Meta
Messages professionnels

Qu’est-ce qu’un mot de passe à usage unique et comment fonctionne-t-il ?

Une personne vérifie une transaction via WhatsApp avec une méthode d’authentification par mot de passe à usage unique (TOTP)

La vérification de la clientèle peut s’avérer délicate. Les entreprises ont besoin d’un moyen sécurisé de vérifier l’identité des utilisateurs et utilisatrices pour empêcher tout accès non autorisé à leurs comptes ou systèmes. En même temps, elles doivent limiter les difficultés liées à l’authentification qui pourraient entraîner l’abandon de l’utilisateur·ice ou des taux de conversion réduits. Les méthodes d’authentification traditionnelles peuvent limiter et affecter cet équilibre essentiel. Les mots de passe à usage unique (ou codes d’accès) sont un moyen simple et sécurisé d’authentifier les personnes qui utilisent un canal pratique et très visible.

Dans cet article, vous découvrirez ce que sont les mots de passe à usage unique, leur fonctionnement, leurs avantages pour les entreprises et des exemples de mots de passe à usage unique de la plateforme WhatsApp Business. Commençons par définir ce que sont les mots de passe à usage unique.

Qu’est-ce qu’un mot de passe à usage unique ?

Un mot de passe à usage unique est un code unique et temporaire utilisé pour vérifier l’identité d’une personne, généralement lorsqu’elle se connecte à son compte ou effectue une transaction. Ce mot de passe peut être un code à quatre ou six chiffres (par exemple, 9237 ou A87K90) qui change à chaque fois que le code est généré.

Un exemple courant de mot de passe à usage unique est celui d’une personne qui accepte de recevoir des codes de vérification WhatsApp de la part d’une entreprise, comme une banque ou un e-commerçant. Lors d’une tentative de connexion, l’entreprise peut vérifier l’identité de la personne et envoyer un code de sécurité unique directement via WhatsApp. Elle doit saisir ce code pour terminer le processus de connexion ou d’authentification.

Cette approche s’appuie sur les messages d’authentification sur WhatsApp qui sont chiffrés lors de leur envoi pour renforcer la sécurité. Cette solution permet d’éviter les faiblesses des combinaisons traditionnelles de nom d’utilisateur et de mot de passe, tout en utilisant un canal que la clientèle connaît déjà et adore : WhatsApp.

Fonctionnement des mots de passe à usage unique

exemple d’authentification par mot de passe à usage unique TOTP basé sur le temps pour une vérification de sécurité sur l’application whatsapp business

Les mots de passe à usage unique fonctionnent en envoyant des codes alphanumériques ou des numéros générés par le biais de canaux de confiance tels que WhatsApp, les SMS et les e-mails. Ce type d’authentification est essentiel pour valider l’identité d’une personne en cas de réinitialisation du mot de passe ou de récupération de compte, par exemple.

Processus de vérification par mot de passe à usage unique

Le processus de mot de passe à usage unique suit une approche standardisée qui équilibre la sécurité et l’expérience d’utilisation. Cette méthode garantit que seules les personnes autorisées peuvent accéder aux comptes ou effectuer des transactions sensibles :

  1. L’utilisateur·ice effectue une action : un·e utilisateur·ice tente de créer un compte, de récupérer un compte ou d’effectuer un achat. Ces actions lancent la vérification du mot de passe à usage unique.
  2. Le système génère un mot de passe à usage unique : un mot de passe unique est généré à l’aide d’algorithmes de chiffrement tels que TOTP (basé sur le temps) ou HOTP (basé sur le hachage). En savoir plus sur ce sujet dans la section suivante.
  3. Le système envoie un mot de passe à usage unique à l’utilisateur·ice : le mot de passe à usage unique est envoyé à l’utilisateur·ice par message, SMS, e-mail, notification push, appel et plus encore.
  4. L’utilisateur·ice reçoit le mot de passe à usage unique : L’utilisateur·ice reçoit le code de vérification et le saisit dans l’interface de demande pour vérifier son identité.
  5. Le système vérifie l’utilisateur·ice : en cas de vérification positive, l’utilisateur·ice peut réaliser l’action voulue.
  6. Le système empêche l’accès : En cas d’erreur, l’utilisateur·ice est refusé·e l’accès, ce qui empêche potentiellement les personnes malveillantes d’effectuer des actions critiques.

