L’OTP (one time password) SMS consiste à recevoir, par exemple au moment d’un paiement sur Internet, un code transmis via un SMS. Même si ce dispositif nous paraît fiable, il s’avère néanmoins insuffisamment sécurisé à l’usage. C’est pourquoi à partir de septembre 2019, son utilisation ne sera plus possible sauf pour le paiement de petits montants n’excédant pas 30 euros.
En effet la directive du Parlement européen et du Conseil de l’Europe n° 2015/2366 du 25 novembre 2015 dite DSP2, en ses articles 97 et 98, impose à compter du 14 septembre 2019 une authentification forte pour la consultation des comptes et opérations engageantes.
Rappelons que l’authentification repose sur des éléments de natures différentes appelés facteurs. Il en existe trois principaux :
« ce que je connais et suis seul à connaître » : mot de passe, code PIN ou numéro d’identification personnel…
« ce que je possède et suis le seul à posséder » : ordinateur, token, carte à puce, téléphone portable…
« ce que je suis » (caractéristique physique, biométrie) : empreinte digitale, image de la paume de la main, battements du cœur, voix…
L’utilisation simple ou combinée de plusieurs de ces facteurs permet ainsi de définir : l’authentification simple qui ne repose que sur un seul facteur, par exemple l’utilisateur indique simplement son mot de passe après s’être identifié grâce à son login ;
l’authentification forte qui repose sur au moins deux facteurs, par exemple avec la carte bancaire que l’on possède, activée grâce au code PIN que l’on connaît.
L’OTP SMS ne peut être considéré comme un moyen d’authentification forte dans la mesure où l’utilisateur ne met en œuvre qu’un seul facteur d’authentification, le téléphone en sa possession. Le code transmis via SMS n’est pas retenu comme facteur d’authentification.
Heureusement d’autres dispositifs d’authentification existent, déjà largement utilisés comme les token (sorte de petite calculette que vous êtes seul à posséder et dont vous devez connaître le mot de passe pour générer un code d’accès) ou plus récent le système Mobile Connect activé à partir de votre téléphone portable dont la puce est utilisée pour conserver votre code PIN de validation, à saisir lors de toute demande d’accès. Bien d’autres dispositifs existent ou ne manqueront pas de voir le jour. Leur simplicité de mise en œuvre, leur convivialité et leur interopérabilité décideront de leur développement.