. La configuration est cependant bien plus complexe et peut nécessiter l’achat de matériel supplémentaire.
Les codes par SMS et e-mail sont les plus simples, sans aucune configuration requise, mais ils dépendent de la connectivité réseau, ce qui peut entraîner des retards en cas de panne ou de perturbation.
| Codes par SMS/e-mail | TOTP | HOTP |
| Aucune configuration requise | Configuration simple via QR code avec une application d’authentification A2F | Configuration complexe, peut nécessiter du matériel supplémentaire |
| Légère pression temporelle, certains codes n’expirant qu’après quelques heures | La pression temporelle peut générer de la frustration | Aucune pression temporelle |
| Entièrement dépendant d’un réseau actif pour la réception du code | Fonctionne de manière fiable même sans connexion réseau | Fonctionne hors ligne, mais des problèmes de synchronisation peuvent survenir |
Limites
Les limites propres à chaque méthode affecteront comment et quand vous les utiliserez. Les codes par SMS et e-mail fonctionnent avec vos appareils existants, mais leur dépendance à votre réseau et à vos connexions Internet peut entraîner des retards de réception de code qui pourraient même dépasser leur durée de validité.
Le TOTP ne nécessite pas de connexion réseau pour générer des codes, mais il exige que votre smartphone soit synchronisé temporellement avec le serveur pour que votre code fonctionne. Le meilleur moyen de s’en assurer est d’activer la synchronisation automatique de l’horloge de votre appareil avec Internet. Ainsi, lorsque vous voyagez, la synchronisation de l’heure reste active.
Avec le HOTP, générer de nouveaux codes hors ligne peut être avantageux lorsque la connectivité réseau est médiocre. C’est toutefois une arme à double tranchant. Regénérer des codes sans les utiliser peut désynchroniser votre appareil du serveur, créant ainsi des échecs d’authentification. De plus, la régénération manuelle requise avec le HOTP fait peser une lourde responsabilité en matière de sécurité sur l’utilisateur.
| Codes par SMS/e-mail | TOTP | HOTP |
| Les zones de mauvaise couverture réseau peuvent entraîner des retards importants dans la réception des codes | L’heure de l’appareil doit être synchronisée avec celle du serveur, même en voyage | Peut se désynchroniser si trop de codes sont générés mais non utilisés |
Quelle méthode OTP devez-vous utiliser ?
En résumé, le TOTP est la meilleure norme pour la plupart des gens, tandis que l’HOTP répond à des besoins spécifiques hors ligne. Les deux sont supérieurs aux SMS.
Bien que les besoins individuels varient, le TOTP semble être le choix le plus équilibré dans la plupart des situations. Sa nature temporelle offre une couche de sécurité supplémentaire, et son accessibilité sur smartphone en fait un choix pratique et sécurisé pour les comptes auxquels vous accédez régulièrement. Cependant, pour une protection encore plus forte contre l’hameçonnage, les méthodes matérielles telles que FIDO2 et les clés d’accès vont plus loin que n’importe quelle méthode OTP.
Stockez vos mots de passe et générez des OTP en toute sécurité
Gérer les mots de passe et les codes d’authentification TOTP peut s’avérer fastidieux — passer constamment d’une application à l’autre lors de la saisie de vos identifiants réduit le temps déjà limité dont vous disposez pour saisir les codes. Proton Pass est un gestionnaire de mots de passe sécurisé qui réduit ces frictions grâce à notre fonctionnalité A2F intégrée (TOTP). Accédez à vos mots de passe, vos codes A2F et bien plus encore à partir d’un coffre-fort chiffré et sécurisé.
