Qu’est-ce que le TOTP ? Tout ce que vous devez savoir sur les mots de passe à usage unique basés sur le temps

Vous avez probablement déjà dû saisir un code à six chiffres à partir d’une application d’authentification lors de votre connexion en ligne. C’est ce que l’on appelle un mot de passe à usage unique basé sur le temps, ou TOTP, et c’est un moyen incroyablement simple de renforcer la sécurité de vos comptes en ligne.

Grâce à l’expiration rapide de ces codes en 30 à 60 secondes, il est presque impossible pour les cybercriminels d’accéder à votre compte, même s’ils parviennent à voler vos mots de passe. Nous allons explorer ce que sont les TOTP, comment ils fonctionnent et comment ils se comparent aux autres méthodes d’authentification.

Qu’est-ce que le TOTP ?

Un TOTP est un type de mot de passe à usage unique (OTP) qui génère des codes temporaires en utilisant le temps comme élément clé. Ces codes changent toutes les 30 à 60 secondes, ce qui les rend extrêmement difficiles à compromettre pour les cybercriminels. Dans le cas peu probable où ils découvriraient votre code, sa courte durée de vie le rendrait rapidement presque inutile pour un attaquant.

Le TOTP est une méthode d’authentification à deux facteurs (A2F) qui ajoute une couche de sécurité supplémentaire à votre nom d’utilisateur et à votre mot de passe. Il est pratique à utiliser — il vous suffit de générer le code à partir d’une application d’authentification — et sa nature temporelle le rend très sécurisé.

Comment fonctionne le TOTP ?

Pour faire simple, le TOTP fonctionne en partageant une clé secrète entre le service que vous protégez et votre application TOTP.

Lorsque vous activez l’A2F, vous scannez un QR code pour partager la clé secrète avec votre authentificateur TOTP. Les applications TOTP sont gratuites, et parmi les plus courantes figurent Google Authenticator et Microsoft Authenticator. Si vous utilisez un gestionnaire de mots de passe sécurisé, il se peut qu’il intègre un authentificateur A2F générant des codes TOTP. Proton Pass est l’un de ces gestionnaires de mots de passe ; il stocke vos mots de passe en toute sécurité et génère vos codes A2F, le tout dans une seule application.

Une fois la configuration initiale terminée, le service auquel vous vous connectez et l’application d’authentification se synchronisent pour calculer indépendamment le même code au même moment à l’aide de la clé secrète. Lorsque vous vous connecterez, vous serez invité à saisir un code A2F. Si le code du service correspond à celui que vous saisissez, vous serez connecté.

Les différences entre le TOTP et les autres mots de passe à usage unique

Le TOTP n’est que l’une des nombreuses méthodes de mot de passe à usage unique (OTP). Voici un aperçu rapide de la façon dont le TOTP se compare à ces dernières. Vous pouvez également trouver un guide plus complet sur la différence entre les TOTP, les OTP et les HOTP.

TOTP vs OTP

L’OTP est un terme générique désignant les mots de passe à usage unique. Le TOTP est un type d’OTP qui utilise un modèle basé sur le temps pour générer des codes OTP. Tous les TOTP sont des OTP, mais il existe d’autres méthodes d’OTP. Celles-ci incluent les codes par SMS et par e-mail, ainsi que le HOTP. Chaque méthode dispose de différents moyens de générer et d’envoyer votre code OTP.

TOTP vs HOTP

Les mots de passe à usage unique basés sur l’HMAC (HOTP) génèrent un nouveau code OTP uniquement lorsqu’ils sont demandés. Cela signifie que chaque code reste valide jusqu’à ce qu’un nouveau soit généré, ce qui les rend plus vulnérables à une compromission. Les codes TOTP s’actualisent automatiquement après 30 à 60 secondes, de sorte que les attaquants ont moins de temps pour utiliser les codes volés.

TOTP vs codes par SMS et par e-mail

Les codes par SMS et par e-mail sont transmis via les réseaux cellulaires et Internet, ce qui les rend vulnérables à l’interception. Si vous utilisez des réseaux mal sécurisés ou compromis, des attaquants pourraient espionner votre activité et obtenir vos codes OTP. En comparaison, les codes TOTP sont générés sur l’appareil et ne sont transmis sur aucun réseau, ce qui les rend plus sécurisés.

Les avantages du TOTP en matière de sécurité

L’utilisation du TOTP comme méthode d’OTP préférée présente plusieurs avantages en matière de sécurité.

• Codes limités dans le temps : les codes TOTP expirent en l’espace de 30 à 60 secondes avant qu’un nouveau code ne soit généré. Cela ne laisse presque aucun temps aux attaquants pour utiliser les codes TOTP volés, car les codes expirés ne peuvent pas être réutilisés.
• À l’abri de l’interception : les codes TOTP sont générés sur l’appareil. Ils ne sont pas transmis sur des réseaux où ils pourraient être interceptés en raison d’une mauvaise sécurité du réseau.
• Protection contre les fuites de données : si votre mot de passe est exposé lors d’une fuite de données, les codes TOTP fournissent une barrière supplémentaire contre les connexions non autorisées. Les attaquants ne peuvent pas accéder à votre compte sans votre application d’authentification.
• Fonctionne sur n’importe quel smartphone : le TOTP fonctionne directement depuis votre smartphone — pas besoin d’acheter un jeton matériel. Téléchargez simplement une application d’authentification sur votre appareil, et le tour est joué.

Le TOTP offre une excellente sécurité, mais il n’est pas parfait. La perte de votre appareil pourrait vous bloquer l’accès à vos comptes, veillez donc à toujours enregistrer des codes de sauvegarde. De plus, assurez-vous que l’horloge de vos appareils se synchronise automatiquement avec Internet, car des paramètres d’heure incorrects sont une cause fréquente d’échec du TOTP.

Sécurisez vos comptes avec le TOTP

Le TOTP améliore la sécurité de votre compte grâce à des codes basés sur le temps qui sont supérieurs aux autres méthodes d’OTP. Gérer plusieurs mots de passe et codes A2F ne doit pas être une corvée — utilisez simplement Proton Pass, un gestionnaire de mots de passe doté d’un authentificateur TOTP intégré.

Proton Pass combine le stockage et la génération de mots de passe avec un authentificateur A2F, ce qui évite de devoir changer d’application lors de la connexion et de télécharger des applications supplémentaires. Cela vous permet d’économiser un espace de stockage précieux et facilite la connexion avec l’A2F. Tout ce que vous stockez dans Proton Pass, y compris les codes que vous générez, est protégé par un puissant chiffrement de bout en bout.

Passez à la vitesse supérieure en matière de sécurité de connexion — activez le TOTP pour vos comptes et stockez tous vos mots de passe avec Proton Pass dès aujourd’hui.