Contact salesFree trial
Blog

Construire un composant de prévention de la fraude en utilisant Symfony

sécuritémicroservicesSymfonyl'automatisationSymfonyCon
Partager


Pour une lecture rapide des principaux points à retenir, continuez à faire défiler le texte. Nous avons utilisé ChatGPT pour améliorer la grammaire et la syntaxe.

Construire un système robuste de prévention des abus avec l'évaluation des risques

Dans le paysage numérique actuel, la prévention des abus et des fraudes est essentielle pour protéger les entreprises et leurs clients. Lors d'une récente présentation, Moritz, ingénieur produit chez Platform.sh, a expliqué comment concevoir et mettre en œuvre un système sophistiqué de prévention des abus, en associant des scénarios du monde réel à des informations techniques. Décortiquons les éléments clés de son exposé et explorons comment l'évaluation des risques peut réduire efficacement la fraude.

De la fraude aux tarifs des transports publics à la gestion des risques numériques

Moritz a commencé par raconter une histoire passionnante sur la façon dont les systèmes de transport public ont été confrontés à des abus généralisés. L'anecdote est centrée sur un individu, "Claus", qui s'est vu facturer à son insu des milliers de dollars pour des tickets de bus parce que les coordonnées de son compte bancaire se sont retrouvées sur une liste d'achats automatisés. Cette étude de cas réelle montre comment l'utilisation frauduleuse répétée d'un compte enregistré peut entraîner des dommages financiers importants, la méfiance des entreprises, des poursuites judiciaires et un effondrement du système si rien n'est fait pour y remédier.

Ce scénario met en évidence une leçon essentielle : si des mesures préventives ne sont pas intégrées rapidement, les conséquences peuvent devenir incontrôlables. Bien que l'exemple de Moritz soit spécifique aux transports publics, les principes de l'abus de compte, de la fraude aux paiements et du jeu du chat et de la souris entre les fraudeurs et les défenseurs du système sont universels.

Identifier les risques et les abus potentiels

L'exposé a ensuite porté sur les différents types de risques associés aux comptes d'utilisateurs enregistrés :

Création automatisée de comptes : Les fraudeurs peuvent créer plusieurs comptes en utilisant des variantes d'une même adresse électronique. Avec peu ou pas de vérification d'identité, ces comptes peuvent être utilisés pour accéder à des ressources gratuites ou tester des méthodes de paiement.

Abus de ressources gratuites : Tout comme les échantillons gratuits dans les supermarchés, les utilisateurs peuvent exploiter des essais ou des ressources gratuites de manière répétée, épuisant ainsi les ressources de l'entreprise sans son consentement.

Abus de paiement : Les tests de cartes de crédit volées, l'encaissement de cartes (utilisation d'une carte volée sur plusieurs comptes) et les méthodes de paiement vulnérables sont des menaces critiques. Les fraudeurs peuvent même exploiter des cartes prépayées ou numériques qui peuvent être rapidement générées et jetées pour éviter d'être détectées.

Équilibrer les mesures de sécurité et l'expérience de l'utilisateur

L'introduction de mesures de vérification plus strictes - comme la gratuité des fournisseurs de messagerie électronique, la numérisation des passeports ou les appels vidéo - peut sembler une solution simple. Cependant, ces mesures peuvent aliéner les utilisateurs légitimes et créer des frictions. L'objectif est de trouver un équilibre entre les précautions nécessaires et une expérience client transparente. Les stratégies abordées sont les suivantes :

Détection des doublons : Normaliser les adresses électroniques (en supprimant les points, les signes plus, etc.) pour détecter les créations de comptes multiples.

Limitation de l'accès aux ressources gratuites : Fixer des seuils sur la quantité de ressources gratuites auxquelles un nouvel utilisateur ou un utilisateur non vérifié peut accéder jusqu'à ce qu'un historique fiable soit établi.

Vérification par téléphone et vérification de l'assistance : Déclencher des étapes de vérification supplémentaires (SMS, WhatsApp) de manière sélective, en fonction du profil de risque de l'utilisateur.

Exigences en matière de carte de crédit : Pour certaines ressources gratuites, le fait de demander les détails d'une carte de crédit peut introduire une couche d'évaluation des risques, bien que cela ne soit pas infaillible en raison des cartes prépayées et jetables.

