OTP SMS, OTP email : comment fonctionne l'authentification forte

Quand vous signez un contrat avec une solution comme Certyneo au niveau avancé (AES), vous recevez un code à usage unique par SMS ou par email avant de pouvoir valider. Ce code, appelé OTP (One-Time Password), est un maillon essentiel de la chaîne de preuve : il garantit que le signataire a bien accès au canal de communication enregistré à son nom. Voici comment fonctionne concrètement cette authentification forte et ce qu'elle prouve juridiquement.

Qu'est-ce qu'un OTP ?

Un OTP est un code numérique (généralement 6 à 8 chiffres) généré de manière aléatoire et valable une seule fois, pendant une courte durée (5 à 15 minutes). Il est transmis au signataire via un canal distinct de la session de signature (SMS sur son téléphone, email sur sa boîte personnelle) puis ressaisi sur l'écran de signature. Ce mécanisme combine deux facteurs d'authentification : quelque chose que le signataire connaît (son mot de passe ou son email) et quelque chose qu'il possède (son téléphone, sa boîte mail).

Pourquoi deux canaux ?

Le principe de l'authentification forte (MFA, Multi-Factor Authentication) repose sur l'indépendance des canaux. Si un attaquant intercepte l'email d'invitation à signer, il ne peut pas automatiquement lire le SMS envoyé au téléphone du signataire. Inversement, le vol du téléphone seul ne suffit pas si le signataire doit d'abord se connecter via son email. Cette séparation rend très difficile une usurpation d'identité à distance.

OTP et niveaux eIDAS

L'OTP par SMS ou email est au cœur du niveau avancé (AES) défini par eIDAS. L'article 26 du règlement exige qu'une signature avancée soit liée exclusivement au signataire, permette de l'identifier, soit créée avec des moyens sous son contrôle exclusif et soit liée aux données signées de telle sorte que toute modification ultérieure soit détectable. L'OTP satisfait les deux premiers critères : le lien exclusif (seul le signataire reçoit le code) et l'identification (vérification d'une identité préalablement enregistrée).

Ce que l'OTP NE fait pas

L'OTP prouve que quelqu'un qui avait accès au téléphone ou à l'email du signataire a validé la signature. Il ne prouve pas en soi que c'est bien la personne physique désignée qui a signé. Pour ça, il faut un contrôle amont : vérification préalable du numéro de téléphone, du nom du titulaire du compte email, voire contrôle d'identité par pièce officielle. Pour les enjeux élevés (contrats à gros montants, actes authentiques), seule la signature qualifiée (QES) avec vérification d'identité en personne ou PVID apporte une garantie équivalente à la signature manuscrite.

Bonnes pratiques côté émetteur

Si vous envoyez des enveloppes de signature, quelques réflexes à adopter : vérifiez toujours le numéro de téléphone du destinataire avant envoi (un OTP envoyé à un mauvais numéro n'a aucune valeur), préférez le mode AES avec double OTP (email + SMS) pour les contrats sensibles, et exploitez la piste d'audit de Certyneo pour documenter la chaîne : horodatage de l'envoi du code, horodatage de la saisie, adresse IP, user agent. En cas de contestation, ces métadonnées constituent la preuve.

L'avenir : passkeys et wallet EUDI

L'OTP par SMS n'est pas le futur de l'authentification forte : il est vulnérable au SIM swapping (échange frauduleux de carte SIM) et aux SMS interceptés sur les réseaux 2G. Les solutions émergentes — passkeys (WebAuthn/FIDO2), portefeuille d'identité numérique européen (EUDI Wallet prévu par eIDAS 2.0) — offriront une authentification forte intrinsèquement plus résistante. Certyneo suit ces évolutions et prévoit d'intégrer ces méthodes dans sa feuille de route 2026-2027.