Les codes d’accès à usage unique (OTP) constituent un élément central de l’authentification à deux facteurs (A2F) et de l’authentification multifactorielle (MFA) traditionnelles.

Si vous vous connectez à un compte ou validez une transaction, vous les recevrez par e-mail, par SMS ou via des applications d’authentification pour confirmer votre identité.

Désormais, les cybercriminels ont trouvé un moyen de contourner ces protections à l’aide de bots OTP.

Qu’est-ce qu’un bot OTP ?

Un bot OTP est un logiciel automatisé qui intercepte ou dérobe les codes d’accès à usage unique utilisés pour vérifier votre identité. L’objectif est de prendre le contrôle de votre compte lors de ce que l’on appelle une attaque par piratage de compte (ou ATO).

Les cybercriminels peuvent acheter des attaques de bots OTP sur des marchés clandestins, souvent via Telegram, pour seulement 10 $ par attaque. Cette approche économique et évolutive permet aux attaquants de cibler de nombreuses personnes à la fois avec un effort minimal.

Comment fonctionnent les bots OTP

Les bots OTP sont conçus pour exploiter le laps de temps qui s’écoule entre le moment où vous recevez un mot de passe à usage unique et celui où vous le saisissez dans l’application ou le site internet. Ce délai est souvent inférieur à une minute.

Les cybercriminels interceptent généralement le code de trois manières :

Piratage de compte par bot OTP via l’ingénierie sociale

    L’attaquant utilise des identifiants volés ou divulgués pour déclencher l’étape de l’OTP sur un site légitime. Un bot vous contacte ensuite par SMS ou par appel téléphonique, en utilisant un script conçu pour créer un sentiment d’urgence — par exemple, en se faisant passer pour l’équipe de lutte contre la fraude d’une banque. Si vous partagez l’OTP, le bot le transmet à l’attaquant en temps réel, lui donnant ainsi accès à votre compte. L’attaquant peut alors modifier les identifiants de connexion et vous bloquer l’accès.

    Piratage de compte par bot OTP via l’interception

      En utilisant des identifiants volés pour déclencher l’OTP, le bot tente d’intercepter le code avant qu’il ne vous parvienne. Les méthodes courantes comprennent :

      • Attaque par échange de carte SIM (SIM swap) : l’attaquant convainc un opérateur de téléphonie mobile de transférer votre numéro de téléphone vers une carte SIM qu’il contrôle, de sorte que les codes SMS lui soient directement envoyés. 
      • Exploitation d’API : le bot cible des API d’authentification mal sécurisées pour capturer les OTP au fur et à mesure de leur génération. 
      • Force brute : l’attaquant essaie toutes les combinaisons possibles d’OTP numériques courts, ce qui est possible lorsque le site internet ou l’application que vous utilisez n’a pas fixé de limite pour les requêtes répétées.

      Piratage de compte par bot OTP via une attaque par relais

        Cette variante ne repose pas sur des identifiants volés. Au lieu de cela, elle vous incite à fournir à un attaquant à la fois vos identifiants de connexion et votre OTP. Vous arrivez sur un faux site internet qui ressemble au vrai et vous saisissez vos identifiants. Le bot utilise immédiatement ces identifiants pour se connecter au vrai site internet, ce qui déclenche l’envoi d’un OTP sur votre téléphone. Le faux site internet vous demande alors de saisir le code, que le bot relaie au vrai site internet en temps réel. Cela permet à l’attaquant de finaliser la connexion avant que le code n’expire.

        Comme pour les autres variantes, l’attaquant peut ensuite modifier les identifiants et vous bloquer l’accès à votre compte.

        Comment un bot OTP peut affecter votre entreprise

        La facilité d’obtention de services de bots OTP est susceptible de multiplier les attaques contre les entreprises. Bien que le secteur bancaire et le e-commerce soient des cibles courantes, tous les secteurs d’activité peuvent être touchés. Les petites et moyennes entreprises (PME) sont souvent ciblées plus fréquemment(nouvelle fenêtre).

        Les pertes financières peuvent être importantes, mais elles ne sont pas le seul risque que vous devriez prendre en compte.

        Aussi préjudiciables que puissent être les pertes financières pour une organisation, ce ne sont pas les seules pertes dont les chefs d’entreprise devraient se soucier.

        Perte de confiance des clients

        La confiance des clients chute souvent après une fuite de données(nouvelle fenêtre). Une étude menée en 2024 par Vercara(nouvelle fenêtre) a révélé que 58 % des consommateurs considèrent les marques concernées comme peu fiables, et que 70 % d’entre eux cesseraient d’acheter auprès d’une marque après un incident de sécurité.

