Un OTP (One-Time Password) est un mot de passe unique généré automatiquement qui expire rapidement et ne pas être réutilisé. Les OTP sont majoritairement connus pour être utilisés dans le cadre de l’authentification multifacteur. Simples à déployer et largement compatibles avec les services utilisés en entreprise, découvrons ensemble le fonctionnement des seconds facteurs d’OTP.
Sommaire
La place de l’OTP dans la famille de l’authentification
La place de l’OTP dans la famille de l’authentification
Avant de décrypter le fonctionnement d’un OTP, il convient de connaître sa place dans la famille des facteurs d’authentification.
Tout d’abord et lorsqu’on parle d’authentification, il y a d’un côté le service (le vérifieur) et l’utilisateur (le vérifié). Cela implique donc une information, qui peut être un secret ou un challenge, transmise par l’utilisateur au service en charge de vérifier l’exactitude des informations reçues.
Les facteurs d’authentification
Dans ce processus de vérification des secrets, on distingue 3 facteurs d’authentification distincts :
- Le facteur de connaissance : il s’agit d’une information connue par l’utilisateur, comme un mot de passe.
- Le facteur de possession : c’est une information que seul l’utilisateur possède et qui est généralement enregistrée dans un support, comme un badge ou une carte à puce.
- Le facteur intrinsèque : cette information caractérise directement l’utilisateur et lui est propre. Cela peut être une empreinte digitale, une voix ou encore un iris.
Les méthodes d’authentification
Pour qualifier le degré d’authentification des différents facteurs ci-dessus, plusieurs techniques d’authentification existent, parmi lesquelles on distingue :
- L’authentification simple, qui ne repose que sur un seul facteur d’authentification
- L’authentification à deux facteurs ou authentification multifacteur, qui repose sur au moins deux facteurs.
On considère une authentification comme forte lorsqu’elle combine au moins deux facteurs d’authentification différents parmi les ceux cités ci-dessus, avec au moins un facteur fort.
Bon à savoir
Authentifiation forte & authentification multifacteur, deux méthodes distinctes
La MFA (authentification multifacteur) est souvent confondue avec l’appellation authentification forte. Or, une authentification est dite forte, qu’elle soit multifacteur ou non, lorsqu’elle contient au moins un facteur fort d’authentification.
- L’authentification multifacteur fait intervenir plusieurs catégories de facteurs. Cependant, ces derniers pris indépendamment ou ensemble ne sont pas forcément considérés comme étant forts. Par exemple, un mot de passe (facteur faible) associé à un code d’authentification smartphone, ne peut pas être considéré comme un processus d’authentification forte.
- L’authentification forte repose quant à elle généralement sur un mécanisme cryptographique dont les paramètres et la sécurité sont jugés robustes. L’élément secret est alors le plus souvent une clef cryptographique. Par exemple, un OTP, un élément de sécurité matériel, ou encore une technologie inhérente comme la biométrie sont considérés comme des facteurs forts.
Tout savoir sur l’OTP
S’authentifier par One-Time Password est un moyen privilégié pour renforcer la sécurité des authentifications d’une entreprise. Avec leur validité limitée, ces codes générés par un objet de confiance sont plus difficiles à pirater pour un malfaiteur n’ayant pas accès à ce même objet.
Par ailleurs, l’OTP (qui est considéré comme un facteur fort par l’ANSSI), présente un parfait équilibre entre le niveau de sécurité robuste qu’il apporte pour protéger les authentifications et la facilité avec laquelle il peut être configuré. Le rapport bénéfice / difficulté d’implantation est donc largement gagnant pour les entreprises.
One-Time password : quels cas d’usage ?
La mise en place d’OTP dans le cadre de l’authentification multifacteur s’est largement démocratisée en entreprise ces dernières années. En cause, la hausse des cyberattaques à l’encontre d’entreprises, et surtout, la montée en flèche de l’ingénierie sociale.
Dans le monde du travail, l’OTP trouve notamment son utilité dans les cas suivants :
- Les transactions sur internet impliquant de l’argent
- La connexion à un serveur sur lequel figurent des données sensibles,
- Le télétravail, lorsqu’un collaborateur n’a pas accès au réseau sécurisé de l’entreprise, et qu’un VPN n’a pas été mis en place.
Comment fonctionne un OTP ?
Les One-Time Password sont basés sur un algorithme, qui génère un code unique à chaque tentative d’authentification. Ce code change à chaque nouvelle tentative d’authentification. Dans ce mécanisme, le générateur d’OTP et le serveur d’authentification jouent un rôle clef.
Lors d’une authentification, le générateur d’OTP possédé par l’utilisateur fournit à ce même utilisateur un mot de passe à usage unique d’authentification. Le générateur peut être installé sur un téléphone mobile, sur un objet dédié comme une carte ou encore sur un token USB.
Lorsque le générateur d’OTP fourni au collaborateur un mot de passe à usage unique, le serveur d’authentification vérifie le One Time Password. Si les informations sont correctes, le vérificateur a la preuve que la génération est issue de la clé secrète du début et l’authentification a donc lieu avec succès.
