Aller au contenu principal

WhatsApp pour les intégrateurs : gérer les alertes de sécurité via l'API

Intégrez les alertes de sécurité WhatsApp dans votre plateforme via l'API Business. OTP, notifications de connexion, fraude : guide technique pour intégrateurs.

Les alertes de sécurité WhatsApp via l'API Business permettent d'envoyer des notifications critiques — codes OTP, alertes de connexion suspecte, confirmations de transaction sensible — via un canal à délivrance quasi-certaine. Pour un intégrateur qui équipe des applications fintech, SaaS B2B ou e-commerce, WhatsApp est une alternative crédible au SMS pour les flux d'authentification et de sécurité : même délivrance, format plus riche, coût comparable.

Cas d'usage des alertes de sécurité WhatsApp

Les alertes de sécurité couvrent plusieurs scénarios à criticité variable :

Authentification forte

  • Code OTP pour validation de connexion ou de transaction
  • Code de vérification lors de la création de compte
  • Code de récupération d'accès

Détection de comportements anormaux

  • Alerte de connexion depuis un nouvel appareil ou pays inconnu
  • Tentative de connexion infructueuse répétée
  • Modification des informations de compte (email, mot de passe, IBAN)

Confirmation de transactions sensibles

  • Validation d'un virement ou d'un paiement élevé
  • Confirmation d'un changement de bénéficiaire
  • Alerte sur une activité inhabituelle (montant, fréquence)

Tous ces scénarios relèvent de la catégorie authentication selon la taxonomie Meta — la catégorie la moins chère et la plus stricte en termes de format.

La catégorie authentication : contraintes et tarification

Meta a créé une catégorie spécifique pour les messages d'authentification, avec des règles particulières :

Format imposé : les templates authentication ont un format prédéfini par Meta. Vous ne pouvez pas personnaliser librement le corps du message. Le template standard ressemble à :

{{1}} est votre code de vérification.
Pour votre sécurité, ne partagez jamais ce code.

Durée de validité : vous pouvez ajouter la durée d'expiration du code (expiration_time dans le template) — de 1 à 90 minutes.

Tarification : les messages authentication sont la catégorie la moins coûteuse. Pour les numéros FR, le coût est inférieur aux messages utility.

Bouton "Copier le code" : Meta propose un bouton natif OTP qui copie automatiquement le code dans le presse-papiers de l'utilisateur — UX nettement supérieure à la saisie manuelle.

Pour l'ensemble des grilles tarifaires par catégorie, consultez notre article sur les prix de l'API WhatsApp Business 2026.

Architecture technique : latence et fiabilité pour les OTP

Les alertes de sécurité ont des exigences de performance différentes des autres cas d'usage : la latence doit être minimale (un OTP attendu 30 secondes frustre l'utilisateur) et la délivrance doit être quasi-certaine.

Points d'attention dans votre intégration :

Exigence Implémentation
Latence < 5s Appel API synchrone, pas de batch — envoi immédiat
Retry en cas d'erreur Maximum 1 retry avec backoff de 2s — pas plus
Fallback SMS Si erreur 131026 (numéro hors WhatsApp), basculer sur SMS immédiatement
Expiration côté serveur Le code expire dans votre base indépendamment du message WhatsApp
Non-réutilisation Un code ne peut être utilisé qu'une fois, même si valide
Pas de log du code Ne loggez jamais le code en clair dans vos systèmes

Le fallback SMS automatique est critique pour les OTP. Si le numéro destinataire n'est pas enregistré sur WhatsApp, votre système doit basculer en moins de 2 secondes. Ce fallback doit être transparent pour l'utilisateur final.

Gérer le consentement et les risques de fraude

Opt-in pour les alertes de sécurité : les messages d'authentification liés à une action initiée par l'utilisateur (connexion, transaction) n'exigent pas de consentement préalable au sens strict — l'utilisateur a explicitement demandé le code. Documentez néanmoins cette logique dans votre politique de données.