La génération du mot de passe à usage unique se fait généralement en quelques secondes, ce qui rend le processus rapide et fluide pour les personnes qui l’utilisent. Étant donné que les codes sont partagés en temps quasi réel, cela permet de minimiser les problèmes rencontrés par la clientèle. Une fois le mot de passe utilisé, il n’est plus valide et ne peut pas être réutilisé.

Remarque : l’utilisation d’un mot de passe et d’un mot de passe à usage unique constitue une forme d’authentification à deux facteurs (2FA).

Principaux types de mots de passe à usage unique

4 exemples de mots de passe à usage unique TOTP basés sur le temps pour la récupération de nouveau compte et l’authentification des commandes via WhatsApp Business

Voyons à présent les deux types de mots de passe à usage unique : l’authentification TOTP et l’authentification HOTP. Étant donné que les deux sont utilisés dans les systèmes 2FA et MFA (authentification multifacteur), il est facile de les confondre. Définissons-les un peu plus.

Les mots de passe à usage unique sont générés par un algorithme HMAC (code d’authentification de message basé sur des hachages), qui est l’algorithme de base. Cet algorithme combine une clé secrète et une fonction mathématique (fonction de hachage) pour garantir qu’un message est unique et authentique. Il agit comme une empreinte digitale qui prouve qu’un message n’a pas été altéré et qu’il provient d’une source fiable. Néanmoins :

  • Les mots de passe à usage unique basés sur des clés secrètes ou sur des codes HMAC permettent de créer des mots de passe uniques et à usage unique grâce à une clé secrète partagée et à un compteur. Ce compteur suit chaque mot de passe à usage unique généré et calcule un nouveau code à chaque demande.
  • Les mots de passe à usage unique basés sur le temps utilisent également l’algorithme HMAC, mais automatisent le compteur d’évènements avec un compteur basé sur le temps. Cela signifie qu’une personne doit saisir le code reçu dans un délai donné, faute de quoi il devient automatiquement inutilisable. Grâce à son compteur de temps, l’authentification TOTP est généralement considérée comme plus sécurisée, car elle limite le temps dont dispose un pirate pour exploiter les codes.

Avantages professionnels des mots de passe à usage unique par rapport aux mots de passe statiques

Par rapport aux mots de passe statiques, les mots de passe à usage unique offrent des avantages mesurables pour l’entreprise, notamment en matière de sécurité et d’expérience d’utilisation :

  • Une sécurité renforcée : étant donné qu’ils ne peuvent être utilisés qu’une seule fois, ils peuvent être plus sûrs que les mots de passe statiques. En revanche, les mots de passe statiques peuvent être utilisés à plusieurs reprises jusqu’à ce qu’ils soient modifiés.
  • Une confiance renforcée de la clientèle : cette solution de sécurité supplémentaire rassure la clientèle sur la protection de ses comptes, en particulier lors des transactions à haut risque comme les paiements ou les modifications de compte.
  • Une expérience utilisateur·ice simplifiée : les mots de passe à usage unique permettent de se connecter de manière simple, sécurisée et pratique. Lorsqu’il est effectué sur un canal largement utilisé comme WhatsApp, le processus d’authentification devient familier et simple pour la plupart des personnes.
  • Conformité : les mots de passe à usage unique permettent aux entreprises de répondre aux exigences de conformité en matière de sécurité tout en maintenant leur efficacité opérationnelle.

