La vérification d'identité garantit que les conversations entre vous et vos users restent privées, et qu'un acteur malveillant ne peut pas usurper l'identité de vos users. Si vous avez une intégration Messenger avec users connectés, nous vous recommandons fortement d'utiliser la vérification d'identité.
⚠️ La vérification d'identité est désormais obsolète.
La vérification d'identité a été abandonnée et la clé secrète de vérification d'identité n'est plus exposée. L'utilisation du secret client de l'application pour générer un user_hash entraînera une erreur user_hash invalide. JWT (JSON Web Token) est désormais la méthode recommandée pour sécuriser Messenger. Consultez le guide de configuration JWT pour les meilleures pratiques actuelles.
Ai-je besoin de la vérification d'identité ?
En bref, si vous avez une intégration Messenger avec users connectés, vous devez configurer et appliquer la vérification d'identité.
Si vous utilisez Intercom uniquement pour les visiteurs du site qui ne se connectent pas, vous n'avez pas besoin de la vérification d'identité. Cela ne s'applique qu'aux users, pour lesquels vous avez des identifiants comme l'adresse e-mail ou user_id.
Pour plus d'informations, veuillez consulter : Comment fonctionnent les visiteurs, leads et users dans Intercom ?
Qu'est-ce qu'une attaque d'usurpation d'identité d'un user ?
Sur les espaces de travail sans vérification d'identité, un acteur malveillant peut usurper l'identité d'un user. Cela signifie qu'un acteur malveillant pourrait voir les conversations historiques d'un user, apparaître à vos coéquipiers comme ce user et les tromper pour qu'ils effectuent des actions sur le compte de ce user.
Par exemple, sans vérification d'identité, quelqu'un peut interagir avec votre Messenger Intercom et usurper l'identité d'un autre user en fournissant un identifiant connu comme leur adresse e-mail ou user_id. Cela permet à un attaquant de se faire passer pour un vrai user auprès de vos coéquipiers, donnant accès aux conversations précédentes et potentiellement à des données sensibles.
Comment la vérification d'identité protège-t-elle mon espace de travail ?
Avec la vérification d'identité, vous générez un hash utilisateur unique pour chacun de vos users basé sur leur adresse e-mail ou user_id et le secret de vérification d'identité de votre espace de travail (disponible dans vos paramètres de sécurité Intercom). Votre intégration générera et enverra ces hashes avec chaque requête Messenger, ce qui nous permet de vérifier que la requête utilisateur provient bien de vous.
Voici comment vos requêtes Messenger web sont protégées contre l'usurpation lorsque vous activez correctement la vérification d'identité pour votre espace de travail.
La vérification d'identité empêche l'usurpation croisée des users sur votre espace de travail car sans accès à votre secret, un tiers tentant de falsifier l'identifiant d'un user auprès d'Intercom ne pourra pas envoyer un user hash valide pour cet user.
Une fois la vérification d'identité appliquée, le Messenger Intercom ne chargera ni n'acceptera les requêtes pour vos users connectés sans un user hash valide.
La vérification d'identité affecte-t-elle l'expérience utilisateur ?
Avec la vérification d'identité correctement configurée, il n'y a aucun impact pour vos clients. Users et Leads vivront l'expérience Messenger normalement. Aucune action supplémentaire n'est requise de leur part pour s'authentifier ou utiliser Messenger.
Quelle est la différence entre Leads et Users ?
Intercom fait une distinction claire entre :
Visiteurs - clients inconnus de votre site qui ne sont pas connectés et n'ont pas d'historique de conversation avec vous,
Leads - clients qui démarrent une conversation avec vous ou répondent à un message. Ils sont identifiés par des noms comme « Charcoal Umbrella from Paris » et reçoivent un cookie Intercom pour se souvenir de leur historique de conversation,
Users - clients qui s'inscrivent à votre produit et se connectent à un compte existant. Vous les identifiez généralement par adresse e-mail ou user ID
Pour plus d'informations, veuillez consulter : Comment fonctionnent les visiteurs, leads et users dans Intercom ?
Quand un Lead devient-il un User ?
Un Lead est converti en User lorsque l'une des actions suivantes se produit :
Le Lead s'inscrit à votre produit.
