18 juillet 2025 - 6 min read

Reverse OTP : une authentification gratuite par SMS

Introduction

La sécurité des données est une préoccupation pour de nombreux clients. Pour satisfaire ce besoin de fiabilité et gagner un avantage concurrentiel, beaucoup de solutions mettent en place l’authentification à deux facteurs (2FA), souvent par le biais d’un SMS OTP. Mais l’implémentation de la 2FA est coûteuse et chaque message envoyé est facturé. Il y a pourtant une solution pour garantir une authentification forte sans que l’envoi des messages OTP vous coûte un seul centime. Découvrez comment mettre en place un SMS OTP gratuit dans cet article.

Oui, vous avez bien lu, vous pouvez mettre en place une solution d’authentification à deux facteurs gratuite. Comment ? En utilisant la technologie OTP (One Time Password) à l’envers. Avec cette technique, vous générez vous-même le code dans votre application pour que votre client l’envoie sur un numéro virtuel dédié. Vous êtes à la fois l’émetteur du token et le destinataire du SMS. Et en faisant envoyer le message par votre client vous ne payez pas le SMS. C’est encore flou ? Suivez le guide.

Le SMS OTP : comment ça marche ?

Le SMS OTP est un message contenant un code court, unique, généralement compris entre 6 et 8 chiffres, utilisé pour authentifier un utilisateur. L’utilisateur saisit le code dans une page web ou une application pour terminer un processus de connexion, d’inscription ou de validation.

Côté plateforme ou API, le SMS OTP est routé de manière ultra-prioritaire pour assurer l’acheminement en temps et en heure du code temporaire qu’il contient (une durée de vie de 1 minute en moyenne). Les applications, banques, plateformes utilisent massivement les Tokens SMS dans le cadre de l’authentification à deux facteurs (2FA) pour valider la création d’un compte, une transaction ou encore la réinitialisation de mot de passe.

Souvent utilisée par les banques à travers du 3D-secure, cette méthode permet de s’assurer que l’auteur de la demande est en possession de deux facteurs d’identifications distincts (un code qu’il connait et un objet qu’il possède.

Rappel : qu’est-ce que le 2FA ?

Le 2FA, ou authentification à deux facteurs, est une couche de sécurité supplémentaire utilisée pour vérifier l’identité d’un utilisateur. Après avoir saisi son identifiant et son mot de passe, l’utilisateur est invité à fournir une deuxième forme d’identification à partir d’un appareil distinct, tel que son smartphone. Ce deuxième facteur peut être matérialisé par un token ou un message texte envoyé au téléphone de l’utilisateur.

POUR ALLER PLUS LOIN

Guide des bonnes pratiques pour la solution SMS 2FA

Notre guide « Best practices » vous guidera dans l’implémentation d’un service de 2FA.

La haute priorité, élément indispensable du SMS OTP

L’envoi d’un SMS OTP se doit d’être réalisé à travers un canal dédié de haute priorité, via des numéros courts dédiés à ce type de trafic SMS. L’envoi permet à l’auteur de la transaction de recevoir rapidement le code. Le but est d’augmenter sa sécurité des données de manière significative sans pour autant impacter le taux d’abandon de ces actions.

Ce processus d’envoi de SMS OTP permet aussi, à l’inscription, de récupérer une nouvelle donnée validée de la part de l’utilisateur : son numéro de téléphone, qui sera utile pour toute la durée de vie de la relation client.

Une application monétaire à l’origine d’un modèle disruptif pour des SMS OTP gratuits

Une startup française de la Fintech a adopté une nouvelle approche de l’authentification à deux facteurs. Elle a trouvé une solution qui lui permet d’inverser son système d’authentification en se plaçant comme récepteur des codes OTP pour supprimer ses envois de SMS.

En pratique, la startup loue un Numéro Virtuel Mobile destiné à recevoir des SMS*. Ses utilisateurs envoient eux-mêmes un SMS généré in-app, pour valider une transaction. Cet OTP est généré par le client directement dans l’application, pour être envoyé au Numéro Virtuel Mobile (NVM). Dès réception de ce SMS, l’app fait concorder l’OTP généré et le numéro de téléphone utilisateur et valide la transaction.

