ediverse Explorer la plateforme

À la une PEPPOL BIS Billing 3.0 L’obligation européenne d’e-invoicing arrive : France sept 2026, Belgique janv 2026, Allemagne 2025.

— 18 mai 2026 · 8 min de lecture

OFTP2 en 2026 : la mise à jour TLS silencieuse du secteur automobile

Pendant que l'industrie générale débat encore PEPPOL et e-invoicing, le secteur automobile européen — Stellantis, BMW, VW Group, Mercedes, Volvo, Bosch, ZF, Continental — termine en 2026 une refonte cryptographique majeure d'OFTP2, le protocole de transport historique du secteur. Le bruit médiatique est nul, mais l'effort technique est considérable.

Rappel : qu'est-ce qu'OFTP2 et pourquoi il existe encore ?

OFTP2 (Odette File Transfer Protocol version 2) est défini par la RFC 5024 publiée en novembre 2007. C'est le successeur d'OFTP1 (RFC 2204, 1997). Il transporte des fichiers EDIFACT (souvent DELFOR, DELJIT, AVIEXP, INVOIC, ORDERS sectorielles automobile) entre constructeurs et fournisseurs Tier-N de la supply chain automobile européenne, sur des bus dédiés.

OFTP2 cumule trois propriétés que ses concurrents (AS2, AS4, SFTP) n'offrent pas conjointement : (1) point-to-point natif sur TCP/IP (port 6619) ou X.25 héritage ; (2) compression intégrée au niveau protocole ; (3) acquittements EERP (End-to-End Response) signés au niveau fichier individuel avec hash SHA-256. La sécurité passe historiquement par CMS (RFC 5652) pour la signature et le chiffrement applicatif, en plus du transport TLS.

Selon Odette International (l'organisme qui maintient le standard depuis 1985), plus de 40 000 connexions OFTP2 actives existaient en Europe fin 2025, principalement automobile mais aussi aérospatial (Airbus, Safran), ferroviaire (Alstom, Siemens Mobility) et défense.

Ce qui bouge en 2026

Trois mises à jour techniques concomitantes, coordonnées par Odette et le VDA (Verband der Automobilindustrie) sous le label OFTP2 v2.4 Profile 2026 :

1. TLS 1.3 obligatoire

Jusqu'en 2024, beaucoup de couples OFTP2 acceptaient encore TLS 1.0 ou 1.1 par compatibilité héritée. À partir de l'Odette Profile Specification 2.4 publiée en juin 2025 (révisée en mars 2026), TLS 1.3 (RFC 8446) est obligatoire à partir du 1er janvier 2027. Les fournisseurs sont notifiés depuis 2024 et beaucoup ont déjà basculé. Les exceptions résiduelles (très petits Tier-3) sont gérées via gateways intermédiaires opérées par les Tier-1.

2. Algorithmes signature et chiffrement renforcés

Au niveau CMS applicatif, les algorithmes acceptés en 2026 sont : signature RSASSA-PSS avec SHA-256/384/512 (RFC 8017), ou ECDSA P-256/P-384 (RFC 5753). Le legacy RSASSA-PKCS1-v1_5 et SHA-1 sont déprécés et rejetés. Pour le chiffrement, AES-128/192/256 en GCM (RFC 5084) ou ChaCha20-Poly1305 (RFC 8439).

3. Préparation à la pile post-quantique

Le Profile 2026 introduit la cryptographic agility : la possibilité de négocier dans la handshake un suite hybride mêlant ECDH classique et ML-KEM (FIPS 203 du NIST, août 2024). Côté signatures, ML-DSA (FIPS 204) sera supporté en suites hybrides à partir de 2027 dans le Profile 2.5. C'est un alignement direct sur la roadmap NIST PQC, avec un horizon de bascule complète en 2030. Voir notre article roadmap PQC EDI 2026-2030.

Pourquoi cette migration est silencieuse

À la différence des mandats e-invoicing ViDA, la mise à jour OFTP2 ne fait l'objet d'aucun communiqué de presse. Trois raisons :

  • Industrie B2B fermée : les acteurs OFTP2 sont contractuellement liés par les constructeurs (OEM) ; pas de DGFiP, pas de public à informer.
  • Calendrier piloté par les Tier-1 : Bosch, ZF, Continental, Magna, Forvia poussent leur Tier-2/3 sans annonces mais avec deadlines contractuelles précises.
  • Communauté technique experte : Odette publie dans des working groups privés ; les MAJ sont communiquées via le portail Odette Web aux 200 membres.

Quel impact pour un fournisseur ?

Concrètement, un fournisseur Tier-2 typique avec 3-5 partenaires OFTP2 (Stellantis, BMW, VW, Bosch) doit :

  • Mettre à jour son logiciel OFTP2 vers une version supportant TLS 1.3 ET les algorithmes CMS modernes : Mendelson OFTP2 (édition pro), IBM Sterling B2B Integrator, OpenText Trading Grid, SEEBURGER BIS, iSoft Peer, Cleo Harmony, ou l'open-source Mendelson Community Edition (limité) ont tous publié leurs versions conformes Profile 2026 entre Q3 2025 et Q1 2026.
  • Régénérer ses certificats X.509 : les CA acceptables par OEM ont une liste blanche stricte (DigiCert, T-Systems, SwissSign, Telekom Security, IdenTrust). Validité maximale 1 an ou 13 mois pour les nouveaux émis.
  • Configurer le cipher set TLS 1.3 conforme : TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256.
  • Mettre à jour son SSP (Send Signature Policy) et SRP (Send Receipt Policy) pour exclure SHA-1 et RSASSA-PKCS1-v1_5.
  • Tester avec l'Odette Conformance Tool avant production (gratuit pour membres Odette, version SaaS depuis 2025).

Cas particuliers : X.25 et ENX

Quelques liaisons OFTP1 historiques sur X.25 (avec porteur dial-up ou Numéris) existent encore en 2026 chez des Tier-3 de très petite taille. Elles sont en voie d'extinction : aucun OEM n'accepte plus de nouvelle liaison X.25, et les porteurs (Orange Wholesale, Deutsche Telekom) ont arrêté la commercialisation. L'extinction définitive est prévue pour 2028.

L'autre canal historique ENX (European Network Exchange, opéré par ENX Association) — un VPN privé multi-tenant entre acteurs automobile européens — reste très utilisé. ENX a publié sa propre mise à jour sécurité 2026 (ENX Spec 5.0) qui aligne TLS et certificats sur la doctrine VDA, et qui sert de socle de transport sous l'OFTP2 dans la majorité des relations Tier-1 ↔ OEM. Voir enx.com.

Références techniques

Pour le contexte EDI global, voir notre fondation « Protocoles EDI » et l'article « AS2, AS4, OFTP2 modernes ».