SMS OTP : qu’est-ce c’est ?

Acronyme anglais pour One Time Password (mot de passe à usage unique), la solution OTP est globalement utilisée pour lutter contre le piratage de données, l’usurpation d’identité et bien d’autres formes d’actions ou de programmes malveillants (malwares, etc.).

Le OTP participe en réalité à l’authentification forte. Cette dernière permet de vérifier l’identité du client dans divers cas : paiements en ligne, opérations sensibles (virement, ajout d’un RIB bénéficiaire, etc.) ou connexion à l’espace client bancaire. Dans une authentification forte, au moins deux éléments de la liste suivante doivent être vérifiés :

• un élément que seul le client connaît (mot de passe, code ou autre) ;
• un élément que seul le client possède (téléphone mobile, carte à puce, etc.) ;
• et une caractéristique personnelle du client (empreinte digitale, reconnaissance vocale ou autre).

L’avantage du OTP réside justement dans son usage unique. Il n’est valide que pour une session utilisateur ou transaction. C’est d’ailleurs pour cela que les banques s’en servent comme procédé éphémère. Un mot de passe classique peut être piraté ou mémorisé par une personne autre que l’utilisateur authentique. Le One Time Password comble ces lacunes.

Clever Technologies, éditeur français spécialisé dans le SMS depuis 1998, propose une solution OTP d’authentification par SMS en deux étapes. Vous pouvez donc recourir aux services de Cleversms pour votre entreprise et ils vous proposeront des offres adaptées à votre budget.

Étant donné que le mot de passe à usage unique entre dans l’authentification forte, il ne peut être utilisé de façon isolée. Il doit être associé à un processus bien précis. Il s’agit de la 2FA imposée par la DSP2.

DSP2 : que faut-il retenir ?

La DSP2 est la deuxième (2) Directive sur les Services de Paiement. Son but est d’instaurer un cadre juridique offrant une meilleure protection aux banques ainsi qu’à leurs clients face à la fraude. Cela concerne spécialement les diverses opérations effectuées depuis un compte bancaire. La DSP2 vise également à favoriser l’open banking.

L’open banking permet aux banques de partager leurs données avec d’autres acteurs du secteur financier, notamment les fintech (contraction de finance et technologie). En termes simples, cette dernière est l’équivalent en finance des biotechs en santé. Les données dont il est question peuvent être les services bancaires proposés, des données clients, des données géographiques, etc.

La DSP2 oblige certains établissements (banques, fintechs et e-commerçants) à sécuriser davantage les paiements en ligne et les opérations bancaires à travers les processus d’authentification forte. Lors des paiements en ligne, cette authentification forte permet de vérifier l’identité de la personne ayant initié l’achat concerné.

C’est là qu’intervient le système « 3D secure » encore appelé « Verified By Visa » et « MasterCard SecureCode ». Ce système consiste à envoyer un code temporaire (OTP) par SMS. Loin d’être nouvelle, cette méthode a déjà démontré son efficacité.

L’année 2018 en a d’ailleurs été la preuve, car selon l’Observatoire des moyens de paiements (OSMP), le taux de fraude des transactions authentifiées (0,07 %) était inférieur à celui des paiements non authentifiés ( 0,21 %).

2FA : comment cela fonctionne ?

Le sigle 2FA représente l’expression « authentification à double facteurs » (ou two-factor authentification en anglais). Encore appelée vérification en deux étapes, il s’agit de l’identification forte imposée par la DSP2. Elle renforce la sécurité en ajoutant un second moyen d’identification. Elle peut prendre diverses formes :

• l’utilisation d’un code tournant avec validation sur un autre appareil (appairage sur mobile) ;
• la génération d’une question secrète dont seul l’utilisateur connaît la réponse ;
• la reconnaissance faciale, vocale ou l’empreinte digitale ;
• l’utilisation d’une application d’authentification ;
• l’utilisation d’une clé cryptographique ;
• et bien entendu le One Time Password.

Ce dernier peut être un HOTP (HMAC-based One Time Password) ou un TOTP (Time-based One Time Password). Le premier est valide jusqu’à son utilisation ou jusqu’à l’utilisation de l’OTP suivant. Par contre, une fois généré, le second n’est utilisable que pendant une période limitée. Le TOTP est également le plus sécurisé des deux.

La double authentification par SMS via OTP est facile d’utilisation et aisément accessible. Elle ne nécessite pas de connaissance ou de configuration particulière pour le client. Une fois que vous l’avez intégrée à votre système, elle s’applique automatiquement à votre clientèle.

Vous avez d’ailleurs la possibilité de gérer la majorité des détails liés aux paiements grâce aux SMS. Il s’agit entre autres du rappel de paiement de factures et du recouvrement d’impayés. Ce sont autant de solutions que proposent les meilleurs experts, dont Cleversms.

Voilà ! Vous savez désormais comment fonctionne le système de paiement en ligne.