L'OTP (One-Time Password) par SMS est la méthode d'authentification à deux facteurs la plus répandue. Elle a aussi ses limites bien documentées : attaques SIM swapping, interception SS7, délais de livraison variables selon les opérateurs. WhatsApp propose une alternative robuste avec des templates d'authentification natifs, une livraison traçable et un coût compétitif. Pour les intégrateurs qui construisent des applications nécessitant une vérification d'identité — applications financières, espaces clients sensibles, plateformes RH — l'API WhatsApp Business ouvre un canal d'OTP à intégrer directement dans la couche d'authentification.
Pourquoi WhatsApp pour les OTP : avantages et limites
WhatsApp n'est pas une alternative universelle au SMS pour les OTP, mais dans certains contextes il présente des avantages structurels.
Avantages
- Livraison traçable : les statuts
deliveredetreadconfirment que l'OTP a atteint l'appareil et a été vu. - Chiffrement de bout en bout : le contenu du message est chiffré entre les serveurs Meta et l'appareil du destinataire. Un OTP SMS peut être intercepté en clair sur le réseau SS7.
- Expérience utilisateur : sur iOS et Android, WhatsApp peut remplir automatiquement le champ OTP via l'auto-fill de système, comme pour les SMS.
- Coût : environ 0,0336 €/msg pour la France en catégorie AUTHENTICATION (0,0088 € Whakup + 0,0248 € Meta), comparable au SMS premium.
Limites à considérer
- Requiert que l'utilisateur ait WhatsApp installé. Prévoir un fallback SMS obligatoire.
- Non adapté aux scénarios où l'utilisateur n'a pas accès à internet (roaming, zones blanches).
- La même règle s'applique que pour tous les messages WhatsApp : le numéro doit être enregistré sur WhatsApp.
Templates d'authentification natifs Meta
Meta propose une catégorie de templates dédiée : AUTHENTICATION. Ces templates ont un format standardisé optimisé pour la livraison d'OTP.
Format du template AUTHENTICATION
Votre code de vérification {{1}} expire dans {{2}} minutes.
[Copier le code]
Le bouton "Copier le code" est une fonctionnalité native Meta qui copie automatiquement le code dans le presse-papier de l'utilisateur. Sur les appareils compatibles, l'auto-fill se déclenche directement dans l'application qui demande le code.
Variables disponibles
{{1}}: le code OTP (numérique ou alphanumérique){{2}}: la durée de validité (en minutes)
La durée de validité doit être configurée dans le template lors de la soumission à Meta — elle est fixe, pas dynamique. Si vous avez besoin de différentes durées selon les cas d'usage, créez plusieurs templates (5 min, 10 min, 30 min).
Intégration technique dans une couche d'authentification
L'envoi d'un OTP WhatsApp via l'API WhatsApp Whakup suit le même pattern que les autres templates, avec quelques spécificités :
Flux type
- L'utilisateur initie une action nécessitant une vérification (connexion, changement de mot de passe, validation de transaction).
- Votre backend génère un code OTP (6 chiffres recommandés), le stocke en base avec un TTL correspondant à la durée de validité du template.
- Votre backend appelle l'API Whakup avec le numéro de l'utilisateur, le nom du template AUTHENTICATION et la variable
{{1}}= code généré. - Whakup délivre le message et renvoie un statut via webhook (
deliveredconfirme la réception sur l'appareil). - L'utilisateur saisit le code dans votre interface. Votre backend vérifie le code contre celui stocké en base et son TTL.
- Si le code expire ou est incorrect après N tentatives, votre interface propose un renvoi ou un fallback SMS.
Gestion du fallback SMS
Ne laissez jamais un utilisateur bloqué. Si le webhook Whakup renvoie un statut failed (numéro non enregistré sur WhatsApp, réseau indisponible), déclenchez automatiquement l'envoi d'un SMS via votre fournisseur habituel. Ce fallback doit être transparent pour l'utilisateur final.
Sécurité et conformité pour les OTP WhatsApp
L'utilisation d'OTP implique des exigences de sécurité spécifiques, indépendantes du canal.
- Entropie du code : utilisez un générateur cryptographiquement sécurisé (CSPRNG). N'utilisez pas
Math.random()ou équivalents. - TTL court : 5 à 10 minutes maximum. Stockez la date d'expiration, pas seulement le code.
