Plateforme mailing sms by

     01 69 31 39 6 |          Contact  |          Se connecter

     01 69 31 39 61      Contact  
      Se connecter

Plateforme SMS by

Nos autres solutions :   EMAILING   |   FAX   |   API SMTP


NOS ARTICLES DE BLOG


SMS OTP : pourquoi cette méthode est (encore) utilisée malgré les recommandations de l’ANSSI ?

Le code de vérification SMS, aussi appelé OTP SMS ou One-Time Password (mot de passe à usage unique) fait désormais partie de notre quotidien numérique : que ce soit pour créer un compte ou valider un paiement, il suffit simplement d’un code à 6 chiffres pour montrer patte blanche.


Mais derrière cette simplicité apparente se cache une réalité plus nuancée. Depuis plusieurs années, l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information, une autorité nationale réunissant des experts en cybersécurité) tire la sonnette d’alarme : le SMS OTP n’est pas aussi sécurisé qu’on le croit.


Alors faut-il abandonner totalement le SMS OTP ? Ou peut-on encore l’utiliser intelligemment dans une stratégie alliant sécurité et praticité ?


Nous vous proposons de faire le point dans cet article sur ce que vaut vraiment cet outil aujourd’hui, comment il fonctionne et quelles bonnes pratiques adopter en complémentarité.

Mais c’est quoi un OTP SMS, au juste ?

Avant de se demander s’il faut l’abandonner, penchons-nous sur ce qu’est l’OTP SMS ! C’est un code temporaire envoyé à un utilisateur pour vérifier son identité directement par SMS. En cybersécurité, on parle de facteur de possession : un élément unique que seul l’utilisateur possède (ici le smartphone) et utilisé comme preuve (ici en effectuant une action via le smartphone).


C’est simple, rapide, sans besoin d’installer quoi que ce soit. Et c’est là son principal atout !

Alors pourquoi l’ANSSI ne le recommande pas ?

L’ANSSI (avec la collaboration de la CNIL) a publié des recommandations officielles relatives à l'authentification multifacteur et aux mots de passe (mis à jour en 2021). Dans ce guide, elle déconseille l’usage du SMS OTP comme unique méthode d’authentification.

Pourquoi ? Car malgré son accessibilité, cette méthode présente plusieurs vulnérabilités connues : 

  • Interception des SMS via des logiciels malveillants (malwares) ou des antennes pirates
  • Attaques SIM Swapping où un pirate usurpe l’identité de l’utilisateur pour transférer son numéro vers une autre carte SIM
  • Code OTP non chiffré : les SMS ne sont pas protégés de bout en bout et peuvent donc être lus

Pour faire court : l’OTP SMS est intéressant mais reste insuffisant pour sécuriser des accès sensibles.

Ok, alors pourquoi on l’utilise encore ?

Et vous auriez raison de vous poser la question ! Car oui, le SMS OTP continue d’être un outil massivement utilisé, notamment en e-commerce, dans le milieu bancaire, etc. Et ce, pour plusieurs raisons : 

  • Facile à comprendre : inutile d’avoir le cerveau d’Einstein pour l’utiliser et y former ses utilisateurs.
  • Universel : tous les téléphones sont compatibles (même votre vieux Nokia au fond du tiroir - ou au fond du sachet de riz…)
  • Peu coûteux : quelques centimes par envoi seulement !
  • Simple à intégrer : compatible avec de nombreuses API (dont la nôtre !)

Donc non, l’OTP SMS n’est pas à jeter bêtement à la poubelle. C’est un bon compromis entre accessibilité et sécurité du moment qu’il est utilisé de façon transitoire ou complémentaire. Mais complémentaire à quoi ?

Quelles alternatives propose l’ANSSI ?