La mécanique permet d’éviter d’envoyer un SMS MT (Mobile Terminated) et d’attendre un code envoyé par le client sur un NVM dédié à la réception de SMS MO (Mobile Originated). En somme, au lieu d’envoyer un SMS OTP à votre client, c’est votre client qui envoie un SMS OTP à un numéro de téléphone virtuel. Plus de SMS OTP envoyé par l’application, mais une validation du numéro très fiable tout de même. Le seul coût associé à ce dispositif d’authentification est donc la location d’un Numéro Virtuel Mobile.

*En France le Numéro Virtuel Mobile a été remplacé par le Time2Chat.

Un NVM, c’est quoi en fait ?

Comme son nom l’indique, un Numéro Virtuel Mobile n’est pas lié à un téléphone physique, c’est un numéro long attribué à un client B2B. Ce numéro est conçu pour la réception gratuite et immédiate de SMS provenant d’un téléphone mobile (SMS MO). Le numéro est hébergé chez un MVNO français (opérateur mobile virtuel), disponible 24/7 sans dysfonctionnement.

Le Numéro Virtuel Mobile utilise la technique dite de « sélection directe à l’arrivée » (SDA) qui permet d’atteindre le numéro sans intermédiaire. Ce numéro « direct externe unidirectionnel » est idéal pour les entreprises qui souhaitent être contactées par SMS, engager des conversations avec leurs clients ou constituer des listes de diffusion de toutes sortes (alerte, ligne de transport, jeux-concours, newsletter…). À la réception d’un SMS, une notification est envoyée sur une URL déterminée pour traitement par vos soins de la requête.

DOCUMENTATION

Toutes les caractéristiques du Numéro Virtuel Mobile en réception

Découvrez le fonctionnement pour recevoir des SMS (opt’in SMS, demandes d’informations et renseignements, inscriptions à un service, une newsletter ou un jeu, collectes de données clients, etc.) et répondez aux besoins de multiples cas d’application.

Comment mettre en place ce système de 2FA gratuit dans mon application ?

1. Se doter d’une API d’authentification, d’un token logiciel ou d’une librairie de génération d’OTP

Il existe de nombreuses façons de mettre en œuvre l’authentification 2FA dans une application. Une méthode populaire consiste à utiliser un token logiciel ou une application comme Authy ou Google Authenticator pour avoir un moyen sécurisé de stocker, générer et utiliser vos OTP.

Vous pouvez aussi vous doter d’une librairie token qui générera des OTP à la demande, dans laquelle vous pourrez piocher pour chaque opération à valider.

2. Louer un NVM smsmode^©

Dotez-vous d’un numéro virtuel pour y recevoir les OTP qui seront envoyés par vos clients. Mettez en place des requêtes HTTP GET pour pouvoir récupérer les OTP et les numéros à matcher.

3. Créer mon modèle

Pour éviter le churn (abandon d’opération), vous devez rendre le processus d’authentification le plus simple possible pour l’utilisateur. Un bon moyen est de générer un bouton « in app » qui, une fois cliqué, ouvre l’application de messagerie par défaut de vos utilisateurs avec le numéro de votre NVM en destinataire et le code OTP à coller dans le corps du texte.

4. Déclencher l’authentification

Le numéro virtuel smsmode^© vous permet de mettre en place le déclenchement automatique d’actions, pour que votre solution de 2FA soit entièrement pilotée. En pratique, l’opération consiste en une vérification entre les deux codes OTP qui doivent correspondre.

Faites un call back sur votre application pour vérifier la concordance entre le code reçu par votre NVM et celui qui vous avez généré pour votre utilisateur.

Si les deux codes OTP correspondent et que le numéro est bien celui attendu, vous n’avez plus qu’à valider l’authentification !

2FA Gratuit : les plus et les moins

Cette technique d’authentification gratuite pour les applications, que l’on pourrait appeler « Reverse OTP », a des avantages et des inconvénients :

Créez votre compte gratuitement

Essayez notre plateforme SMS et bénéficiez de 20 crédits de tests offerts, sans engagement.