        Risques de non-conformité réglementaire

        Même si aucun fonds n’est dérobé, votre entreprise peut s’exposer à des amendes pour manquement aux exigences de protection des données. Par exemple, le Règlement général sur la protection des données (GDPR) s’applique à toute organisation qui traite les données personnelles de résidents de l’UE, indépendamment de son emplacement géographique ou de la taille de l’entreprise. Les sanctions en cas de non-conformité peuvent être substantielles.

        Comment protéger votre entreprise contre les bots OTP

        Étant donné que l’erreur humaine est la chose la plus difficile à parer, les entreprises devraient mettre en œuvre autant de protections techniques que possible. Celles-ci peuvent inclure :

        Limitation du débit et régulation

        Limitez le nombre de demandes de codes d’accès à usage unique (OTP) pouvant être effectuées à partir d’une seule adresse IP, d’un seul numéro de téléphone ou d’un seul compte dans un intervalle de temps donné. Cela empêche les attaquants d’inonder vos systèmes de requêtes automatisées.

        CAPTCHA et analyse comportementale

        Utilisez des défis CAPTCHA lorsqu’une activité suspecte apparaît, et appliquez l’analyse comportementale pour détecter les modèles non humains tels que la soumission rapide de formulaires ou les mouvements de souris irréalistes.

        Empreinte numérique des appareils

        Suivez les caractéristiques des appareils pour identifier les récidivistes et signalez les appareils effectuant plusieurs demandes d’OTP sur différents comptes.

        Authentification multifacteur au-delà de l’OTP

        Ajoutez des méthodes d’authentification plus fortes, telles que des clés de sécurité matérielles, la vérification biométrique ou les notifications push, afin de réduire la dépendance au seul OTP.

        Renforcement de la sécurité des API

        Protégez vos API OTP en exigeant une authentification, en signant les requêtes, en validant les saisies et en utilisant des canaux de communication sécurisés pour empêcher l’interception ou la manipulation.

        Surveillance et détection

        Surveillez les modèles d’utilisation pour identifier les comportements inhabituels qui pourraient indiquer l’activité d’un robot. Utilisez des alertes en temps réel pour détecter les pics de demandes d’OTP ou les accès géographiques inattendus. Examinez régulièrement les journaux pour détecter les menaces au plus tôt.

        Comment vous protéger des robots OTP

        Les robots OTP peuvent être dangereux, mais vous pouvez prendre des mesures simples pour protéger vos comptes.

        Utilisez des mots de passe forts et uniques ou des clés d’accès

        Utilisez un gestionnaire de mots de passe professionnel pour générer et stocker des identifiants uniques pour chaque compte. Si possible, utilisez des clés d’accès, qui éliminent le besoin de mots de passe à usage unique (OTP).

        Utilisez une clé de sécurité matérielle

        Les clés de sécurité physiques, telles que YubiKey, offrent une protection solide contre les attaques automatisées car elles nécessitent un accès physique à votre appareil.

        Méfiez-vous des tentatives d’hameçonnage

        Soyez prudent face aux messages non sollicités qui demandent des codes de vérification. Un OTP est destiné à être saisi sur un site internet ou une application, et non à être partagé avec qui que ce soit.

        Surveillez l’activité de votre compte

        Vérifiez régulièrement l’historique des connexions et les paramètres de votre compte pour détecter toute activité inhabituelle.

        Utilisez une application d’authentification plutôt que les SMS

        Les mots de passe à usage unique basés sur le temps (TOTP) — des codes générés par une application d’authentification — sont plus sécurisés que les OTP par SMS, qui peuvent être interceptés lors d’attaques par échange de carte SIM.

        Une bonne hygiène des mots de passe est votre première ligne de défense

        Associer des garanties techniques solides à une bonne hygiène des identifiants contribue grandement à faire barrage aux attaquants.

        Un gestionnaire de mots de passe professionnel est l’un des outils les plus simples et les plus efficaces que vous puissiez utiliser — il garantit que les employés ne réutilisent pas des mots de passe faibles sur différents comptes, ce qui est précisément le type de vulnérabilité que les robots OTP sont conçus pour exploiter.

        Associez-le à des méthodes d’authentification résistantes à l’hameçonnage et à une culture de sensibilisation à la sécurité, et vous ferez de votre entreprise une cible beaucoup plus difficile.