Fonctionnalites de Securite Avancees

Disponible dans :

Post Affiliate Pro , Post Affiliate Pro Ultimate , Post Affiliate Network

Post Affiliate Pro fournit des fonctionnalites de securite de niveau entreprise concues pour proteger votre programme d’affiliation contre l’acces non autorise, les abus et la fraude. Ce guide couvre les mecanismes de securite avances integres dans la plateforme.

Methodes d’Authentification API

L’API v3 de Post Affiliate Pro utilise des normes d’authentification modernes pour assurer un acces securise aux donnees et operations de votre programme d’affiliation.

Authentification par Cle API

Les cles API fournissent une methode securisee pour la communication serveur-a-serveur. Chaque cle API dans Post Affiliate Pro inclut :

• ID de Token et Hash : Les cles API utilisent un format de token securise avec un identifiant unique et un secret hashe cryptographiquement. Le token en clair n’est jamais stocke dans la base de donnees.
• Date d’Expiration : Vous pouvez definir une date d’expiration pour les cles API afin d’assurer une rotation reguliere.
• Acces Base sur les Roles : Chaque cle herite des permissions du role utilisateur associe.
• Restrictions de Scope : Definissez des scopes specifiques pour limiter les operations que la cle API peut effectuer.
• Liste Blanche d’IP : Restreignez l’utilisation des cles API a des adresses IP ou plages CIDR specifiques.
• Suivi d’Utilisation : Le systeme suit quand chaque cle a ete utilisee pour la derniere fois et combien de fois elle a ete accedee.

Pour vous authentifier avec une cle API, incluez-la comme token Bearer dans l’en-tete Authorization :

Authorization: Bearer pap_XXXXXXXXXX_YYYYYYYYYYYYYYYYYYYYYYYYYYYY

Authentification OAuth 2.0

Pour les integrations tierces et l’acces temporaire, Post Affiliate Pro supporte les tokens bearer OAuth 2.0 avec validation de scope. L’authentificateur OAuth :

• Valide les tokens bearer par rapport a la base de donnees des cles API
• Verifie que le token a tous les scopes requis pour l’operation demandee
• Retourne des messages d’erreur clairs pour les permissions insuffisantes (HTTP 403)
• S’integre de maniere transparente avec le systeme de limitation de taux

Les permissions basees sur les scopes permettent un controle granulaire sur ce que chaque token peut acceder, garantissant que les integrations tierces n’ont acces qu’aux donnees dont elles ont besoin.

Limitation de Taux

Post Affiliate Pro implemente une limitation de taux intelligente pour proteger votre programme d’affiliation contre les abus, les tentatives de deni de service et les scripts d’automatisation incontroles.

Limites de Taux API Globales

L’API v3 applique les limites de taux suivantes :

• 100 requetes par minute pour tous les endpoints API
• 10 tentatives d’authentification echouees par minute par adresse IP pour l’authentification par token bearer

Lorsque vous depassez la limite de taux, l’API retourne :

• Code de statut HTTP 429 (Too Many Requests)
• En-tete Retry-After indiquant quand vous pouvez reessayer
• En-tete X-RateLimit-Limit montrant le nombre maximum de requetes autorisees
• En-tete X-RateLimit-Remaining montrant les requetes restantes dans la fenetre actuelle
• En-tete X-RateLimit-Reset montrant quand la limite de taux se reinitialise

Algorithme de Token Bucket

La limitation de taux utilise un algorithme de token bucket qui fournit :

• Fenetres de temps configurables (seconde, minute, heure, jour, semaine, mois)
• Rechargement progressif des requetes disponibles dans le temps
• Protection contre les abus soutenus et les attaques par rafale
• Buckets separes pour differents types d’operations (authentification, reinitialisation de mot de passe, inscriptions, etc.)

Limitation de Taux d’Authentification

Les tentatives d’authentification echouees sont suivies separement pour prevenir les attaques par force brute :

• Les authentifications par token bearer echouees consomment des tokens d’un bucket specifique a l’IP
• Apres 10 tentatives echouees en une minute, les tentatives d’authentification ulterieures sont bloquees
• L’authentification reussie reinitialise le compteur d’echecs pour cette IP
• Le statut de limite de taux est journalise pour la surveillance de securite

Securite des Sessions

Post Affiliate Pro implemente une gestion robuste des sessions pour proteger les comptes utilisateurs.