Besoin de plus d'infos ?

N'hésitez pas à nous contacter.

6 juin 2024 - 3 min read

Comment optimiser sa base de données SMS

Romain Didelot

Introduction

Tous les professionnels du marketing vous le diront, il vaut mieux 500 contacts actifs que 5000 dont on ne sait pas grand-chose ! Cette règle s’applique tout aussi parfaitement au SMS. Pour ne pas dépenser votre énergie et votre argent pour des destinataires fantômes, la bonne pratique est de procéder à une optimisation de votre base de données. smsmode^© vous donne les clés pour démarrer vos campagnes SMS du bon pied et garder votre base de données active au fil du temps.

C’est quoi une bonne base de données SMS ?

Pour le SMS marketing comme pour tous les canaux, l’attribut #1 de vos contacts, c’est la réactivité. Vous voulez voir vos clients et/ou prospects convertir. Pour cela, il faut qu’ils soient demandeurs et à l’écoute de votre communication. Les fondations d’un bon fichier tiennent en deux mots :

Dans un objectif d’optimisation totale, vous pouvez ensuite travailler vos destinataires par segment en fonction des produits qui les intéressent, de leur réactivité à vos précédentes campagnes SMS ou encore de leur avancement dans le cycle de vente. Mais pour pouvoir entrer dans ce niveau de détail, il vous faut d’abord un support sain.

Pourquoi avoir une base de données saine est crucial ?

Pour mener des campagnes SMS efficaces, il est impératif d’utiliser une base de données opt-in et fiable. Chaque numéro qui est non valide, mal formaté ou ayant changé de main depuis sa collecte vous fait perdre de la performance et… de l’argent. Avec un fichier au contenu peu fiable, vous continuerez à envoyer vos messages à des numéros qui ne servent plus et vos résultats seront biaisés et moins bons.

Vous l’aurez compris, garder votre liste à jour et précise peut vous faire gagner bien plus que quelques SMS sur vos prochains envois. C’est un cercle vertueux très bénéfique sur le long terme.

Repérer les leads inactifs peut être complexe. Mais smsmode^© vous donne l’astuce pour identifier rapidement et supprimer automatiquement les numéros invalides de votre base.

POUR ALLER PLUS LOIN

Évitez les erreurs.
Les 17 points à checker avant d'envoyer sa campagne SMS.

Pourquoi smsmode^© ne propose pas de location de bases de données ?

Il est possible de procéder auprès de prestataires de messagerie mobile, à l’achat ou à la location de bases de données « opt-in ». Ces opérations peuvent permettre l’ajout de nouveaux contacts à vos bases déjà existantes. En principe, ces fichiers sont mis à jour en permanence pour qu’ils puissent rester valides. Il est impératif de s’assurer que ces listes soient déclarées auprès de la CNIL.

La location de base de données : un pari risqué

Nous vous conseillons de considérer cette opportunité avec prudence, en gardant en tête que les performances enregistrées seront toujours bien moins élevées que lorsqu’il s’agit d’une base que vous auriez vous-même collectée. En s’appuyant sur les points de vigilance cités plus haut, smsmode^© a fait le choix de ne pas proposer ce service.

Comment garder sa base saine au fil des campagnes ?

Une fois votre fichier nettoyé, il reste tout de même à l’entretenir au fil de temps. Certaines bases ont parfois plusieurs années et il n’est pas rare qu’un de vos clients change de numéro ou résilie son forfait.

Pour la garder la plus active possible, vous pouvez procéder à un nettoyage par l’analyse des DLR.

POUR ALLER PLUS LOIN

Découvrez les 10 clés pour concevoir des campagnes SMS percutantes et rentables

Qu’est-ce qu’un DLR ?

Un DLR SMS (Short Message Service Delivery Receipt), c’est l’équivalent d’un accusé de réception en SMS marketing. C’est un rapport de délivrabilité du message, fourni par l’opérateur final, qui a pour but de confirmer qu’il a bien été remis.

