L’authentification multifacteur, ou AMF, fait désormais partie intégrante du renforcement de la sécurité numérique de millions d’internautes. Le choix d’outils d’AMF est vaste, il revient donc à l’utilisateur de décider quel type de bouclier numérique il préfère. Parmi ces outils figure le mot de passe à usage unique, ou OTP.
Nous allons nous pencher sur un type particulier d’OTP appelé mot de passe à usage unique basé sur le temps, ou TOTP. Nous analyserons ce qui distingue cette méthode d’authentification multifacteur et les menaces auxquelles elle peut être confrontée. Nous verrons également comment elle diffère d’un autre type de mots de passe à usage unique appelés HOTP. À la fin de cet article, vous disposerez des outils essentiels pour améliorer votre sécurité en ligne.
Qu’est-ce qu’un OTP ?
Avant de nous pencher sur les détails concernant le TOTP et son fonctionnement, nous devons d’abord répondre à la question fondamentale : qu’est-ce qu’un OTP ? Nous avons déjà établi que l’acronyme signifie « mot de passe à usage unique ». Voyons cela de plus près.
Bien que la technologie derrière les OTP soit complexe, le nom est explicite : les mots de passe à usage unique sont des codes de sécurité que vous ne pouvez utiliser qu’une seule fois pour vous authentifier avant de les réinitialiser. En tant que tels, les OTP sont considérés comme dynamiques, contrairement aux mots de passe statiques auxquels nous sommes habitués dans notre vie numérique quotidienne.
L’algorithme OTP dynamique est ce qui les rend si efficaces en termes de protection et d’authentification des comptes. Les mots de passe statiques peuvent être plus faciles à déchiffrer, surtout s’ils ne sont pas régulièrement mis à jour. Le niveau de protection supplémentaire des mots de passe à usage unique qui changent en permanence s’est avérée efficace contre de nombreuses mesures d’usurpation d’identité.
Chaque OTP est unique et consiste en une combinaison de chiffres et, dans certains cas, de lettres. Cela permet un nombre presque infini de combinaisons aléatoires, ce qui rend le niveau de sécurité d’un OTP plus résistant aux attaques, bien qu’il puisse rencontrer certaines vulnérabilités dont nous parlerons plus loin.
Il existe deux types d’OTP :
Mots de passe à usage unique basés sur le temps (TOTP).
Mots de passe à usage unique basés sur le hachage (HOTP).
Ces mots de passe nécessitent deux informations pour fonctionner : la graine et le facteur de déplacement. Une graine est une clé secrète détenue par le générateur de mot de passe et le serveur. Un générateur de mots de passe, également appelé jeton OTP, est un outil utilisé pour créer les codes d’authentification temporaires.
Les TOTP et les HOTP sont couramment utilisés pour permettre l’authentification multifacteur. Le type de mot de passe à usage unique utilisé dépend de la méthode d’AMF choisie. En règle générale, le mot de passe à usage unique est généré via un matériel de génération de code, une application d’authentification ou un SMS.
Le facteur de déplacement est ce que vous devez connaître pour différencier les TOTP des HOTP. Alors que la graine reste statique, le facteur de déplacement change et est déterminé soit par un compte à rebours, soit par un compteur. Nous verrons cela plus en détails en explorant chacun des types de mots de passe à usage unique.
Certains utilisateurs peuvent supposer que les mots de passe à usage unique sont similaires aux codes de sauvegarde fournis par diverses applications en tant que mesure de récupération supplémentaire. Cependant, ils fonctionnent différemment : vous recevez un nombre limité de codes de secours au cas où vous perdriez l’accès à votre méthode d’authentification principale, et vous pouvez utiliser chacun d’eux une fois pour vous connecter à votre compte. En revanche, le nombre d’OTP pouvant être générés est illimité.
Pour mieux comprendre comment fonctionne un OTP, voyons de plus près les deux types d’OTP, en commençant par les TOTP.