Comment Meta a amélioré ses taux de diffusion et de conversion grâce aux messages d’authentification contenant un mot de passe à usage unique sur WhatsApp

Auparavant, sur les technologies Meta, les messages d’authentification étaient envoyés par des canaux tels que les SMS pour vérifier l’identité des personnes qui avaient besoin d’accéder à leur compte, qui créaient un nouveau compte ou qui récupéraient un mot de passe ou qui effectuaient une authentification à deux facteurs. Cependant, les textos peuvent tarder à être reçus et n’intègrent pas d’indicateurs clairs de distribution, entre autres inconvénients.

En envoyant ces messages de vérification via WhatsApp, Meta a renforcé sa sécurité et amélioré son expérience d’utilisation. L’envoi de mots de passe à usage unique par message d’authentification sur WhatsApp s’accompagne de fonctionnalités interactives et faciles d’utilisation, qui permettent de vérifier rapidement les personnes et ainsi d’augmenter la probabilité qu’elles terminent le parcours d’authentification.

Résultats :

  • 20 % d’augmentation du taux de récupération de comptes sur Instagram*
  • 11 % d’augmentation du taux de récupération de comptes sur Facebook*
  • 9 % d’augmentation de la création de comptes sur Instagram**

« Selon nous, l’utilisation de WhatsApp pour l’envoi d’un mot de passe à usage unique par message d’authentification offre plusieurs avantages, notamment une meilleure expérience d’utilisation, une distribution fiable et sécurisée des messages, une couverture étendue et un ciblage amélioré. Grâce à ces fonctionnalités, nous avons amélioré les taux de diffusion et de conversion, ce qui a finalement incité davantage de personnes à revenir vers nos technologies. »

Francisco Varela
Vice-président, Équipe chargée de la croissance, Meta

Recommandations pour l’implémentation des mots de passe à usage unique dans votre entreprise

Un type de processus d’authentification par mot de passe à usage unique (TOTP) pour la vérification des transactions

La bonne méthode d’envoi de mots de passe à usage unique sur des numéros de téléphone mobiles ou d’autres moyens de communication doit prendre en compte l’expérience d’utilisation, la rapidité, la fiabilité, la sécurité et la conformité. Voici quelques recommandations supplémentaires à suivre pendant l’implémentation.

1. Ne jamais oublier la sécurité

Il est important d’adopter une approche à plusieurs facettes avec une application ou une plateforme qui inclut une génération rapide de code et une distribution sécurisée. D’un point de vue technique, cela implique :

  • Utilisez des générateurs sécurisés et aléatoires qui définissent des délais d’expiration appropriés pour les codes, le plus souvent en quelques minutes pour les transactions standard et des délais plus courts pour les opérations hautement sécurisées.
  • Le nombre de tentatives de mot de passe à usage unique est limité dans un certain laps de temps, ce qui permet d’éviter les attaques par force brute lors desquelles des pirates informatiques tentent de nombreuses combinaisons en même temps.

2. Proposer un choix de canal pour l’authentification

En proposant différentes options de vérification, vous pouvez envoyer des mots de passe à usage unique aux numéros de mobile ou aux canaux de communication sur lesquels les utilisateur·ices sont le plus susceptibles de les recevoir. Par exemple, l’authentification sur WhatsApp est particulièrement performante sur les marchés où WhatsApp est très populaire et où l’expérience d’utilisation est donc familière.

Si vous utilisez Android OS, vous pouvez vérifier si WhatsApp est installé. Si c’est le cas, vous pouvez suggérer à l’utilisateur·ice de recevoir les mots de passe à usage unique sur WhatsApp.

Remarque : grâce à la fonctionnalité Sans appui, les utilisateur·ices n’ont même pas besoin d’appuyer ou de quitter votre application pour obtenir un mot de passe à usage unique. Disponible sur Android et prochainement sur iOS.

