Longtemps considérés comme un progrès face aux mots de passe classiques, les OTP montrent aujourd’hui leurs limites face au phishing en temps réel, au SIM swapping et aux attaques automatisées. Fabrice de Vésian, Sales Director South EMEA et France chez Yubico, défend dans cet avis d’expert le passage aux passkeys et aux clés de sécurité matérielles, plus résistantes aux interceptions et plus simples à déployer pour les entreprises.
Le Microsoft Digital Defense Report 2025 révèle une recrudescence des attaques par interception en temps réel, capables de détourner instantanément les codes de validation. Si les mots de passe à usage unique (OTP) ont été utilisés pour l’authentification à deux facteurs depuis des années car ils surpassent les mots de passe statiques et limitent les risques de relecture, leurs faiblesses face aux outils automatisés modernes deviennent aujourd’hui critiques.
Les OTP sécurisent l’authentification en générant un code unique et temporaire via un algorithme HMAC et un secret partagé entre le client et le serveur. Qu’ils reposent sur le temps (TOTP) ou sur un compteur d’événements (HOTP), la synchronisation est essentielle pour que le serveur valide le code, avec une marge de tolérance prévue pour les décalages horaires. Bien que diffusés par SMS, applications mobiles ou jetons matériels, ces codes montrent aujourd’hui leurs limites. Si les OTP demeurent un standard du 2FA, leur manque d’ergonomie et leur vulnérabilité face aux attaques sophistiquées comme le phishing en temps réel soulignent désormais l’urgence d’implémenter des solutions plus robustes.
Les limites et risques des OTP
Bien que les OTP marquent un progrès par rapport aux mots de passe statiques, l’évolution des cybermenaces révèle aujourd’hui leurs limites structurelles. L’efficacité des OTP comme mesure de sécurité autonome est de plus en plus contestée face à des vecteurs d’attaque devenus performants.
Les cybercriminels ont notamment industrialisé l’interception de ces codes. Via des kits de phishing automatisés, ils capturent en temps réel les identifiants et les OTP sur des sites miroirs pour les rejouer instantanément sur les plateformes légitimes. À cela s’ajoutent les attaques Man-in-the-Middle, où l’assaillant s’interpose entre l’utilisateur et le serveur, ainsi que le SIM swapping. Cette dernière technique permet de détourner le numéro de téléphone de la victime pour réceptionner ses SMS d’authentification, neutralisant ainsi la protection du second facteur. Même les méthodes basées sur des applications ne sont pas infaillibles, restant exposées aux malwares mobiles capables d’intercepter les codes localement.
Au-delà de la sécurité pure, la dépendance à un matériel ou logiciel externe pose des défis logistiques et ergonomiques. Les problèmes de synchronisation des flux temporels ou la perte de l’appareil peuvent entraîner un blocage définitif du compte, d’autant que les utilisateurs omettent souvent de sauvegarder leurs codes de secours. Cette lourdeur opérationnelle, accentuée par les délais de réception des SMS ou les zones de faible réseau, frustre les utilisateurs et les pousse parfois à adopter des pratiques moins sécurisées.
Enfin, le déploiement des OTP repose sur une infrastructure complexe et coûteuse. Le stockage centralisé des secrets partagés sur les serveurs constitue d’ailleurs une cible critique pour les attaquants. Face à ces vulnérabilités techniques et aux contraintes d’usage, il devient impératif de se tourner vers des solutions alliant robustesse face aux menaces actuelles et fluidité d’expérience.
Les passkeys comme nouveau standard d’authentification
Les passkeys et les clés de sécurité matérielles offrent une alternative robuste pour éliminer le mot de passe en proposant une authentification bien plus sûre que les protocoles traditionnels. Contrairement aux OTP, ces technologies reposent sur la cryptographie asymétrique où une clé publique est stockée sur le serveur tandis qu’une clé privée demeure sécurisée sur l’appareil de l’utilisateur. Cette méthode, fondée sur les normes FIDO2, garantit une résistance native au phishing puisque la clé privée n’est jamais transférée lors de la connexion, empêchant ainsi toute interception de données. Ces solutions innovantes assurent d’ailleurs une compatibilité étendue avec divers protocoles tels que WebAuthn, U2F ou Smart Card.
Au-delà du gain de sécurité, cette transition apporte des bénéfices économiques et opérationnels majeurs pour les organisations. L’adoption du sans mot de passe simplifie considérablement le parcours utilisateur, qui n’a plus qu’à utiliser la biométrie ou un code PIN local pour s’identifier. Cette fluidité réduit drastiquement les coûts de support informatique liés aux oublis de mots de passe ou aux échecs de réception de SMS. En s’affranchissant des services tiers et des aléas des réseaux mobiles, l’authentification gagne en fiabilité tout en permettant aux entreprises de se conformer aux exigences réglementaires les plus strictes en matière de protection des données.
Face à la vulnérabilité croissante des OTP, il est désormais impératif pour les organisations de migrer vers ces mécanismes modernes. En remplaçant des processus de saisie encombrants par une expérience intuitive, elles renforcent non seulement leur défense contre les attaques sophistiquées, mais améliorent également la productivité globale et l’acceptation des mesures de sécurité par les utilisateurs.
Alors, les entreprises qui s’appuient désormais sur ces technologies tournées vers l’avenir investissent donc non seulement dans une sécurité améliorée, mais aussi dans une infrastructure informatique plus efficace et conviviale, qui répond aux exigences de conformité. Le passage aux méthodes d’authentification modernes est donc une étape décisive pour relever les défis de la transformation numérique de manière globale et se
