API de validation en temps réel : comment prévenir le vol au cours de la nouvelle année

Lorsqu'il s'agit d'empêcher les mauvaises données d'entrer dans votre CRM, la validation en temps réel peut faire toute la différence. Mais saviez-vous que cela peut également mettre votre entreprise en danger ?

Le vol est un problème courant avec les API de validation en temps réel. Préparer votre entreprise à faire face au vol peut vous aider à protéger vos données, à économiser de l'argent et à prévenir de futures attaques.

Pendant que vous vous êtes concentré sur la croissance de votre liste de diffusion et la maximisation des revenus en cette saison des fêtes, il est possible que vous ayez laissé votre entreprise vulnérable au vol.

Approfondissons les API de validation en temps réel, les défis qu'elles présentent et les mesures que vous pouvez prendre pour protéger votre entreprise au cours de la nouvelle année.

Qu'est-ce que la validation en temps réel ?

Supposons qu'un client clique sur l'un des CTA de votre campagne par e-mail ou sur les réseaux sociaux. Vous proposez de retirer 20 % de leur achat en échange d'une newsletter mensuelle. Cela ressemble à une bonne offre! Ils décident donc d'ajouter leur adresse e-mail au formulaire d'inscription.

Sauf qu'ils ne le font pas. Ils entrent une adresse e-mail au hasard dans l'espoir d'esquiver leur part du marché. Ou peut-être qu'ils tapent leur véritable adresse e-mail, mais laissent accidentellement une faute de frappe. Quoi qu'il en soit, lorsqu'ils vont soumettre, ils reçoivent un gentil message de rétroaction : "Il semble que votre adresse e-mail ne soit pas valide. Pouvez-vous vérifier à nouveau ? »

Vous venez de vous assurer qu'un client agit de bonne foi et que l'autre récupère gracieusement d'une véritable erreur. C'est la validation en temps réel.

La validation en temps réel fonctionne en effectuant un contrôle de validation (à l'aide d'une API de validation tierce) sur des informations telles que les adresses e-mail, les adresses postales et les numéros de téléphone avant qu'un client ne soumette un formulaire. Cela peut être fait pour les inscriptions à la newsletter, les formulaires d'achat, les formulaires d'inscription ou tout autre type d'entrée générant des prospects.

La validation en temps réel maintient les mauvaises informations hors de vos listes de contacts en les empêchant d'y arriver en premier lieu. Ceci est important car l'envoi systématique à des adresses non valides peut nuire à votre réputation auprès des fournisseurs de boîtes aux lettres et entraîner des problèmes de délivrabilité.

Le défi des API de validation en temps réel

Tout cela sonne bien. Mais malheureusement, les pirates le pensent aussi.

Le vol est l'un des plus gros problèmes auxquels vous serez confronté en ce qui concerne les API de validation en temps réel. Selon les ressources de votre équipe d'ingénieurs, il peut être difficile d'anticiper. Mais s'il est totalement ignoré, il peut rapidement devenir un risque commercial sérieux.

Voici deux des principaux types de vol auxquels vous devez faire attention :

Vol de validation

Mettre la validation sur un formulaire public signifie que tout le monde y a accès. C'est bien, non ?

Oui et non. Cela signifie que les mauvais acteurs peuvent également y accéder. Ces personnes aimeraient également que leurs listes de diffusion soient validées. S'ils découvrent que votre formulaire peut le faire, ils peuvent écrire des scripts automatisés pour insérer à plusieurs reprises leurs adresses e-mail dans votre formulaire, déclencher l'étape de validation et recueillir les résultats. En termes simples, ils effectuent des validations à vos frais.

Ces types d'attaques peuvent coûter des dizaines de milliers de dollars aux entreprises peu méfiantes en quelques minutes. Des équipes d'ingénieurs expérimentés peuvent (et doivent) se prémunir contre ce type d'attaque, mais cela nécessite des heures de planification et de développement supplémentaires qui peuvent soit ne pas être prises en compte au début d'un projet d'intégration, soit simplement être indisponibles en raison des ressources.

Vol de clé API

Les services de validation vous donneront une clé API avec votre compte qui vous permettra d'accéder à son API. Celui qui détient cette clé a accès aux services que vous payez. La clé API est également nécessaire pour la validation en temps réel dans vos formulaires, elle doit donc être incluse dans votre code.

Charger une page Web, c'est comme faire un gâteau. Au début, la recette entière (y compris l'ingrédient secret, ou dans ce cas, la clé API) n'est connue que du boulanger. Mais une fois cuit, de nombreux ingrédients sont fixés et visibles par tous.

