Recommandations essentielles en matière de sécurité
Il est crucial de mettre en place des mesures de protection pour éviter que vos services de mot de passe à usage unique (OTP) ou d'authentification à deux facteurs (2FA) ne provoquent une augmentation inattendue des requêtes de service de messagerie simple.
Un champ de saisie de numéro de téléphone accessible au public est une cible principale pour le pompage de service de messagerie simple (SMS Pumping), un type de fraude où les attaquants génèrent intentionnellement un volume élevé de requêtes de service de messagerie simple. Cela peut entraîner des frais importants et inattendus pour votre entreprise, car les transporteurs mobiles facturent chaque message envoyé via le réseau.
Nous vous conseillons vivement de vous familiariser avec les menaces associées, telles que le pompage de service de messagerie simple (SMS Pumping), la fraude par service de messagerie simple (SMS Fraud) et la fraude au partage de revenus internationaux (IRSF), afin de bien comprendre les risques.
Lors de la création ou de l'intégration d'un service d'authentification à deux facteurs (2FA) ou de mot de passe à usage unique (OTP), nous recommandons vivement de mettre en œuvre toutes ces mesures de sécurité, ou au moins une combinaison de celles-ci, pour protéger votre plateforme :
Recommandation | Description |
Réviser l'envoi mondial | |
Mettre en œuvre la limitation de débit | Utilisez une approche multiniveau par « seaux » (bucket) pour une limitation de débit plus efficace en combinant plusieurs identifiants.
|
Introduire des retards de requête | Appliquez une période de « refroidissement » entre les requêtes consécutives provenant du même numéro de téléphone, par exemple en n'autorisant qu'une seule requête toutes les 90 secondes. |
Configurer le suivi et les alertes | Créez des alertes automatisées pour vous informer des pics inhabituels de trafic de service de messagerie simple ou des requêtes à haute fréquence provenant de régions spécifiques ou de plages d'adresses IP. |
Établir des seuils d'utilisation | Définissez des limites d'utilisation claires et appliquez automatiquement des coupures une fois ces seuils atteints. Cela sert de filet de sécurité essentiel pour éviter des coûts hors de contrôle. |
Prendre en compte les règles régionales | Sachez que les modèles de fraude et les abonnements de numérotation varient selon les pays. Votre logique de sécurité devra peut-être être adaptée à différentes régions. |
Consulter un expert en sécurité | Si vous avez des doutes à propos de la meilleure mise en œuvre pour votre étude de cas, consultez un professionnel de la sécurité pour réviser votre architecture. |
Comment envoyer un OTP via le service de messagerie simple
Vous pouvez utiliser ClickSend pour la configuration de l'authentification à 2 facteurs pour votre application/site internet. Pour ce faire :
Générez l'OTP dans votre code, par ex. "1234", et stockez-le (dans une base de données sur votre serveur).
Appelez notre point de terminaison article sms/envoyer.
Autorisez l'utilisatrice à saisir l'OTP.
Votre script doit le valider par rapport à l'OTP stocké.
Il est recommandé de fixer des limites quant au nombre maximum de fois qu'une utilisatrice peut envoyer un OTP et également au nombre de fois qu'elle peut tenter de deviner l'OTP.