Passer au contenu principal

Qu'est-ce que la vérification d'identité ? [obsolète]

⚠️ La vérification d'identité est désormais obsolète.

La vérification d'identité a été abandonnée et la clé secrète de vérification d'identité n'est plus exposée. L'utilisation du secret client de l'application pour générer un user_hash entraînera une erreur de user_hash invalide. JWT (JSON Web Token) est désormais la méthode recommandée pour sécuriser le Fin Messenger. Consultez le guide de configuration JWT pour les meilleures pratiques actuelles.

La vérification d'identité garantit que les conversations entre vous et vos users restent privées, et qu'un acteur malveillant ne peut pas usurper l'identité de vos users.

Si vous utilisez Intercom uniquement pour les visiteurs du site qui ne se connectent pas, vous n'avez pas besoin de la vérification d'identité. Elle ne s'applique qu'aux users, pour lesquels vous disposez d'identifiants comme l'adresse e-mail ou user_id.

Qu'est-ce qu'une attaque d'usurpation d'identité d'un user ?

Sur les espaces de travail avec des users connectés, sans vérification d'identité, un acteur malveillant peut usurper l'identité d'un user. Cela signifie qu'il pourrait voir les conversations historiques d'un user, apparaître à vos collègues comme ce user et les tromper pour qu'ils effectuent des actions sur le compte de ce user.

Par exemple, sans vérification d'identité, quelqu'un peut interagir avec votre Fin Messenger et usurper l'identité d'un autre user en fournissant un identifiant connu comme son adresse e-mail ou user_id. Cela permet à un attaquant de se faire passer pour un vrai user auprès de vos collègues, donnant accès aux conversations précédentes et potentiellement à des données sensibles.

Comment la vérification d'identité protège-t-elle mon espace de travail ?

Avec la vérification d'identité, vous générez un user_hash unique pour chacun de vos users basé sur leur adresse e-mail ou user_id et le secret de vérification d'identité de votre espace de travail (disponible à l'étape d'installation, lors de la configuration de Fin Messenger pour le transfert vers Zendesk). Votre intégration générera et enverra ces hashes avec chaque requête Messenger, ce qui nous permet de garantir que la requête user provient bien de vous.

Voici comment vos requêtes web Messenger sont protégées contre l'usurpation lorsque vous activez correctement la vérification d'identité pour votre espace de travail.

La vérification d'identité empêche l'usurpation croisée des users sur votre espace de travail car sans accès à votre secret, un tiers tentant de falsifier l'identifiant d'un user auprès d'Intercom ne pourra pas envoyer un user_hash valide pour cet user.

Une fois la vérification d'identité appliquée, le Fin Messenger ne chargera ni n'acceptera les requêtes pour vos users connectés sans un user_hash valide.

La vérification d'identité affecte-t-elle l'expérience utilisateur ?

Avec la vérification d'identité correctement configurée, il n'y a aucun impact pour vos clients. Users et Leads utiliseront le Messenger normalement. Aucune action supplémentaire n'est requise de leur part pour s'authentifier ou utiliser le Messenger.

Quelle est la différence entre Leads et Users ?

Intercom fait une distinction claire entre :

  • Visiteurs - clients inconnus de votre site qui ne sont pas connectés et n'ont pas d'historique de conversation avec vous,

  • Leads - clients qui entament une conversation avec vous ou répondent à un message. Ils sont identifiés par des noms comme « Charcoal Umbrella from Paris » et reçoivent un cookie Intercom pour se souvenir de leur historique de conversation,

  • Users - clients qui s'inscrivent à votre produit et se connectent à un compte existant. Vous les identifiez généralement par adresse e-mail ou user ID

Dois-je configurer la vérification d'identité pour les visiteurs ?

Lorsque Intercom est installé pour les visiteurs du site qui ne se connectent pas, vous n'avez pas besoin de la vérification d'identité. Elle ne s'applique qu'aux users, pour lesquels vous disposez d'identifiants comme l'adresse e-mail ou user_id.

En d'autres termes, lorsque vous activez la vérification d'identité pour votre espace de travail, Intercom n'attendra un user_hash que lorsque le Messenger est chargé pour un user. Cependant, lorsque le Messenger est chargé pour un visiteur/lead déconnecté, un user_hash n'est pas requis.

Pourquoi n'avez-vous pas un secret unique pour toutes les plateformes ?

Nous avons créé un secret unique pour chaque plateforme afin de faciliter la rotation de chacun ou l'activation indépendante de la vérification d'identité sur chaque plateforme.

Comment générer un hash unique par plateforme lorsque j'utilise le même backend pour tous les users ?

Vous ne devez pas générer le hash et le stocker dans votre base de données. Vous devez plutôt le générer et l'envoyer dynamiquement lors de l'identification du user à Intercom. Cela signifie que lorsque vous changez de secret ou que le user utilise une plateforme différente, vous enverrez le hash correct.

Si vous stockez le hash et l'envoyez, vous devrez faire une régénération massive à chaque changement de secret, ce qui créerait des frictions pour vous.

La vérification d'identité protège-t-elle à la fois les valeurs user_id et adresse e-mail ?

Non, la vérification d'identité vous oblige à créer un hash unique en utilisant le secret et soit le user_id soit l'adresse e-mail du user. Si vous envoyez des user_ids avec vos requêtes Messenger, vous devez créer le hash avec cet identifiant. Si vous n'envoyez pas de user_ids, vous le générez avec le champ adresse e-mail.

Articles connexes
Fin Messenger : Configurez le bon ticket requester dans Zendesk avec transfert à un agent
Configurer la vérification d'identité pour le web et le mobile [obsolète]
Authentification des users dans Fin Messenger avec des JSON web tokens (JWTs)
Migration de la vérification d'identité à la sécurité Messenger avec JWTs
Fin Messenger : Configurer l'authentification JWT pour Salesforce Enhanced Chat
Avez-vous trouvé la réponse à votre question ?