Terme du glossaire · O
OTP (One-Time Password / code OTP)
Définition
Un OTP (One-Time Password, mot de passe à usage unique — parfois appelé « code OTP » en français) est un code numérique temporaire, généralement à 4 à 8 chiffres, généré aléatoirement et valable pour une seule session ou transaction. Une fois utilisé ou expiré (typiquement 5 minutes), il devient invalide — même si un attaquant le rejouait, il serait rejeté.
Trois principales variantes d'OTP :
• OTP SMS : code envoyé par message texte au numéro de téléphone du signataire. Le plus répandu côté grand public car aucune application requise. Vulnérabilités connues : SIM swapping, interception SS7 — c'est pourquoi l'OTP SMS suffit pour la signature avancée (AES) mais n'est plus accepté pour la QES (l'ANSSI et l'ENISA recommandent depuis 2020 de basculer vers des facteurs plus forts).
• OTP e-mail : code envoyé par e-mail. Plus facile à mettre en œuvre, mais hérite des faiblesses de la sécurité du compte e-mail du destinataire. Acceptable pour la signature simple (SES).
• TOTP (Time-based OTP) : code généré localement par une application sur le téléphone du signataire (Google Authenticator, Authy, 1Password). Synchronisé via une clé secrète partagée à l'inscription. Pas de canal réseau au moment de la signature — résistant aux interceptions. Standard RFC 6238.
OTP et signature électronique : dans la signature électronique avancée, l'envoi d'un OTP par e-mail ou SMS crée un lien vérifiable entre le document signé et l'identité du signataire via son canal de communication (téléphone ou e-mail). L'OTP est consigné dans la piste d'audit du document (timestamp, IP, identifiant du canal) — preuve opposable en cas de contestation.
Mise en œuvre Certyneo : OTP SMS via Twilio Verify sur les enveloppes AES — déclenché juste avant la signature, validité 5 minutes, 3 tentatives. TOTP disponible pour les comptes administrateurs en alternative à l'OTP SMS. Voir aussi MFA et authentification forte. En savoir plus sur l'authentification du signataire →
Trois principales variantes d'OTP :
• OTP SMS : code envoyé par message texte au numéro de téléphone du signataire. Le plus répandu côté grand public car aucune application requise. Vulnérabilités connues : SIM swapping, interception SS7 — c'est pourquoi l'OTP SMS suffit pour la signature avancée (AES) mais n'est plus accepté pour la QES (l'ANSSI et l'ENISA recommandent depuis 2020 de basculer vers des facteurs plus forts).
• OTP e-mail : code envoyé par e-mail. Plus facile à mettre en œuvre, mais hérite des faiblesses de la sécurité du compte e-mail du destinataire. Acceptable pour la signature simple (SES).
• TOTP (Time-based OTP) : code généré localement par une application sur le téléphone du signataire (Google Authenticator, Authy, 1Password). Synchronisé via une clé secrète partagée à l'inscription. Pas de canal réseau au moment de la signature — résistant aux interceptions. Standard RFC 6238.
OTP et signature électronique : dans la signature électronique avancée, l'envoi d'un OTP par e-mail ou SMS crée un lien vérifiable entre le document signé et l'identité du signataire via son canal de communication (téléphone ou e-mail). L'OTP est consigné dans la piste d'audit du document (timestamp, IP, identifiant du canal) — preuve opposable en cas de contestation.
Mise en œuvre Certyneo : OTP SMS via Twilio Verify sur les enveloppes AES — déclenché juste avant la signature, validité 5 minutes, 3 tentatives. TOTP disponible pour les comptes administrateurs en alternative à l'OTP SMS. Voir aussi MFA et authentification forte. En savoir plus sur l'authentification du signataire →
Guides associés
Termes associés
Prêt à mettre en pratique ces concepts ?
Certyneo vous permet de créer des enveloppes de signature conformes eIDAS en quelques clics, sans installation.