Fonctionnalites de Gestion des Sessions

• ID de Session Securises : Les sessions utilisent des identifiants securises cryptographiquement de 32 caracteres
• Validation de Session : Chaque requete valide l’etat de la session et le module associe
• Expiration de Session : Les sessions expirees sont automatiquement detectees et gerees
• Stockage de Session : Les sessions peuvent etre stockees en base de donnees ou Redis pour les environnements haute performance
• Controle Multi-Session : Les utilisateurs peuvent voir leurs autres sessions terminees lors de changements sensibles en securite

Terminaison de Session sur Evenements de Securite

Lorsque des evenements de securite critiques se produisent, Post Affiliate Pro termine automatiquement les sessions associees :

• L’activation de l’authentification a deux facteurs invalide toutes les autres sessions actives
• Les changements de mot de passe peuvent declencher l’invalidation de session
• La suppression de cle API termine les sessions associees
• Les changements de statut de compte declenchent le nettoyage des sessions

Protection des Connexions

Post Affiliate Pro fournit une protection complete des connexions avec des parametres configurables pour les panneaux marchand et affilie.

Restrictions Basees sur l’IP

Adresses IP Bannies : Bloquez les tentatives de connexion depuis des adresses IP ou plages specifiques. Le systeme :

• Valide les adresses IP par rapport a la liste bannie avant de traiter la connexion
• Vous empeche de bannir accidentellement votre propre adresse IP actuelle
• Supporte des listes bannies separees pour les panneaux marchand et affilie

Adresses IP Autorisees : Restreignez l’acces de connexion a une liste blanche d’adresses IP approuvees :

• Seuls les utilisateurs se connectant depuis les IP sur liste blanche peuvent se connecter
• Supporte a la fois les adresses IP individuelles et les plages d’IP
• Vous protege contre le verrouillage de vous-meme en validant que votre IP actuelle est sur la liste avant la sauvegarde

Limitation de Taux pour les Connexions

Les tentatives de connexion sont limitees en taux pour prevenir les attaques par force brute :

• Limitation de Taux Par IP : Limite le nombre de tentatives de connexion depuis une seule adresse IP par heure
• Limitation de Taux Par Nom d’Utilisateur : Limite les tentatives contre un nom d’utilisateur specifique pour prevenir les attaques ciblees
• Limites configurables pour les panneaux marchand et affilie
• Les tentatives echouees sont suivies en utilisant le systeme de token bucket

Service de Cle de Connexion

Pour les fonctionnalites de connexion unique securisee et “Se connecter en tant que”, Post Affiliate Pro utilise des cles de connexion temporaires :

• Les cles de connexion sont valides seulement 30 secondes
• Chaque cle ne peut etre utilisee qu’une fois (consommee a l’utilisation)
• Les cles sont generees cryptographiquement en utilisant des fonctions aleatoires securisees
• Les verifications de permission garantissent que seuls les utilisateurs autorises peuvent generer des cles de connexion pour d’autres comptes

Protection Contre la Fraude aux Ventes

Post Affiliate Pro inclut un plugin dedie de Protection Contre la Fraude au Tracking des Ventes qui utilise des sommes de controle MD5 pour verifier l’authenticite des transactions.

Comment Ca Fonctionne

1. Lorsqu’une vente est tracee, le systeme calcule une somme de controle MD5 en utilisant le cout total, l’ID de commande et une cle secrete
2. Cette somme de controle doit etre incluse avec la requete de tracking de vente
3. Le systeme recalcule la somme de controle et la compare avec la valeur soumise
4. Si les sommes de controle ne correspondent pas, la transaction est refusee

Options de Configuration

• Cle Secrete Globale : Definissez une cle secrete par defaut pour toutes les campagnes
• Cles Specifiques par Campagne : Remplacez la cle globale par des cles uniques par campagne pour une securite supplementaire
• Parametre de Somme de Controle : Choisissez quel champ de donnees porte la somme de controle (data1 a data5)

Cette protection garantit que seules les ventes legitimes de votre site web sont tracees, empechant les soumissions de transactions frauduleuses depuis des sources externes.

Protection Contre la Fraude aux Clics

Post Affiliate Pro surveille tous les clics et peut automatiquement refuser ou ignorer ceux qui sont frauduleux.

Methodes de Detection

Detection de Clics en Double : Identifie les clics depuis la meme adresse IP dans une periode configurable :

• Definissez la fenetre de temps en secondes
• Exigez optionnellement le meme user agent pour la detection de doublons
• Exigez optionnellement la meme banniere ou campagne pour une detection plus stricte
• Choisissez de refuser (marquer comme frauduleux) ou de ne pas sauvegarder le clic

Protection IP Bannie : Bloquez les clics de mauvais acteurs connus :

• Definissez les adresses IP et plages bannies
• Les clics depuis les IP bannies sont automatiquement refuses ou ignores
• Parametres separes disponibles par compte

Protection Referent Banni : Bloquez les clics depuis des URL de referent suspectes :

• Definissez des patterns pour les URL de referent bannies
• Empeche la fraude aux clics depuis certains sites web ou sources de trafic

Listes IP/Referent Autorisees : Creez des listes blanches pour le trafic legitime :

• N’acceptez les clics que depuis des plages d’IP approuvees
• N’acceptez les clics que depuis des URL de referent approuvees
• Option pour autoriser les referents vides
• Option pour autoriser les domaines de destination de banniere

Actions de Protection Contre la Fraude

Pour chaque type de detection, vous pouvez choisir :

• Refuser : Sauvegarder le clic mais le marquer comme refuse (visible dans les rapports)
• Ne pas sauvegarder : Ignorer completement le clic (non sauvegarde en base de donnees)

Protection Contre la Fraude aux Actions/Ventes

Des protections similaires existent pour le tracking des ventes et des leads.

