Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Français
Entry № 1280

Mot de passe à usage unique basé sur le temps (TOTP)

Vérifié parCybersecurity entrepreneur & security researcher

Qu'est-ce que Mot de passe à usage unique basé sur le temps (TOTP) ?

Mot de passe à usage unique basé sur le temps (TOTP)Algorithme de mot de passe à usage unique défini par la RFC 6238 qui dérive un code court d'un secret partagé et de l'heure courante, renouvelé toutes les 30 secondes.

Le TOTP est un mécanisme de second facteur très répandu : l'application d'authentification de l'utilisateur (Google Authenticator, Authy, 1Password) et le serveur partagent une même graine symétrique et calculent le même hachage HMAC-SHA1 sur le temps Unix courant divisé en fenêtres de 30 secondes. Le code visible de 6 à 8 chiffres change automatiquement et n'est valide que brièvement, ce qui limite la valeur d'un code observé ou hameçonné. Le TOTP fonctionne hors ligne une fois la graine provisionnée, généralement via un QR code. Ses principales faiblesses sont les proxys d'hameçonnage en temps réel (AiTM) qui relaient les codes, les logiciels malveillants sur l'appareil et la compromission de la graine côté serveur ; lorsque c'est possible, on privilégie FIDO2 et les passkeys.

Exemples

  1. 01

    Scanner un QR code dans Google Authenticator pour activer la 2FA sur un compte GitHub.

  2. 02

    Saisir un code à 6 chiffres d'une appli d'authentification lors de la connexion à un portail bancaire.

Questions fréquentes

Qu'est-ce que Mot de passe à usage unique basé sur le temps (TOTP) ?

Algorithme de mot de passe à usage unique défini par la RFC 6238 qui dérive un code court d'un secret partagé et de l'heure courante, renouvelé toutes les 30 secondes. Cette notion relève de la catégorie Identité et accès en cybersécurité.

Que signifie Mot de passe à usage unique basé sur le temps (TOTP) ?

Algorithme de mot de passe à usage unique défini par la RFC 6238 qui dérive un code court d'un secret partagé et de l'heure courante, renouvelé toutes les 30 secondes.

Comment se défendre contre Mot de passe à usage unique basé sur le temps (TOTP) ?

Les défenses contre Mot de passe à usage unique basé sur le temps (TOTP) combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.

Quels sont les autres noms de Mot de passe à usage unique basé sur le temps (TOTP) ?

Noms alternatifs courants : RFC 6238, OTP temporel.

Termes liés

Voir aussi