L’OTP peut se présente sous deux formes possibles :
Les HOTP (HMAC-based One-Time Password)
Un HOTP (HMAC-based One-Time Password), qui est un mot de passe à usage unique basé sur un compteur. Pour initialiser un HOTP, le serveur génère une clé secrète, et la transmet au token de l’utilisateur.
Pour ensuite générer l’HOTP, le token se base sur un compteur qu’il convient de synchroniser entre les deux parties lors de la première connexion, et qui comptabilise chaque tentative de connexion. L’HOTP est donc en partie basée sur le temps courant.
Lors de la première étape, le serveur transmet une clé cryptographique secrète à l’objet de confiance. À partir de ce moment-là, plus aucun secret n’est transmis entre le serveur et le token. Le mot de passe est généré à partir de la clé secrète et du compteur, et le tout est “hashé” par un mécanisme cryptographique côté serveur et côté token.
Les TOTP (Time based One Time Password)
Le fonctionnement d’un TOTP est sensiblement le même que l’HOTP, sauf qu’il est basé sur l’heure et non sur un compteur. Cela évite donc les problématiques de synchronisation entre l’utilisateur et le serveur.
Les limites de l’OTP
Si l’OTP est considéré comme un facteur fort et permet de démocratiser la MFA facilement, il présente néanmoins quelques limites.
En effet, il implique généralement la responsabilité de l’utilisateur, qui doit recopier le code reçu lui-même. Par ailleurs, les quelques secondes pendant lesquelles le One-Time Password est valable impliquent aussi une fenêtre d’attaque potentielle pour un hackeur. C’est notamment le cas avec les attaques Man in the Middle (MitM), durant laquelle l’agresseur intercepte et relaie secrètement des messages entre deux éléments qui pensent communiquer directement l’un avec l’autre.
Enfin, quelques services ne sont pas compatibles avec l’OTP, le rendant inapplicable à certaines situations.
Pour plus de sécurité sur les services particulièrement sensibles, des standards comme FIDO ou WebAuthn sont beaucoup plus difficiles à hacker, mais sont moins largement compatibles que l’OTP.
Enfin, en cybersécurité, les attaques contre les OTP sont relativement faibles par rapport aux attaques de phishing globales. Hacker un OTP demande beaucoup plus d’efforts pour un cyberattaquant.
| 💡 | Démocratiser l’OTP est donc un excellent premier pas pour ajouter une couche de sécurité supplémentaire lors des authentifications en entreprise. |
OneWave garde le meilleur de l’authentification par OTP
Comment faire adhérer les collaborateurs à l’OTP ?
Avec la OneWave, nous limitons les contraintes et potentielles failles de sécurité que peut présenter l’OTP pour n’en garder que le meilleur.
Ainsi, nous avons remarqué que l’OTP et plus largement la 2FA remportaient difficilement l’adhésion des collaborateurs car ils rajoutent une étape supplémentaire à chaque authentification. Le fait de contraindre l’utilisateur à faire un geste supplémentaire ou à adopter un processus compliqué présente donc le risque de ne pas susciter son adhésion.
Gommer les contraintes de l’OTP au profit de l’expérience utilisateur
Afin de minimiser ces contraintes et de limiter le rôle de l’utilisateur, nous avons pris le parti d’automatiser l’ensemble du processus de connexion. L’OTP est stocké sur un objet de confiance (la carte), protégé par un capteur biométrique, permettant une authentification en un seul geste.
Ainsi, la faille humaine est minimisée car le One Time Password est invisible pour l’utilisateur. Il est géré directement par la carte et le serveur.
La clé cryptographique est stockée directement dans un élément de sécurité matérielle, notre carte OneWave. L’OTP prouve ensuite au serveur que l’utilisateur possède la clé cryptographique, sans pour autant la dévoiler.
C’est cette preuve qui permet une authentification forte en un temps record, sans solliciter d’actions particulières de l’utilisateur à part un déverrouillage biométrique.
L’authentification par OTP est certainement le moyen le plus simple pour déployer la MFA en entreprise. Relativement robuste et facile d’utilisation, il rend les attaques plus difficiles pour un cybercriminel. Néanmoins, l’OTP comporte des limites car il implique la responsabilité de l’utilisateur et conserve une petite fenêtre d’attaque.
Pour tirer le meilleur parti de l’OTP et protéger efficacement votre entreprise, nous vous conseillons donc d’utiliser un objet de confiance comme la OneWave, dont le stockage de la clé cryptographique se fait directement sur la carte connectée. Son déploiement et son adhésion auprès des collaborateurs se font naturellement, car la contrainte du geste s’efface derrière une simple empreinte biométrique.
Ce qu’il faut retenir
- L’OTP est un facteur d’authentification fort, utilisé dans le cadre de la MFA.
- Le One-Time Password est l’un des moyens les plus simples pour démocratiser l’authentification forte en entreprise et sécuriser les authentifications.
- Chez OneWave, nous avons pris le meilleur de l’OTP, en gommant ses contraintes pour qu’il soit plus facilement accepté par les collaborateurs.
A lire également
→ MFA : quelle solution choisir ?
→ Antiphishing : comment se prémunir contre le hameçonnage ?