Detection de Doublons

Commandes en Double depuis la Meme IP : Detectez plusieurs ventes depuis la meme adresse IP :

• Fenetre de temps configurable en secondes
• Correspondance optionnelle par user agent, campagne, ID de produit, ID de commande ou type de commission
• Empeche les soumissions de ventes frauduleuses rapides

ID de Commande en Double : Detectez les ventes avec le meme ID de commande :

• Fenetre de temps configurable en heures
• Correspondance optionnelle par campagne ou ID de produit
• Empeche les paiements de commission en double depuis les rafraichissements de page ou les attaques de replay

Verrouillage de Commande

Lors du traitement d’une vente, le systeme verrouille temporairement l’ID de commande :

• Empeche les conditions de course lorsque la meme commande est soumise plusieurs fois simultanement
• Le verrouillage expire apres 60 secondes
• Les commandes en double bloquees recoivent des messages d’erreur clairs

Protection IP et Referent

Les ventes heritent des memes protections IP et referent bannies/autorisees que les clics :

• Bloquez les ventes depuis les adresses IP bannies
• Bloquez les ventes depuis les URL de referent bannies
• N’autorisez les ventes que depuis les IP ou referents sur liste blanche
• Messages de refus personnalises pour chaque type de protection

Authentification a Deux Facteurs

Post Affiliate Pro supporte l’authentification a deux facteurs TOTP (Time-based One-Time Password) pour une securite de compte renforcee.

Implementation

• Utilise l’algorithme TOTP standard compatible avec Google Authenticator et applications similaires
• Genere une cle secrete unique par utilisateur stockee de maniere securisee dans les attributs utilisateur
• Fournit des codes QR pour une configuration facile de l’application mobile
• Valide les codes avec une fenetre de 90 secondes (3 periodes de 30 secondes chacune)

Fonctionnalites de Securite

• Limite de Taux : La validation de code a deux facteurs est limitee a 5 tentatives par minute
• Invalidation de Session : L’activation du 2FA invalide toutes les autres sessions actives pour cet utilisateur
• Invalidation des Demandes de Mot de Passe : Les demandes de reinitialisation de mot de passe en attente sont invalidees lorsque le 2FA est active
• Journalisation d’Audit : L’activation du 2FA est journalisee dans la piste d’audit

Disponibilite

L’authentification a deux facteurs est disponible pour :

• Les utilisateurs du panneau marchand
• Les utilisateurs du panneau affilie

Chaque utilisateur peut activer le 2FA independamment via ses parametres de profil.

Bonnes Pratiques de Securite

Pour maximiser la securite de votre installation Post Affiliate Pro :

Securite API

1. Faites tourner les cles API regulierement : Definissez des dates d’expiration et remplacez les cles periodiquement
2. Utilisez des scopes minimaux : N’accordez que les permissions dont chaque integration a reellement besoin
3. Implementez la liste blanche d’IP : Restreignez l’acces API aux IP de serveur connues
4. Surveillez l’utilisation : Examinez les comptes d’utilisation des cles API et les horodatages de derniere utilisation
5. Utilisez OAuth pour les tiers : Preferez les tokens OAuth a courte duree de vie pour les integrations externes

Securite des Comptes

1. Activez l’authentification a deux facteurs : Exigez le 2FA pour tous les comptes marchand
2. Utilisez des mots de passe forts : Combinez avec le 2FA pour une protection maximale
3. Configurez les limites de taux de connexion : Definissez des limites appropriees pour prevenir les attaques par force brute
4. Implementez les restrictions IP : Utilisez les listes d’IP autorisees pour les comptes sensibles
5. Examinez les journaux d’audit : Verifiez regulierement le journal d’audit pour l’activite suspecte

Prevention de la Fraude

1. Activez la protection contre la fraude aux ventes : Utilisez la verification par somme de controle MD5 pour toutes les campagnes
2. Configurez la detection de doublons : Definissez des fenetres de temps appropriees pour votre modele commercial
3. Utilisez le bannissement d’IP de maniere proactive : Bloquez les plages d’IP frauduleuses connues
4. Surveillez les transactions refusees : Examinez les clics et ventes refuses pour les patterns
5. Personnalisez les messages de fraude : Des messages clairs aident les utilisateurs legitimes a comprendre les rejets

Ressources de la Base de Connaissances

Pour des instructions de configuration detaillees, visitez notre documentation de support :

• Documentation API v3
• Gestion des Cles API
• Creation de Token OAuth
• Configuration de la Protection Contre la Fraude