squalyl (./8) :
L'idée c'est que je file un nb aléatoire, je le concatène à un "secret" et je hashe le tout.

Ce n'est pas HMAC, ça.
Cette construction (juste hasher la concaténation) n'est pas satisfaisante au niveau sécurité pour plein de raisons.
Maintenant, en pratique, pour des applications peu « sensibles », ça peu faire l'affaire... (selon la façon dont tu l'utilises)

Si tu veux un truc vraiment sûr, il faut faire quelque chose du genre H(k|H(k|m)) - cf. HMAC.