L’ANSSI recommande d’autres méthodes d’authentification plus robustes, comme par exemple : 

  • L’OTP via applications mobiles (TOTP, Time based One Time Password) : Google Authenticator, Microsoft Authenticator, etc. Comme les codes sont générés localement, il ne sont pas interceptables.
  • Tokens matériels (FIDO2) : c’est un petit objet physique (comme une clé USB) que vous branchez ou approchez de votre appareil pour prouver que c’est bien vous, un peu comme une carte magnétique d’accès… mais pour le numérique. Il assure une sécurité maximale malgré un coût supérieur si utilisé à grande échelle.
  • Authentification biométrique ou certificats électroniques qui reposent sur le facteur inhérent (qui on est) comme l’empreinte digitale, la reconnaissance faciale, etc.

L’idée ici, c’est de combiner au moins deux facteurs d’authentification de types différents

  • Ce que l’utilisateur sait (mot de passe, phrase secrète, etc.)
  • Ce que l’utilisateur possède (un téléphone, un token, etc.)
  • Ce que l’utilisateur est (empreinte, visage, etc.)

Quelques bonnes pratiques pour faire les choses proprement

Si vous utilisez encore le SMS OTP (ou projetez de le faire), pensez également à :

  • Limiter son usage à des cas non critiques : vérifier l’email de l’utilisateur, inscription simple, etc.
  • Le combiner avec une autre méthode (cf. celles présentées ci-dessus)
  • Surveiller les usages suspects : si plusieurs OTP sont envoyés, il faut possiblement s’alerter
  • Respecter la réglementation (RPGD, directive e-privacy)
  • Utiliser une passerelle SMS fiable : préférez une API sécurisée et stable (vous savez où nous trouver !)

Conclusion

Le SMS OTP reste un outil apprécié pour sa simplicité, mais un outil qui demeure insuffisant en raison de ses failles de sécurité. Utilisé dans le bon contexte et accompagné d’autres stratégie d’authentification, le SMS OTP peut néanmoins encore faire le job… à condition de ne pas lui laisser toutes les clés en main.

100% Français

Agence de conseil en marketing fondée en mai 2002, l’objectif d’Express-Mailing est depuis plus de 20 ans, de rendre accessible le marketing direct aux PME-PMI.
Fort d’un portefeuille de plus de 15 000 clients de tous horizons, Express-Mailing a su trouver son chemin et met aujourd’hui à votre service son équipe d’experts en délivrabilité et en gestion de projets e-marketing.

Contactez-nous

Express-Mailing ©
Société Axalone France APP301
1 rue Henri Poincaré
78711 Mantes-la-Ville
France

(+33) 01 69 31 39 61
Du lundi au jeudi de 9h à 18h
Et le vendredi de 9h à 17h

Nos outils multicanaux

Emailing, Fax et Sms.
Nous sommes développeurs de notre propre plateforme de communication multicanal et de nos propres API. Express-Mailing accompagne déjà plus de 10 000 clients TPE, PME et grands groupes dans leurs démarches marketing et de fidélisation. N’hésitez pas à prendre contact avec notre équipe pour une étude de projet personnalisée

Notre savoir-faire

Express-Mailing vous accompagne pour construire de A à Z vos opérations de marketing direct : stratégies de ciblage, conseils rédactionnels, briefs stratégiques, création de formulaires, mentions légales RGPD, exploitation des résultats.

Découvrez NOS SOLUTIONS :
EMAILING  |  FAX  |  SMS  |  API

Copyright 2002- 2025 © Axalone France - Tous droits réservés - Déclaration CNIL n° 1077613
Le site www.express-sms.com est édité  par Axalone France et hébergé par Booster Communication - Gestion des Cookies

Choix utilisateur pour les Cookies
Nous utilisons des cookies afin de vous proposer les meilleurs services possibles. Si vous déclinez l'utilisation de ces cookies, le site web pourrait ne pas fonctionner correctement.
Tout accepter
Tout décliner
Analytique
Outils utilisés pour analyser les données de navigation et mesurer l'efficacité du site internet afin de comprendre son fonctionnement.
Matomo
Accepter
Décliner
Sauvegarder