Élaboration d'un système d'évaluation des risques

Le cœur de la présentation de Moritz était l'introduction d'un système complet d'évaluation des risques. Au lieu de règles rigides susceptibles de créer des faux positifs ou de bloquer des utilisateurs légitimes, un score de risque dynamique aide les systèmes à prendre des décisions nuancées. Les éléments clés qui alimentent ce score sont les suivants

L'évaluation des risques liés au courrier électronique : Vérification des fournisseurs de messagerie jetables, des schémas inhabituels ou des domaines récemment créés.

Évaluation du risque IP : Évaluation du risque associé à une adresse IP, comme son origine (centre de données ou résidentiel), la précision de la géolocalisation et l'historique des abus.

Historique et modèles de paiement : Exploitation des données fournies par les fournisseurs de services de paiement, notamment les transactions réussies, les litiges et les alertes de fraude précoce, afin d'ajuster la fiabilité.

Détection des comptes en double : Reconnaître les schémas de duplication des comptes et utiliser ces données pour ajuster le risque.

M. Moritz a expliqué comment ces facteurs sont intégrés mathématiquement dans un modèle de réseau neuronal. Ce modèle apprend en permanence et ajuste les scores pour limiter les faux positifs tout en détectant les comportements malveillants. Il garantit que les utilisateurs légitimes ne subissent qu'une friction minimale, tandis que les activités suspectes déclenchent des étapes de vérification supplémentaires ou des limitations.

Mise en œuvre de la solution avec des microservices

Pour concrétiser cette idée, l'équipe a construit un microservice en utilisant Symfony. Les avantages étaient évidents : prototypage rapide, intégration facile avec l'infrastructure existante (comme Upsun) et possibilité d'exposer une API RESTful. Ce microservice agit comme un composant passif que d'autres systèmes interrogent pour obtenir des scores de risque lors de points de décision critiques, tels que la création de comptes, le traitement des paiements et l'allocation de ressources.

L'architecture comprend des points d'extrémité pour

  • Alimenter les données confirmées par le personnel (comme les comptes vérifiés ou les abus confirmés).
  • Lescrochets Web des fournisseurs de paiement pour recueillir des données sur les risques en temps réel.
  • Intégration avec des listes de blocage externes pour les adresses IP et les courriels.

En centralisant l'évaluation des risques dans un microservice, les équipes peuvent prendre des décisions cohérentes et basées sur des données à travers la plateforme.

Résultats et amélioration continue

Après la mise en œuvre du système de notation des risques, l'impact a été significatif. Les agents d'assistance ont signalé une réduction drastique du temps consacré à l'analyse et à la suppression des comptes abusifs, qui est passé de plusieurs jours à environ une heure par semaine. Dans certaines régions, la charge d'infrastructure a également été réduite d'un tiers, grâce à la prévention automatisée et à la détection précoce des activités abusives.

M. Moritz a souligné que la mise en place d'un tel système est un jeu du chat et de la souris permanent. À mesure que les fraudeurs s'adaptent, le modèle d'évaluation des risques doit être régulièrement mis à jour, en s'appuyant sur de nouvelles données et en affinant ses paramètres afin d'éviter les faux positifs sans compromettre la sécurité.

Perspectives d'avenir

M. Moritz recommande aux développeurs désireux d'élaborer leurs propres systèmes de prévention des abus d'explorer les pistes suivantes

  • d'explorer les services externes d'évaluation des risques liés à l'IP et au courrier électronique
  • d'exploiter les évaluations des risques des fournisseurs de paiement
  • d'affiner l'analyse des données afin d'équilibrer la sécurité et la fluidité de l'expérience utilisateur
  • Se tenir informé grâce aux discussions et aux ressources de la communauté, comme la prochaine présentation d'Haylee sur l'élaboration de microservices adaptés à des besoins spécifiques.

En associant des stratégies techniques à une conception de système réfléchie, les développeurs peuvent créer des solutions résilientes qui protègent à la fois leurs entreprises et leurs clients contre des menaces en constante évolution.

Votre meilleur travail
est à l'horizon

Essai gratuit
CompanyEventsAbout usJobsSustainabilityFAQ
ProductOverviewFeaturesPricingPricing calculator
IndustriesRetailHigher education
ResourcesBlogDeveloper CenterDocumentationCloud regionsSupportContact us
Use casesSaaS hostingApplication modernizationeCommerce hostingCMS hostingMulti site management
CompareHeroku alternative
Discord
© 2025 Platform.sh. All rights reserved.