Le Lead se connecte à un compte existant. Lors de cette transition, tout l'historique d'interaction du profil Lead est conservé et fusionné dans leur profil User. Cependant, des actions comme ajouter un Lead en tant que participant à un fil d'e-mail ne le convertissent pas automatiquement en profil User.
Pourquoi des IDs de Lead en double peuvent-ils être créés ?
Intercom utilise des cookies pour suivre les Leads. Dans certains cas, des IDs de Lead en double peuvent être générés pour la même personne dans des situations comme :
Utilisation de la navigation privée/incognito.
Accès au système via un réseau privé virtuel (VPN).
Lorsque les cookies expirent ou sont effacés manuellement. Ce comportement peut entraîner plusieurs profils pour la même personne si leurs identifiants comme l'e-mail ne sont pas cohérents.
Dois-je configurer la vérification d'identité pour les visiteurs ?
Lorsque Intercom est installé pour les visiteurs du site qui ne se connectent pas, vous n'avez pas besoin de la vérification d'identité. Cela ne s'applique qu'aux users, pour lesquels vous avez des identifiants comme l'adresse e-mail ou user_id.
En d'autres termes, lorsque vous activez la vérification d'identité pour votre espace de travail, Intercom n'attendra un user_hash que lorsque le Messenger est chargé pour un user. Cependant, lorsque le Messenger est chargé pour un visiteur/lead déconnecté, un user_hash n'est pas requis.
Pourquoi n'avez-vous pas un secret unique pour toutes les plateformes ?
Nous avons créé un secret unique pour chaque plateforme afin de faciliter la rotation de chacun ou d'activer la vérification d'identité indépendamment sur chaque plateforme.
Il était auparavant possible de gérer et de faire tourner vos clés depuis les paramètres de sécurité de votre Messenger. La clé secrète de vérification d'identité n'est plus exposée. JWT est désormais la méthode recommandée pour sécuriser Messenger. Consultez le guide de configuration JWT pour vous configurer.
Comment générer un hash unique par plateforme lorsque j'utilise le même backend pour tous les users ?
Vous ne devez pas générer le hash et le stocker dans votre base de données. Vous devez plutôt le générer et l'envoyer dynamiquement lors de l'identification du user à Intercom. Cela signifie que lorsque vous changez de secret ou que le user utilise une plateforme différente, vous enverrez le hash correct.
Si vous stockez le hash et l'envoyez, vous devrez faire une régénération massive à chaque changement de secret, ce qui créerait des frictions pour vous.
Si vous avez installé Intercom avec la gem rails, vous n'avez pas besoin de générer un hash sur votre serveur et de nous le renvoyer avec les données du user. La gem gère la génération du hash tant que les étapes concernant le secret sont suivies comme indiqué dans l'interface utilisateur.
La vérification d'identité protège-t-elle à la fois les valeurs user_id et adresse e-mail ?
Non, la vérification d'identité vous oblige à créer un hash unique en utilisant le secret et soit le user_id soit l'adresse e-mail du user. Si vous envoyez des user_ids avec vos requêtes Messenger, vous devez créer le hash en utilisant cet identifiant. Si vous n'envoyez pas de user_ids, vous le générez avec le champ adresse e-mail.
✅ La vérification d'identité ne protège pas les attributs mais nous avons une fonctionnalité améliorée utilisant les JWT qui vous permettra de protéger tous les attributs.
Voir plus ici :
Quels sont tous les domains sous « Intégrations actives avec users connectés » ? Je ne les reconnais pas.
Ce sont les domains depuis lesquels nous avons reçu une requête User avec l'ID de votre espace de travail. Cela peut inclure des domains supplémentaires si vous avez installé Intercom sur d'autres domains pour des tests. Si vous voyez des domains que vous ne reconnaissez pas, nous vous recommandons d'ajouter une liste de domains de confiance.
Il n'est pas possible de supprimer des domains de cette liste pour le moment, mais si vous voyez un domain ici, cela signifie que nous avons reçu un ping de celui-ci à un moment donné, il est donc important de vous assurer que votre intégration est correctement configurée pour ne pas casser le Messenger pour certains de vos users.
Découvrez comment configurer et activer la vérification d'identité pour le web et le mobile.