Passer au contenu principal

Sécuriser les données que vous envoyez via le Messenger

Assurez-vous de n'autoriser que des mises à jour de données fiables via votre Messenger avec des JWT et des attributs protégés

Écrit par Penny Gray

Intercom vous aide à comprendre et à soutenir vos clients en vous permettant d'envoyer et de mettre à jour les données des users — comme les noms, adresses e-mail, niveaux d'abonnement, et plus encore — en temps réel. Ces données sont cruciales pour alimenter l'automatisation, le support personnalisé et le contexte des coéquipiers.

Pour garantir que ces informations restent fiables et sécurisées, Intercom fournit des contrôles qui vérifient la source des mises à jour de données — en utilisant JSON Web Tokens (JWTs) — et des paramètres d'application optionnels pour bloquer les mises à jour non signées.

Les risques des données non sécurisées

Si un attribut de données n'est pas verrouillé

  • Des users malveillants pourraient usurper ou altérer les données envoyées à Intercom

  • Votre espace de travail pourrait refléter des informations utilisateur inexactes ou manipulées.

  • Des workflows critiques (comme les messages ciblés ou les automatisations de support) pourraient être déclenchés sur la base d'entrées non fiables.

Signer vos attributs de données avec des JWTs

Pour prévenir toute altération, Intercom prend en charge JSON Web Tokens (JWTs). Les JWTs vous permettent de signer les données des users que vous envoyez à Intercom, prouvant qu'elles proviennent de votre backend et non du navigateur d'un user.

Cela s'applique à :

  • Attributs standard comme le nom, l'e-mail, la date d'inscription, etc.

  • Attributs personnalisés que vous définissez pour suivre des détails supplémentaires des users.

Lors de l'utilisation des JWTs :

  • Vous générez un token sur votre backend avec tous les attributs que vous souhaitez mettre à jour.

  • Vous signez le token en utilisant une clé secrète.

  • Vous envoyez le JWT à Intercom avec la session user.


Voir plus ici :

Application des mises à jour d'attributs signées

Par défaut, Intercom accepte les mises à jour d'attributs provenant de sources signées et non signées (par exemple, directement depuis le navigateur ou depuis votre backend). Pour sécuriser pleinement vos données, vous devez activer le paramètre « Exiger des mises à jour vérifiées » dans Intercom.

Lorsque ce paramètre est activé, toute tentative de définir ou de mettre à jour des attributs via le Messenger est ignorée à moins qu'elle ne provienne d'une requête authentifiée (comme via JWT ou l'API REST). Cela garantit que seules des sources fiables et vérifiées peuvent modifier les données des users dans Intercom.

Nous vous recommandons d'activer ce bouton pour tout attribut que vous envoyez dans votre JWT.

  1. Allez dans Paramètres > Données > People

  2. Choisissez l'attribut que vous souhaitez verrouiller

  3. Activez le bouton pour « Exiger des mises à jour vérifiées »

Ce bouton de mise à jour d'attribut ne vous empêche pas de collecter des données directement auprès des leads avec un bot. Ces données proviennent directement du user.

Important : Il s'agit d'un paramètre global à l'espace de travail. Assurez-vous que votre backend est entièrement configuré pour signer tous les attributs requis avant d'activer.

Bonnes pratiques

  • Signez toutes les mises à jour importantes des données des users avec des JWTs, en particulier celles utilisées pour la messagerie, le ciblage ou la logique métier.

  • Verrouillez vos attributs dans Paramètres > Données > People.

  • Ne jamais exposer votre secret JWT dans aucun code front-end.

  • Ajoutez une expiration de token (exp) pour limiter l'impact de la réutilisation du token.

FAQ

Quelles sont les protections d'attributs ?

Chaque attribut que vous envoyez concernant les users ou les entreprises à Intercom peut être verrouillé avec un bouton pour exiger des mises à jour vérifiées via le canal Messenger. Si vous verrouillez un attribut, seules les valeurs envoyées via un JWT sécurisé ou l'API REST peuvent mettre à jour cette valeur. Cela empêche les mises à jour non autorisées des données des users, garantissant que seules les mises à jour provenant de vous sont appliquées aux données du user.

Vous pouvez vérifier le statut de votre attribut dans Paramètres > Données > People. Pour en savoir plus sur la sécurisation de votre Messenger avec les JWTs, consultez notre article d'aide.

Cela s'applique-t-il aussi aux attributs standard ?

Oui. Vous devez verrouiller tous les attributs, standard et personnalisés depuis Paramètres > Données > People.

Que se passe-t-il si mon frontend envoie des données sans JWT après activation de l'application ?

Les données sont ignorées. Intercom n'appliquera pas les mises à jour à moins que le JWT ne soit présent et valide.

Puis-je tester l'application des JWT avant de l'activer en production ?

Oui. Utilisez votre espace de travail de test pour vérifier votre implémentation.

Ressources associées

Articles connexes
Dépannage lorsque le Messenger n'apparaît pas
Modifier et mettre à jour les données
Exigences du portail client
Migration de la vérification d'identité à la sécurité Messenger avec les JWTs
Avez-vous trouvé la réponse à votre question ?