Il existe 4 types de DLR SMS. Chaque DLR comprend l’un des quatre indicateurs suivants :

Succès ou livré : remis au destinataire avec succès.
En attente ou programmé : programmé pour être livré, mais toujours en attente de distribution.
Erreur temporaire : le processus de livraison est bloqué pour une raison quelconque. Cela peut vouloir dire que le téléphone est éteint, ne capte pas ou que la boite de réception est pleine.
Échec ou erreur permanente : non remis. Cela signifie que le numéro de téléphone n’est plus actif, l’abonnement peut avoir été suspendu ou résilié, le message peut avoir été bloqué par les filtres anti-spam de l’opérateur… Dans tous les cas, l’erreur permanente indique que le destinataire ne recevra plus vos SMS.

Le nettoyage de base grâce aux DLR

Le nettoyage par analyse des DLR est semblable à l’entretien de n’importe quelle base. Pour optimiser vos envois, il faut fréquemment faire une peu de nettoyage parmi vos contacts afin d’éliminer ceux qui sont inactifs. Cela permet d’améliorer votre taux d’ouverture, votre délivrabilité et permet de réduire le nombre d’envois et donc le coût de vos campagnes.

Concrètement, les numéros renvoyant un DLR d’erreur permanente ne vous serviront plus. Vous pouvez donc les supprimer définitivement.

Comment nettoyer ma base avant mon envoi de SMS ?

Avec smsmode^©, vous pouvez nettoyer votre carnet de contacts avant même vos premiers envois grâce à l’API HLR (Home Location Register) LOOKUP.

L’API Lookup permet une vérification expresse pour éliminer vos doublons et non valides. Via une requête API, vous pouvez passer l’intégralité de votre listing dans notre environnement de test et récupérer un grand nombre de données associées à chaque contact :

Doublons et formats invalides (pour une base de données lisible et économique)
Validité des numéros (pour supprimer ceux qui ne sont plus attribués)
Historique des opérateurs téléphoniques (pour connaitre l’historique de portabilité et l’opérateur actuel de votre prospect/client)
Mobile Network Code et Mobile Country Code (pour connaitre le pays d’origine de vos contacts et le réseau auquel ils sont rattachés, en cas de base de données internationale)
Rapport de localisation et d’itinérance (pour savoir si vos clients sont actuellement sur un autre réseau national)

Si vous ne pouvez pas ou ne souhaitez pas utiliser l’API, vous pouvez tout de même bénéficier d’un Lookup en transmettant un fichier Excel à votre chargé de compte.

Vous pouvez ensuite filtrer (depuis un fichier au format CSV ou Excel) les doublons ou invalides afin de les éliminer.

Vous souhaitez tester l'API LookUp ?

smsmode^© met à votre disposition un système de validation des numéros actifs. Le nettoyage de votre base de données est donc automatique et sans surcoût. À chaque campagne, tous les numéros renvoyant un DLR en erreur permanente sont automatiquement placés dans votre liste d’invalides, consultable depuis votre espace client : dans la rubrique correspondante de votre carnet d’adresses.

Conclusion

Vous l’aurez compris, de la bonne santé de vos bases de données dépend le succès de vos opérations à venir. Si l’on récapitule, plusieurs éléments sont à prendre à compte, comme le nettoyage de cette base, qu’il soit manuel ou automatisé. La fonctionnalité est proposée par notre plateforme. En effet, la gestion de DLR ou suppression automatique des numéros invalides vous permettra d’envoyer vos SMS sans crainte. Vous ne perdrez pas de temps à nettoyer votre base et avez la certitude que vous ne payez pas de messages pour rien. Quant à la location de bases de données, il faudra mener l’opération avec précaution en gardant en tête qu’une telle utilisation vous rapportera des résultats bien moindres comparée à celle d’une base que vous aurez vous-même acquise.

Créez votre compte gratuitement

Essayez notre plateforme SMS et bénéficiez de 20 crédits de tests offerts, sans engagement.

Besoin de plus d'infos ?

N'hésitez pas à nous contacter.

Étiquette : Mise à jour Base de Données

Reverse OTP : une authentification gratuite par SMS

Introduction