Sécuriser les médias entrants

L'API Messages offre désormais aux entreprises la possibilité de renforcer la sécurité pour protéger les fichiers multimédias qui leur sont envoyés par leurs utilisateurs finaux. Les fichiers multimédias des utilisateurs finaux sont par exemple des images, des vidéos et des PDF. Selon le cas d'utilisation, ces fichiers peuvent contenir des images ou des informations sensibles que les entreprises et leurs clients souhaitent protéger.

Sécurité standard ou renforcée des médias entrants

Standard

Les fichiers de médias entrants sont téléchargés sur nos serveurs de médias centralisés avec une URL unique. Cette URL unique est valable pendant 48 heures pour permettre à l'entreprise de télécharger le fichier. Il peut y avoir quelques risques mineurs associés à cela. Par exemple :

  • Une attaque par force brute pourrait révéler l'URL
  • Toute personne en possession de l'URL pouvait accéder au fichier sans avoir à fournir d'informations d'identification supplémentaires pour le compte.

Améliorée

Avec la sécurité renforcée des médias entrants, les entreprises ne peuvent accéder aux fichiers multimédias qu'à l'aide d'un JWT (JSON Web Token) généré à partir des informations d'identification de leur compte. L'activation de cette fonctionnalité ajoute une couche de sécurité lors de l'accès aux médias. Pour assurer la compatibilité ascendante, nous avons rendu cette fonctionnalité facultative.

Mise en place

Pour y accéder, ils devront

  1. Créer une application Vonage
  2. Lier leur numéro à l'application
  3. Générer un JWT à partir de l'application
  4. Activez la fonction Messages et activez l'option "Secure Inbound Media".

De plus amples informations sur les Applications sont disponibles ici.

Accès aux supports sécurisés

Lorsqu'un utilisateur final envoie un message contenant un fichier multimédia, l'entreprise reçoit un rappel contenant l'URL du fichier multimédia. L'accès au fichier multimédia nécessitera un GET à l'URL avec un Authorization avec une valeur définie comme un JWT généré à l'aide de l'identifiant d'application et de la clé privée associés à la même application Vonage où le webhook qui a reçu le message entrant a été configuré.

Voici un exemple de requête cURL avec le jeton :

curl --location --request GET 'https://api-us.nexmo.com/v3/media/1b456509-974c-458b-aafa-45fc48a4d976' \ --header 'Authorization: Bearer '$JWT

Si la demande aboutit, vous obtiendrez un code 200 et le fichier multimédia. Si elle échoue, vous obtiendrez une réponse non autorisée.