Qu’est-ce qu’un TOTP ?
Nous avons établi les principes clés derrière les OTP, alors pour être plus précis, découvrons ce qu’est un TOTP. La seconde partie de l’acronyme signifie « mot de passe à usage unique », tandis que le T fait référence à sa principale caractéristique : « basé sur le temps » (ou time-based en anglais).
Essentiellement, les mots de passe à usage unique basés sur le temps sont des mots de passe qui expirent dans un certain délai prédéterminé, appelé « timestep » ou intervalle de temps. Différents outils d’authentification TOTP utilisent différents intervalles de temps, mais la validité d’un code peut varier entre 15 secondes et 1 minute. Cependant, il est possible qu’un TOTP dure plus longtemps, par exemple plusieurs jours.
Si vous ne saisissez pas votre code d’authentification unique pendant cette période, le mot de passe se réinitialise et vous devez saisir un nouveau code. Le facteur de temps est le principal avantage d’un TOTP en matière de cybersécurité. Étant donné que les mots de passe aléatoires changent si rapidement, ils sont plus difficiles à cibler lors d’attaques.
La méthode la plus populaire pour recevoir ces codes consiste à utiliser des applications d’authentification TOTP. Cependant, des outils matériels tels que des générateurs de mots de passe peuvent également être utilisés pour acquérir des codes d’authentification.
Quel que soit le logiciel ou le matériel que vous utilisez pour générer un OTP, le résultat est le même. Si une personne a activé l’authentification multifacteur sur un compte, celle-ci reçoit un code secret temporisé lors d’une tentative de connexion et l’utilise pour vérifier son identité. Prenons un exemple pour voir comment cela fonctionne en pratique.
Comment fonctionne un TOTP ?
Supposons que nous utilisons un authentificateur TOTP pour nous connecter à votre compte Instagram. Pour commencer, vous devez activer l’authentification à deux facteurs sur l’application :
Accédez à votre Centre de comptes Instagram.
Appuyez sur Mot de passe et sécurité.
Appuyez sur Authentification à deux facteurs et sélectionnez votre compte.
Choisissez la méthode d’authentification à deux facteurs souhaitée. Dans cet exemple, une application d’authentification est l’option recommandée.
L’authentification TOTP est effectuée à l’aide d’une application telle que Google Authenticator. Lorsque vous ajoutez un compte à cette application à l’aide d’un code QR ou d’une clé de configuration, vous pouvez choisir si vous souhaitez que les codes soient basés sur le temps ou sur un compteur. Dans ce cas, choisissez basé sur le temps.
Voici comment vous connecter à votre compte Instagram à l’aide d’un mot de passe à usage unique basé sur le temps :
Ouvrez l’application Instagram.
Choisissez Se connecter.
Saisissez votre nom d’utilisateur ou votre adresse e-mail et votre mot de passe. Si vous avez oublié votre mot de passe, vous trouverez ici un guide de récupération.
Vous serez invité à saisir votre clé de sécurité. Ouvrez votre application Google Authenticator et copiez le code TOTP à six chiffres.
Collez le code dans l’invite Instagram.
Gardez à l’ésprit que le mot de passe est réinitialisé toutes les 15 secondes. Si le temps est écoulé, il vous suffit de copier et de coller la clé nouvellement générée.
La procédure est similaire sur différentes applications. Dans de nombreux cas, vous pouvez également choisir de recevoir un SMS avec un code à durée limitée ou d’utiliser un dispositif générateur de code. Cela peut être utile si vous rencontrez des problèmes de connectivité réseau et que vous ne pouvez pas accéder à l’application d’authentification.
Qu’est-ce qu’un HOTP ?
Outre les TOTP, il existe un autre type populaire de mots de passe à usage unique : les HOTP. Cette forme de mots de passe à usage unique existe depuis près de 20 ans, il est donc probable que vous l’ayez déjà rencontrée.
