OTP e-mail et signature électronique : forces, limites et architecture sûre
L’OTP e-mail réduit certains risques mais ne prouve pas une identité forte : voici comment le concevoir, le tracer et décider quand ajouter un second facteur.
L’OTP e-mail est populaire parce qu’il ne demande ni application ni numéro de téléphone. Il améliore un simple lien de signature, mais sa portée est régulièrement surestimée. Une boîte compromise, transférée ou partagée peut recevoir le code ; un administrateur de messagerie peut parfois intervenir ; un fraudeur peut contrôler à la fois l’invitation et l’OTP.
La bonne question n’est donc pas « l’OTP est-il sécurisé ? », mais « quels scénarios couvre-t-il et quelles preuves produit-il dans notre contexte ? ».
Concevoir le cycle de vie du challenge
Générez le code avec un générateur cryptographiquement sûr. Stockez uniquement une empreinte associée à un sel ou un secret adapté. Fixez une durée courte, un nombre maximal de tentatives et une limitation des renvois. L’invalidation doit être atomique après succès.
Le challenge doit référencer l’empreinte exacte du document et la session. Si l’adresse e-mail, le document ou la politique change, invalidez le challenge. Sans cette liaison, un code obtenu pour une action pourrait être réutilisé pour une autre.
Journaliser sans créer un nouveau risque
Conservez les événements nécessaires : demande, envoi, remise lorsque disponible, vérification, échec, expiration et renvoi. Masquez le destinataire dans les vues courantes et ne journalisez jamais le code en clair. Les données de sécurité doivent avoir une durée de conservation justifiée.
Ajoutez identifiant de corrélation, version de politique, session, user-agent et contexte réseau. Présentez l’adresse IP comme un indice, pas comme une identité. Protégez les journaux contre la modification et surveillez les anomalies de volume.
Décider quand renforcer
Un deuxième canal n’est utile que s’il est réellement indépendant. E-mail et SMS peuvent tous deux être compromis, mais la combinaison augmente le coût de l’attaque. WebAuthn, identité vérifiée ou relation client préexistante répondent à d’autres risques.
Définissez des seuils : montant, changement de coordonnées, premier acte avec le signataire, pouvoir d’engagement, pays inhabituel ou signal de fraude. Le système doit pouvoir augmenter le niveau sans imposer la friction maximale à tous.
Grille de décision
| Menace | Ce que l’OTP apporte | Contrôle complémentaire |
|---|---|---|
| Lien transféré | Le destinataire doit accéder à l’e-mail | Invitation nominative et alerte |
| Boîte compromise | Peu de protection supplémentaire | Second canal ou identité forte |
| Brute force | Aucune sans limites | Tentatives, délai et détection |
| Réutilisation | Aucune sans liaison | Challenge unique lié au document |
Plan d’action
- Utiliser un CSPRNG
- Ne stocker aucun OTP en clair
- Limiter essais et renvois
- Lier challenge, document et session
- Invalider lors de tout changement
- Définir des règles de renforcement par risque
Questions fréquentes
Six chiffres suffisent-ils ?
Ils peuvent convenir avec une durée très courte, un usage unique et une limitation stricte. Sans ces contrôles, l’espace réduit est vulnérable.
Peut-on envoyer le document avec l’OTP ?
Évitez d’exposer inutilement un document sensible avant authentification. Le message peut contenir une invitation minimale.
L’OTP e-mail constitue-t-il une MFA ?
Pas à lui seul. Il faut analyser les facteurs et leur indépendance dans le parcours complet.
Sources officielles et techniques
Important
Ce contenu fournit une information générale et ne remplace pas un avis juridique ou un audit de conformité. Le niveau de signature adapté dépend du contexte, de l’identification, de l’authentification et des preuves effectivement produites.