L'ingénierie sociale est une tactique où les attaquants manipulent les gens pour obtenir un accès ou des informations sensibles. Cela peut apparaître dans les scénarios de support client lorsqu'une personne prétend être un utilisateur légitime bloqué hors de son compte.
Même avec de bonnes pratiques d'authentification, il est difficile de prévenir entièrement ces cas — il est donc important de former votre équipe et de configurer votre espace de travail de manière défensive.
Ce guide explique comment vous pouvez utiliser les fonctionnalités d'Intercom pour réduire votre exposition et aider votre équipe à répondre efficacement lorsqu'une conversation pourrait être suspecte.
1️⃣ Sécurisez votre Messenger
Si vous utilisez Intercom pour des users connectés, vous devez toujours authentifier vos users avec un JSON Web Token (JWT). Cela garantit que le Messenger ne se lance que pour des sessions réelles et authentifiées de vos users. Toute tentative d'usurpation d'identité (par exemple, démarrer une conversation en tant qu'un autre user) échouera si le JWT n'est pas valide. Pour plus d'informations, voir : Authentification des users dans le Messenger avec des JSON web tokens (JWTs)
Vérifiez si votre Messenger est dans un état sécurisé dans les paramètres de sécurité de votre Messenger
Notez que cela ne fonctionne que pour les users, avec des user_ids, lisez la suite pour savoir comment protéger votre équipe contre les conversations suspectes de leads.
Distinguer entre Leads et Users
Lors de la consultation des conversations dans l'Inbox :
Leads sont des personnes qui démarrent des conversations tout en étant déconnectées. Ils apparaissent souvent avec peu ou pas d'informations d'identification.
Users sont ceux qui sont connectés et authentifiés, ou qui deviennent authentifiés pendant la conversation.
Les leads et users sont identifiés dans le panneau latéral de l'Inbox. Il est utile de noter comment ils sont identifiés. Voici un lead qui a démarré une conversation sur le Messenger sans entrer d'adresse email :
Voici le même lead après avoir entré une adresse email dans le Messenger.
ℹ️ Intercom ne vérifie pas que les leads possèdent les adresses email fournies dans le Messenger.
Si le user est connecté, il apparaîtra plutôt comme un user.
Si un user se connecte dans le même navigateur après avoir démarré une conversation en tant que lead, comme montré dans la capture d'écran, il sera promu en user.
Pour plus d'informations sur la différence entre leads et users, voir : Comment fonctionnent les visiteurs, leads et users dans Intercom ?
Pour en savoir plus sur la fusion des profils user et lead, voir : Fusionner les profils lead et user
Configurez des automatisations pour collecter des informations d'identification
Les automatisations et Workflows sont des moyens très puissants pour configurer Intercom afin d'adapter vos processus. Selon le lead, user ou le contenu du message, vous pouvez prendre des actions spécifiques.
Avec les Automatisations Simples, vous pouvez configurer Intercom pour :
Demander aux leads de fournir leur adresse email avant de commencer à discuter
Demander un contexte supplémentaire comme le nom, l'entreprise ou l'ID de compte
Attribuer ces discussions à des inboxes ou équipes spécifiques pour une revue supplémentaire
Construisez des workflows adaptés aux scénarios à risque
Vous pouvez créer des workflows qui répondent différemment selon qui démarre la conversation
🟡 Est-ce quelqu'un qui navigue simplement ? Posez des questions légères ou orientez vers du contenu en libre-service.
🔁 Est-ce un vrai user qui a oublié de se connecter ? Demandez la connexion et vérifiez l'email.
🚨 Est-ce un vrai user qui est bloqué hors de son compte ? : Orientez vers un flux sécurisé avec vérification des données, notes pour les coéquipiers, et attentes claires sur le temps de réponse.
Vous pouvez configurer Fin pour :
Demander aux leads de se connecter avant de continuer
Proposer des options de récupération de compte (par exemple, bouton « Je suis bloqué »)
Escalader à un humain si nécessaire — et taguer clairement la conversation pour que votre coéquipier sache faire preuve de prudence
Voici un exemple de configuration de workflow pour Leads. Dans ce cas, nous essayons de prendre en compte les 3 scénarios ci-dessus :
Ayez des inboxes et vues séparées
Pour une protection supplémentaire, vous pouvez également séparer les conversations avec des leads non authentifiés dans une inbox différente afin qu'il soit clair que tout ce qui se trouve dans cette inbox mérite une vigilance accrue.
Vous pouvez réaliser cela avec les Team Inboxes. Voir plus dans Organiser les team inboxes
Restez vigilant contre l'ingénierie sociale
Même avec les meilleures automatisations, les agents humains jouent un rôle clé.
Préparez votre équipe en :
Les former à toujours vérifier les détails des users avant de modifier un compte
Les encourager à vérifier les enregistrements users correspondants, les adresses email et l'historique de connexion
Ajouter des notes internes et des tags pour communiquer les suspicions en interne
FAQ
Comment puis-je vérifier que les leads possèdent les adresses email qu'ils saisissent dans le Messenger ?
Nous n'avons actuellement pas de fonctionnalité pour vérifier les adresses email saisies dans le Messenger. Si vous souhaitez voir cette fonctionnalité, veuillez soumettre une demande à notre équipe de support. En attendant, nous recommandons de configurer des workflows pour pousser les leads à s'inscrire, se connecter ou traiter les conversations avec plus de prudence.
Cela dit, vous pourriez potentiellement utiliser un connecteur de données pour vérifier les adresses si vous disposez de cette fonctionnalité ailleurs.