3. Surveiller vos performances de manière plus efficace

Pour mieux gérer votre approche en matière d’authentification, vous devez :

  1. Surveillez les indicateurs de performance clés, tels que les taux de distribution, les délais de réponse et les taux d’achèvement.
  2. Examinez régulièrement les performances pour optimiser l’expérience d’utilisation ou identifier les problèmes le plus tôt possible.
  3. Traitez les menaces de sécurité émergentes et consignez correctement les audits à des fins de conformité.

Pour aider à assurer la conformité, WhatsApp exige que les entreprises obtiennent le consentement des personnes avant de leur envoyer des messages d’authentification.

Outils API pour l’authentification par mot de passe à usage unique : plateforme WhatsApp Business

La plateforme WhatsApp Business offre aux entreprises des fonctionnalités de messagerie performantes grâce à une collection d’API permettant l’envoi automatique de messages à grande échelle. Pour simplifier l’authentification, la plateforme WhatsApp Business agit comme un authentificateur de type TOTP pour aider les entreprises à vérifier l’identité de l’utilisateur·ice et la sécurité des transactions, en proposant des modèles de mots de passe à usage unique personnalisables pour les messages.

De nombreuses solutions tierces peuvent faciliter les intégrations de mots de passe à usage unique sur les sites Web, notamment les partenaires de messagerie professionnelle Meta. Ces solutions gèrent la complexité technique des intégrations de sites Web tout en offrant des fonctionnalités supplémentaires telles que des analyses et une assistance multicanale.

Premiers pas avec la plateforme WhatsApp Business

Lorsqu’ils sont correctement implémentés, les systèmes de mot de passe à usage unique, comme ceux de WhatsApp, peuvent renforcer la sécurité, favoriser la confiance, rationaliser les processus et même générer de nouvelles sources de revenus en offrant une solution qui vous permet de vous démarquer de vos concurrents. WhatsApp est utilisé par de nombreux acteurs au sein d’un écosystème établi, ce qui en fait un outil fiable pour les entreprises.

Prêt·e à vous lancer ? En savoir plus sur les fonctionnalités de la plateforme WhatsApp Business qui peuvent être utiles à votre entreprise.

*Source : données internes de Meta, du 23 janvier au 21 février 2025.
**Source : données internes de Meta, du 23 janvier au 19 février 2025.

Mots de passe à usage unique : questions/réponses

Quel est le format complet du mot de passe à usage unique ?

Le mot complet est mot de passe à usage unique ou code d’accès à usage unique. Il s’agit d’une forme d’authentification entre une entreprise et un·e utilisateur·ice qui vise à améliorer les mesures de sécurité.

Qu’est-ce que l’authentification par mot de passe à usage unique ?

L’authentification par mot de passe à usage unique consiste à utiliser un mot de passe ou un code unique et temporaire pour vérifier l’identité d’une personne, généralement lors de sa connexion ou lorsqu’elle effectue une transaction. Un code d’authentification est généralement un code à quatre ou six chiffres (par exemple, 9237 ou A87K90) qui change à chaque fois que le code est généré.

Le mot de passe à usage unique et l’authentification à deux facteurs sont-ils identiques ?

Non, le mot de passe à usage unique et l’authentification à deux facteurs ne sont pas identiques. Tous deux sont utilisés à des fins d’authentification. Le mot de passe à usage unique fait référence à un mot de passe ou à un code envoyé à l’appareil d’un·e utilisateur·ice pour une utilisation unique. L’authentification à deux facteurs, quant à elle, implique deux formes de vérification distinctes, telles qu’un mot de passe et un mot de passe à usage unique ou une analyse biométrique.

Publications associées

Nous utilisons des cookies pour personnaliser le contenu, adapter et mesurer les publicités et offrir une expérience plus sûre. En cliquant sur le site ou en le parcourant, vous acceptez notre collecte d’informations sur et en dehors de Meta à l’aide des cookies. Pour en savoir plus, notamment sur les contrôles disponibles, consultez : [confidentialité]