Quelqu'un d'autre utilise-t-il votre compte Twilio ? Meilleures pratiques pour protéger votre token d'authentification
Temps de lecture: 3 minutes
December 04, 2018
Rédigé par
Avec plus de 5 milliards d'utilisateurs de téléphones portables dans le monde, les pirates cherchent constamment des moyens d'abuser des personnes peu méfiantes via leurs appareils connectés. Le smishing est une attaque d'ingénierie sociale très courante qui utilise les SMS et que les opérateurs de télécommunications s'efforcent de résoudre. Se faisant passer pour une entité digne de confiance, un acteur malveillant envoie des messages texte pour demander des informations personnelles telles que des mots de passe ou des numéros de carte de crédit. Il suffit que quelques personnes tombent dans le piège pour que l'attaque porte ses fruits, en particulier si le pirate utilise des identifiants de compte Twilio volés pour envoyer les messages.
Chez Twilio, nous accordons une grande importance à la confiance, c'est pourquoi nous souhaitons vous protéger, vous et vos utilisateurs, contre les attaques de smishing. Dans cet article, nous vous présentons quelques meilleures pratiques pour protéger votre compte.
Meilleures pratiques pour vous protéger contre la fraude et le phishing avec Twilio
Une personne qui vole votre token d'authentification Twilio peut utiliser votre compte comme vous, en faisant ce qu'elle veut sans aucune répercussion. Les fraudeurs peuvent passer des appels, envoyer des messages à l'aide de votre identité de confiance, télécharger des journaux ou modifier les paramètres d'URL de vos numéros de téléphone Twilio.
Lorsque votre token d'authentification est détourné, cela peut très rapidement entraîner des frais importants pour votre compte Twilio. Pire encore, si votre token d'authentification tombe entre de mauvaises mains, cela peut nuire irrémédiablement à votre réputation et à la relation de confiance entre vous et vos clients.
Pour remédier à ces situations, nous avons renforcé nos contrôles de détection des activités frauduleuses sur les comptes. Nous souhaitons mettre l'accent sur les précautions que les clients peuvent prendre pour éviter tout accès indésirable à leur compte. Voici quelques pratiques de sécurité de base pour vous aider à protéger votre token d'authentification Twilio contre les utilisations frauduleuses.
Protégez votre token d'authentification
Ne donnez jamais votre token d'authentification, ne le stockez pas sur Internet et ne le laissez pas traîner. Protégez-le avec autant de prudence qu'un mot de passe, car c'est précisément ce qu'il est.
Ne codez pas en dur des clés ou des tokens
Ne codez jamais en dur des clés ou des tokens dans votre application. Il n'est pas facile de récupérer ces informations d'identification en décompilant l'application. Pour éviter d'exposer les clés ou les tokens pendant le développement d'applications, effectuez les appels d'API Twilio depuis votre serveur et non depuis le client.
N'envoyez pas les informations d'identification vers des référentiels publics
N'envoyez jamais vos tokens vers des référentiels publics sur GitHub. Si vous le faites par erreur, faites-le pivoter immédiatement (voir le conseil suivant). Définissez votre token d'authentification en tant que variable d'environnement, et référencez la variable de votre code. Cela empêche le token d'authentification d'être exposé et le code de passer des appels d'API depuis un environnement non autorisé
Faites pivoter vos tokens régulièrement
Modifiez régulièrement vos tokens d'authentification afin qu'ils ne soient plus exploitables pour le phishing ou d'autres cyberattaques s'ils ont été compromis. La règle est de considérer les informations d'identifications comme une brosse à dents : faites-les pivoter tous les trois mois et ne les partagez pas avec d'autres personnes.
Créez des tokens à portée limitée
Envisagez l'utilisation d'access tokens d'API basés sur l'heure pour des mécanismes d'authentification plus granulaires au lieu d'utiliser le SID et le token d'authentification.
Surveillez votre compte
Gardez un œil sur votre compte et surveillez les frais que vous ne reconnaissez pas.
La protection de votre token d'authentification fait partie intégrante d'une bonne stratégie de sécurité générale. Twilio s'engage à instaurer et à maintenir la confiance, et nous souhaitons vous fournir les outils et les conseils adaptés pour sécuriser correctement vos applications et gérer vos données. Pour plus d'informations, consultez la documentation relative à l'authentification et l'identité des utilisateurs.
Éviter la fraude et le phishing dès la conception
Une sécurité adéquate dans votre application Web commence par les meilleures pratiques simples que nous venons de voir. En protégeant vos identifiants de compte et en restant vigilant face à toute activité frauduleuse, vous pouvez protéger vos clients, votre réputation et vos résultats.
Pour plus d'informations sur la prévention de la fraude et la protection de votre compte, consultez notre guide du développeur contre la fraude.
Ressources connexes
Twilio Docs
Des API aux SDK en passant par les exemples d'applications
Documentation de référence sur l'API, SDK, bibliothèques d'assistance, démarrages rapides et didacticiels pour votre langage et votre plateforme.
Centre de ressources
Les derniers ebooks, rapports de l'industrie et webinaires
Apprenez des experts en engagement client pour améliorer votre propre communication.
Ahoy
Le hub de la communauté des développeurs de Twilio
Meilleures pratiques, exemples de code et inspiration pour créer des expériences de communication et d'engagement numérique.