Il en est de même avec le web. Ouvrez simplement n'importe quel navigateur, chargez une page, ouvrez l'inspecteur de code et vous verrez les ingrédients visibles (ou le code orienté client). Les parties visibles de votre code sont généralement anodines. Mais si votre équipe d'ingénieurs décide d'emprunter la voie la plus simple et d'inclure la clé API dans le code destiné au client, tout mauvais acteur peut se présenter, saisir la clé et utiliser les crédits de validation que vous avez payés.

Des équipes d'ingénieurs expérimentés peuvent s'en prémunir en créant un moyen pour que la clé API reste secrète (dans la partie secrète de la recette, ou code back-end). Mais cela peut facilement être négligé et nécessite plus de travail pour être mis en œuvre de manière sûre et rapide.

Les enjeux sont plus élevés pendant les périodes de vente à fort volume

L'opportunité de développer des listes de diffusion et de générer des revenus est énorme pendant les périodes de vente à haut volume comme la saison des fêtes, le début de la nouvelle année et même la Saint-Valentin. Cependant, ce sont aussi des moments parfaits pour les mauvais acteurs à la recherche de formulaires non protégés et de clés API pour s'attaquer à votre entreprise.

Entrez la clé publique

Une clé API standard est une clé privée . Les efforts pour maintenir cette confidentialité nécessitent plus de temps, de compétences et des coûts de développement plus élevés (si vous avez les ressources pour cela).

Une bonne solution est celle qui ne nécessite pas de confidentialité : une clé API publique .

Pensez aux clés privées et publiques comme les doubles portes que vous utilisez pour entrer dans un grand magasin (si vous faites toujours ce genre de choses). Les deux portes existent pour protéger l'intérieur du magasin des intempéries. Tout ce qui se trouve à l'extérieur est capturé dans l'espace entre la première porte (la clé publique) et la deuxième porte (la clé privée).

Voyons comment ils résolvent nos deux problèmes de vol :

• Vol de validation : vous ne pouvez pas empêcher un mauvais acteur de visiter votre site et de tenter de détourner votre formulaire, mais vous pouvez atténuer le risque. La beauté d'utiliser une clé publique (ou la "porte extérieure") est que vous contrôlez l'espace entre les deux.

Étant donné que les appels de validation doivent entrer dans cet espace, vous décidez quoi en faire. En limitant le nombre de fois qu'un appel de validation peut être effectué par un utilisateur donné (par minute ou par seconde), vous limitez considérablement les dégâts qu'un pirate de l'air peut faire. Vous présentez également une cible beaucoup moins attrayante. Si vous avez les ressources, votre équipe d'ingénieurs peut créer des fonctionnalités personnalisées pour ce faire, ou vous pouvez laisser un service qui fournit une limitation via des clés d'API publiques le faire pour vous.

• Vol de clé d'API : étant donné que les clés publiques sont destinées à être utilisées dans le code destiné au client, vous n'avez pas besoin de développer des méthodes sophistiquées pour les garder secrètes. Vous pouvez littéralement le laisser exposé, car vous négociez l'espace entre les portes.

Vous pouvez restreindre les appels de validation par leur domaine d'origine, ce qui signifie que vous pouvez rejeter tous les appels d'API provenant de domaines auxquels vous n'êtes pas associé. Ainsi, même si un mauvais acteur vole la clé, celle-ci aura beaucoup moins de valeur pour lui. Toute mise en œuvre de clés publiques (qu'il s'agisse de votre propre solution personnalisée ou d'un service de validation) doit utiliser au moins deux facteurs pour arbitrer les demandes qui franchissent vos portes. La limitation de débit et la liste blanche de domaine sont un bon début.

La meilleure partie de l'utilisation d'un service de validation qui prend en charge les clés publiques est que vous pouvez cesser de vous soucier du temps et des ressources de développement. Le travail d'intégration d'une API de validation avec une clé publique est beaucoup plus simple (donc plus rapide), car de nombreuses questions autour de la sécurité sont résolues en amont.

Conclusion

La nouvelle année présentera de nombreuses opportunités pour développer votre liste de diffusion, il est donc important de vous assurer que seules des données valides entrent dans votre CRM. Assurez-vous d'empêcher les mauvais acteurs de tirer parti de votre API de validation en utilisant un service de validation qui prend en charge les clés publiques.

BriteVerify, par exemple, peut vous aider à atténuer le risque de vol d'API tout en garantissant que les contacts saisissent des données précises dans vos formulaires Web.

Pour en savoir plus, planifiez une démonstration avec nous aujourd'hui.