Penchons-nous sur les deux acronymes. Le premier est HOTP, qui signifie « mot de passe à usage unique basé sur HMAC ». HMAC signifie « code d’authentification de message basé sur le hachage ». Pour simplifier les choses, nous désignons généralement ce type de mot de passe par mots de passe à usage unique basés sur le hachage, ou nous nous en tenons simplement son acronyme.
Sinon, HOTP est une authentification basée sur un événement ou basée sur un compteur. L’événement en question est la tentative de vérification. Contrairement aux TOTP qui s’actualisent à un intervalle spécifique, les HOTP sont renouvelés chaque fois que vous vous connectez à votre compte. Ainsi, lorsque vous vous connectez, le compteur augmente pour vérifier qu’un mot de passe a bien été utilisé et un nouveau code est créé.
Les jetons HOTP peuvent également être actualisés manuellement. Par exemple, si vous utilisez un code basé sur un compteur sur votre application Google Authenticator, vous pouvez appuyer sur le bouton d’actualisation et recevoir un nouveau code. Il s’agit d’une fonctionnalité utile en cas d’attaques : si une personne malveillante a acquis un HOTP, la victime peut l’actualiser manuellement, ainsi, le code piraté ne sera pas valide.
Ces dernières années, les HOTP ont lentement perdu en popularité par rapport aux mots de passe à usage unique basés sur le temps en raison de problèmes de sécurité. Bien que les deux soient utilisés comme mesures d’AMF, certaines institutions ont commencé à supprimer progressivement les HOTP en faveur des TOTP. Voyons les causes de cette évolution et les différences générales entre les deux types d’OTP.
HOTP vs TOTP : Différences et avantages
En termes de protection, HOTP et TOTP sont des options fiables. Cependant, les utilisateurs peuvent avoir différentes raisons de préférer l’un à l’autre, que ce soit en raison d’une innovation technique ou d’une préférence personnelle.
Les HOTP sont apparus en 2005, suivis des TOTP quelques années plus tard en 2008. Chronologiquement, cela fait de TOTP l’étape suivante de l’évolution d’OTP. Néanmoins, les deux types de mots de passe à usage unique sont encore utilisés.
En général, TOTP est considéré comme plus sûr que HOTP en raison de la variable temporelle. Comme vous pouvez l’imaginer, il est plus difficile d’acquérir des codes de sécurité lorsqu’ils s’actualisent rapidement, alors qu’un HOTP peut rester inutilisé pendant des semaines, voire des mois, entre vos autorisations de connexion. Il s’agit d’un point à garder à l’esprit lors de la planification contre d’éventuelles infractions de données.
Vérifier une tentative de connexion est souvent une question urgente. Les TOTP peuvent être compliqués si vous avez un appareil lent ou des problèmes de connectivité. Si l’application à laquelle vous vous connectez se bloque ou si votre connexion Internet ou haut débit disparaît soudainement ou est interrompue, vous devrez vous précipiter pour saisir le code ou attendre qu’il soit réinitialisé. Cela peut être frustrant, surtout avec des intervalles de temps plus courts.
L’accessibilité est un autre facteur à ne pas négliger. La vitesse de mise à jour des TOTP est prédéterminée et ne peut généralement pas être réglée par les utilisateurs eux-mêmes. Cela rend les mots de passe temporisés moins accessibles aux personnes qui peuvent avoir des difficultés motrices ou cognitives. Dans ce cas, les mots de passe HOTP peuvent être plus pratiques car l’utilisateur dispose de plus de temps pour saisir le code avant qu’il ne se réinitialise.
Cela dit, les HOTP peuvent également rencontrer des problèmes de validité. Par exemple, si vous continuez à actualiser l’application d’authentification, le compteur peut se bloquer et produire un code qui ne sera pas lu comme valide, vous empêchant potentiellement de vous connecter à un compte pendant un certain temps.