Risques de phishing : les fraudeurs peuvent abuser des canaux de notification pour envoyer de faux OTP. Votre intégration doit :

  • Ne jamais inclure de lien cliquable dans les messages OTP (Meta l'interdit dans les templates authentication)
  • Limiter le nombre d'OTP envoyés par numéro par heure (anti-flooding)
  • Implémenter un rate limiting côté API pour éviter l'abus

Vérification du numéro : avant d'envoyer un OTP WhatsApp, vérifiez que le numéro appartient bien à l'utilisateur dans votre base. Ne permettez pas à un attaquant de rediriger les OTP vers son propre numéro via une modification de compte non authentifiée.

Pour les principes de sécurité de l'API, consultez notre guide sur le Meta Tech Provider WhatsApp et ses garanties.

L'API WhatsApp Whakup, hébergée en Union Européenne et conforme RGPD, garantit que les données des messages d'authentification ne transitent pas hors de l'UE — un point critique pour les plateformes fintech et les applications régulées.

Templates d'alerte de sécurité : conception et validation

Voici les templates à préparer pour couvrir les scénarios courants :

OTP standard (catégorie authentication) :

  • Corps imposé par Meta avec variable {{1}} pour le code
  • Bouton optionnel "Copier le code" (type OTP)
  • Pas de header, pas de footer personnalisé

Alerte de connexion (catégorie utility) :

  • Header : "Alerte de sécurité [Votre App]"
  • Corps : "Une connexion a été détectée depuis {{1}} le {{2}} à {{3}}."
  • Boutons : "C'était moi" / "Ce n'était pas moi"

Confirmation de transaction (catégorie utility) :

  • Corps : "Confirmez-vous le virement de {{1}} € vers {{2}} ?"
  • Boutons : "Confirmer" / "Annuler"

Les règles de création et de validation des templates par catégorie sont détaillées dans notre guide sur les catégories de templates WhatsApp.

FAQ

WhatsApp peut-il remplacer le SMS pour les OTP ?

Pour les numéros avec WhatsApp actif, oui — la délivrance est équivalente et le format est plus riche (bouton "Copier le code"). Pour les numéros sans WhatsApp, le fallback SMS reste indispensable. En pratique, WhatsApp couvre 70 à 80 % des numéros mobiles français.

Comment savoir si le message d'alerte a été livré avant expiration du code ?

Le webhook messages.status vous notifie du statut delivered (message sur l'appareil) en quelques secondes. Si vous ne recevez pas delivered dans un délai défini (ex. 10 secondes), déclenchez le fallback SMS.

Les templates authentication sont-ils approuvés plus rapidement par Meta ?

Les templates authentication ont un format imposé par Meta, ce qui simplifie l'approbation. En pratique, ils sont approuvés dans les mêmes délais (24-72h) que les autres catégories, mais le risque de refus est plus faible car le format est standardisé.

Peut-on envoyer des alertes de sécurité en plusieurs langues ?

Oui. Chaque template est soumis par langue. Prévoyez a minima le français et l'anglais pour couvrir votre base d'utilisateurs. Le code dans la variable {{1}} est identique quelle que soit la langue — seul le texte autour change.


Les alertes de sécurité WhatsApp sont un cas d'usage exigeant techniquement — latence, fiabilité, fallback, anti-fraude — mais essentiel pour toute plateforme qui gère des accès ou des transactions sensibles. Whakup, Meta Tech Provider certifié avec hébergement EU, fournit l'API REST et les webhooks en temps réel pour implémenter ces flux en production. Découvrez l'API WhatsApp Whakup.

#intégration whatsapp#alerte sécurité whatsapp#intégrateur
Pablo Lenormand
Pablo LenormandCo-fondateur & CPO

Co-fondateur et Chief Product Officer de Whakup, Pablo conçoit les fonctionnalités qui permettent aux marques africaines de maximiser leur impact sur WhatsApp.

🚀

Prêt à passer à l'action ?

Essayez Whakup gratuitement pendant 15 jours. Aucune carte bancaire requise.

Démarrer l'essai gratuit