- Limite de tentatives : bloquez les tentatives après 3 à 5 échecs consécutifs. Implémentez un délai progressif (backoff).
- Pas de logging du code en clair : n'écrivez jamais le code OTP dans vos logs applicatifs ou de débogage.
- Rate limiting à l'envoi : limitez le nombre d'OTP envoyés au même numéro par heure pour éviter les abus.
Côté conformité, Whakup héberge son infrastructure en Europe. Les numéros de téléphone et métadonnées de messages ne transitent pas hors de l'UE, ce qui couvre les exigences RGPD de base pour les applications destinées aux utilisateurs européens.
Whakup étant Meta Tech Provider certifié, vos clients n'ont pas à passer leur propre certification Meta. L'embedded signup permet l'onboarding d'un nouveau compte WhatsApp Business en quelques minutes, ce qui simplifie le déploiement multi-client.
Pour une vue d'ensemble des options d'intégration et de la différence entre construire en interne et utiliser un BSP certifié, le guide build vs buy WhatsApp API présente les arbitrages techniques et économiques.
Pour comprendre la structure complète de l'API et ses composants, le guide complet de l'API WhatsApp Business couvre tous les prérequis.
FAQ
WhatsApp OTP est-il plus sécurisé que le SMS OTP ?
WhatsApp utilise le chiffrement de bout en bout, ce qui protège le contenu contre l'interception sur le réseau (attaques SS7 notamment). Le SMS est transmis en clair sur le réseau téléphonique et peut être intercepté. Cependant, WhatsApp nécessite une connexion internet et que l'utilisateur ait l'application installée, ce qui le rend moins universel que le SMS.
Faut-il un template spécifique pour les OTP ou peut-on utiliser un template UTILITY générique ?
Meta recommande d'utiliser la catégorie AUTHENTICATION dédiée pour les OTP. Ces templates ont un format optimisé avec le bouton "Copier le code" et bénéficient d'un traitement prioritaire dans la file de livraison. Ils ont également un tarif spécifique (~0,0336 €/msg en France), identique à la catégorie UTILITY.
Comment gérer le cas où l'utilisateur n'a pas WhatsApp ?
Avant d'appeler l'API Whakup, vous pouvez vérifier si un numéro est enregistré sur WhatsApp via l'endpoint de vérification. Si non, déclenchez directement le SMS. Si oui, tentez WhatsApp avec un fallback SMS automatique en cas d'échec de livraison.
Peut-on envoyer plusieurs OTP différents en parallèle au même numéro ?
Techniquement oui, mais c'est une mauvaise pratique. Limitez à un seul OTP actif par numéro à la fois. Si l'utilisateur demande un renvoi, invalidez le code précédent avant d'en générer un nouveau. Envoyer plusieurs OTP simultanés génère de la confusion et peut déclencher les filtres anti-spam de Meta.
Intégrer l'OTP WhatsApp dans une application, c'est offrir une expérience d'authentification plus fluide et plus sécurisée que le SMS, sur un canal déjà familier pour vos utilisateurs. Whakup fournit l'API REST, les templates AUTHENTICATION natifs et le support multi-tenant pour déployer ce canal proprement. Accédez à l'API Whakup et testez votre premier envoi OTP en environnement sandbox.

Co-fondateur de Whakup, Arthur accompagne les entreprises africaines dans leur transformation digitale via WhatsApp depuis 2022. Passionné par le growth marketing et l'entrepreneuriat en Afrique francophone.
Prêt à passer à l'action ?
Essayez Whakup gratuitement pendant 15 jours. Aucune carte bancaire requise.
Démarrer l'essai gratuitArticles similaires
WhatsApp pour les intégrateurs : gérer l'abandon de panier via l'API
Intégrez des relances d'abandon de panier WhatsApp dans vos projets e-commerce via l'API Business. Déclenchement automatique, personnalisation, conversion.
WhatsApp pour les intégrateurs : gérer les campagnes marketing via l'API
Intégrez des campagnes marketing WhatsApp dans vos projets clients via l'API Business. Segmentation, templates MARKETING, envoi en masse, reporting et RGPD.
WhatsApp pour les intégrateurs : gérer la confirmation de commande via l'API
Intégrez la confirmation de commande WhatsApp dans votre plateforme e-commerce via l'API Business. Templates, webhooks, tarifs : guide technique pour intégrateurs.