Voyons un aperçu des principales différences entre HOTP et TOTP :
Bien qu’il n’y ait pas beaucoup de différences entre les deux types de mots de passe à usage unique, celles-ci sont plutôt considérables. Comme vous pouvez le constater, même si TOTP est une version améliorée des mots de passe à usage unique à certains égards, ce n’est pas le choix optimal. En fonction de vos besoins personnels les HOTP peuvent être considérés comme une solution plus favorable.
Que sont les bots OTP ou robots OTP et comment les éviter ?
Comme pour de nombreuses mesures de sécurité, les personnes malveillantes cherchent des moyens de contourner et de compromettre les mots de passe à usage unique. Compte tenu du facteur de temps et du nombre de combinaisons de mots de passe possibles, l’intervention humaine ne suffit pas à elle seule pour contourner les algorithmes d’OTP. Cela a donc conduit au développement de robots OTP.
Les bots OTP sont des programmes automatisés que les pirates utilisent pour extraire des mots de passe à usage unique et éliminer les défenses d’authentification multifacteur. Les pirates utilisent souvent des bots OTP en combinaison avec des stratégies de piratage psychologique, s’appuyant fortement sur le facteur d’erreur humaine pour y parvenir.
Par exemple, un pirate informatique peut utiliser un site d’hameçonnage, conduisant la victime à révéler sans le savoir ses identifiants de connexion. Ces données sont ensuite transmises au bot OTP qui contacte la victime et la convainc de transmettre son mot de passe à usage unique. Le pirate peut alors utiliser ces informations pour se connecter au compte avant la victime et causer des dommages.
Les bots OTP ont tendance à être plus efficaces contre les utilisateurs qui comptent sur les SMS pour recevoir le code unique. Au cours des dernières années, l’utilisation de l’authentification multifacteur par SMS a été déconseillée par plusieurs entités dans le monde. Par exemple, le National Institute of Standards and Technology (NIST) basé aux États-Unis a conseillé l’abandon de l’authentification par SMS en 2016.
En ce qui concerne TOTP et HOTP, ce dernier est plus vulnérable aux attaques. Si une victime est amenée à révéler un code de récupération, mais ne l’utilise pas elle-même, les pirates ont la possibilité de s’approprier le compte. Avec les mots de passe TOTP, il est plus difficile de s’adapter au délai limité, ce qui les rend plus robustes. Il est également peu probable qu’un mot de passe TOTP expiré soit disponible à l’avenir en raison du nombre considérable de combinaisons alphanumériques possibles.
Étant donné que les bots OTP font généralement partie des attaques d’hameçonnage, le moyen le plus efficace de ne pas être victime est de suivre les mesures de prévention standard de piratage psychologique, comme éviter de cliquer sur des liens suspects et ne pas révéler vos identifiants de connexion à des tiers inconnus. Vous devez également vous assurer que l’appareil que vous utilisez pour acquérir vos codes OTP est sécurisé. Si vous utilisez un logiciel et que vous perdez l’appareil, vous pouvez généralement le verrouiller et l’effacer à distance.
Les mots de passe statiques ont-ils encore de l’importance avec les TOTP ?
Étant donné que les codes TOTP constituent un niveau de sécurité robuste, vous vous demandez peut être si les mots de passe statiques ordinaires sont encore pertinents. Bien sûr !
Bien que les mots de passe à usage unique soient efficaces, ils ne sont pas impénétrables et fonctionnent mieux en tant que niveau de sécurité supplémentaire. Assurer que votre première ligne de défense (le mot de passe de votre compte) est robuste reste essentiel.
NordPass Business peut vous aider à rester résilient et à protéger vos comptes. Le coffre-fort de mots de passe chiffré est une solution unique pour toutes vos données sensibles, notamment vos mots de passe, vos coordonnées bancaires, et plus. Pour un niveau de sécurité supplémentaire, vous pouvez activer l’authentification multifacteur. L’AMF de NordPass est compatible avec les codes de secours, les clés de sécurité et les applications d’authentification, notamment Google Authenticator et Authy.