Recommandations essentielles en matière de sécurité
Il est crucial de mettre en place des mesures de protection pour éviter que vos services de mot de passe à usage unique (OTP) ou d'authentification à deux facteurs (2FA) ne provoquent une augmentation inattendue des requêtes SMS.
Un champ de saisie de numéro de téléphone accessible au public est une cible principale pour le pompage SMS (SMS Pumping), un type de fraude où les attaquants génèrent intentionnellement un volume élevé de requêtes SMS. Cela peut entraîner des frais importants et inattendus pour votre entreprise, car les opérateurs mobiles facturent chaque message envoyé via le réseau.
Nous vous conseillons vivement de vous familiariser avec les menaces associées, telles que le pompage SMS (SMS Pumping), la fraude par SMS (SMS Fraud) et la fraude au partage de revenus internationaux (IRSF), afin de bien comprendre les risques.
Lors de la création ou de l'intégration d'un service 2FA ou OTP, nous recommandons vivement de mettre en œuvre toutes ces mesures de sécurité, ou au moins une combinaison de celles-ci, pour protéger votre plateforme :
Recommandation | Description |
Vérifier l'Envoi mondial | |
Mettre en œuvre la limitation de débit | Utilisez une approche multiniveau par « seaux » (bucket) pour une limitation de débit plus efficace en combinant plusieurs identifiants.
|
Introduire des délais de requête | Appliquez une période de « refroidissement » entre les requêtes consécutives provenant du même numéro de téléphone, par exemple en n'autorisant qu'une seule requête toutes les 90 secondes. |
Configurer le suivi et les alertes | Créez des alertes automatisées pour vous informer des pics inhabituels de trafic SMS ou des requêtes à haute fréquence provenant de régions spécifiques ou de plages d'adresses IP. |
Établir des seuils d'utilisation | Définissez des limites d'utilisation claires et appliquez automatiquement des coupures une fois ces seuils atteints. Cela sert de filet de sécurité essentiel pour éviter des coûts hors de contrôle. |
Prendre en compte les règles régionales | Sachez que les modèles de fraude et les plans de numérotation varient selon les pays. Votre logique de sécurité devra peut-être être adaptée à différentes régions. |
Consulter un expert en sécurité | Si vous avez des doutes sur la meilleure mise en œuvre pour votre cas d'utilisation, consultez un professionnel de la sécurité pour revoir votre architecture. |
Comment envoyer un OTP via SMS
Vous pouvez utiliser ClickSend pour configurer l'authentification à deux facteurs pour votre application/site Web. Pour ce faire :
Générez l'OTP dans votre code, par ex. "1234", et stockez-le (dans une base de données sur votre serveur).
Appelez notre point de terminaison POST sms/send.
Autorisez l'utilisateur à saisir l'OTP.
Votre script doit le valider par rapport à l'OTP stocké.
Il est recommandé de fixer des limites quant au nombre maximum de fois qu'un utilisateur peut envoyer un OTP et également au nombre de fois qu'il peut tenter de deviner l'OTP.
