01 Contexte & Problème
Un groupe de consommateurs gérait neuf marques distinctes sur une plateforme client partagée. Un client pourrait créer un compte une fois et le réutiliser partout, en se connectant avec Apple, Google ou par email et mot de passe. La connexion sociale était censée être une entrée principale, pas une commodité secondaire, donc la même personne arrivait souvent via différents fournisseurs à différents moments : Google sur une marque, Apple sur une autre, puis un mot de passe plus tard.
Cette flexibilité a créé un problème d’identité. Lorsqu’un client se connectait avec une nouvelle identité Apple ou Google dont l’adresse e-mail appartenait déjà à un compte existant, la plateforme devait décider quoi faire. Lier les deux automatiquement sur une seule correspondance par email serait dangereux : une adresse email correspondante suggère une relation, mais cela ne prouve pas que la personne qui se connecte contrôle réellement cette boîte de réception. La plateforme avait besoin d’un moyen de connecter les identités compatibles Apple et Google à un seul compte partagé sans jamais accorder un accès à une correspondance par e-mail seul, et de le faire de manière cohérente sur les neuf marques, y compris les cas délicats : adresses relais privées d’Apple, comptes avec mot de passe, connexions risquées et pannes des fournisseurs.
02 Rôle et contraintes
En AI Product Manager je possédais la conception de l’identité et du lien de compte de bout en bout : les parcours d’authentification sur les neuf marques, la logique de détection et de résolution des mêmes emails, le modèle de vérification qui verrouillait le liaison, la politique de challenge basée sur le risque, la gestion par relais privés, les règles de déliement et de re-vérification lors des changements d’email, la politique de blocage, et le comportement de défaillance sûre lors des coupures des fournisseurs. Le principe directeur était que la correspondance des e-mails pouvait initier un parcours de liaison sans jamais le terminer. Le client devait toujours démontrer l’accès à l’adresse e-mail liée au compte existant avant que deux méthodes d’authentification ne soient associées à un seul profil.
Les contraintes étaient concrètes. Le lien devait être bidirectionnel et indépendant de l’ordre : Google d’abord puis Apple, ou Apple d’abord puis Google, devait atteindre le même compte partagé. Le « Cacher mon e-mail » d’Apple devait être géré séparément, car une adresse relais privée qui ne correspondait pas à l’adresse e-mail réelle du client ne devait pas se lier silencieusement à ce compte. La vérification a dû réutiliser le même mécanisme de défi de code déjà fiable pour l’authentification à risque élevé, ce qui a permis d’hériter des contrôles éprouvés plutôt que d’en inventer de nouveaux. Le risque devait moduler la friction : les inscriptions à faible risque devaient rester sans friction tandis que les risques moyen, élevé et indéterminé nécessitaient un OTP. Les échecs répétés devaient être contenus par une politique de blocage applicable au niveau du compte, sur toutes les marques, et non par marque. Et les défaillances des fournisseurs devaient être sûres, sans jamais laisser un client avec un compte partiel ou en double.
03 Approche produit
La redéfinition principale consistait à considérer une correspondance par email comme le début d’un processus de vérification, et non comme une preuve de propriété. Lorsque Apple ou Google authentifiait un client, la réponse du fournisseur et son e-mail étaient résolus côté serveur sur la plateforme de compte partagé. Si l’email correspondait à un compte existant, la plateforme n’a encore rien lié. Il émettait un code à usage unique pour l’email du compte existant et ne liait le nouveau fournisseur qu’après que le client ait saisi ce code. Deux méthodes d’authentification n’étaient associées à un profil inter-marques qu’une fois la propriété démontrée.
Le même chemin vérifié couvrait les deux directions de liaison. Si un client créait un compte chez Google puis choisissait Continuer avec Apple en utilisant la même adresse e-mail partagée, le système détectait le compte existant, envoyait un code à son e-mail et liait Apple après vérification réussie. L’inverse, Share My Email d’Apple d’abord et Google ensuite, a résolu le même compte partagé grâce au même défi. Après la liaison, le client pouvait se connecter avec Apple, Google, ou par email et mot de passe, là où l’un avait été configuré, et se retrouver sur le même compte.
Le programme « Cacher mon courriel » d’Apple est resté délibérément séparé. Lorsque l’adresse de relais privé ne correspondait pas à l’adresse e-mail personnelle non divulguée du client, les identités n’étaient pas éligibles pour le lien avec le même e-mail. Plutôt que de lier le relais à un compte non lié, la plateforme a montré une explication à accès limité et a créé un compte relais de messagerie séparé. Au-delà du premier lien, le même compte avait son propre cycle de vie : un client pouvait définir un mot de passe sur un compte social, modifier l’adresse principale (ce qui a délié l’ancien fournisseur social et nécessitait une revérification), et chaque connexion retournée passait toujours par une évaluation des risques avant l’émission d’une session.
Un email correspondant ressemble à une preuve d’identité, mais ce n’est qu’un signal. La plateforme l’a utilisé pour ouvrir un parcours de vérification, sans jamais accorder d’accès. Les identités compatibles Apple et Google n’étaient liées à un seul compte partagé qu’après que le client ait complété un défi de code par e-mail, donc une correspondance a déclenché la vérification au lieu de fusionner automatiquement deux connexions.
04 Caractéristiques construites
Connexion Apple & Google
Un orchestrateur d’authentification permet de suivre avec Apple, de continuer avec Google et de se connecter par mot de passe sur les neuf marques.
Compte partagé entre marques
Un client crée un compte une fois et le réutilise sur chaque marque, quel que soit le fournisseur par lequel il arrive.
Détection du même e-mail
La résolution d’identité côté serveur signale lorsque l’adresse e-mail d’un nouveau fournisseur appartient déjà à un compte existant.
Défi de code email
Un code à usage unique envoyé à l’adresse e-mail du compte existant doit être saisi avant que deux fournisseurs ne soient liés.
Liaison bidirectionnelle
Google d’abord puis Apple, ou Apple d’abord puis Google, se résolvent sur le même compte partagé à travers le même défi.
Chemin relais privé Apple
Masquer mes adresses e-mail qui ne correspondent pas ne sont pas liées ; Un compte relais de messagerie séparé est créé à la place.
OTP basé sur le risque
Les inscriptions à faible risque bénéficient d’une séance ; Risque moyen, élevé et indéterminé nécessitent un OTP par e-mail avant d’avoir accès.
Blocage au niveau des comptes
Des échecs répétés d’OTP, de code ou de mot de passe bloquent le compte partagé sur les neuf interfaces de marques.
Configuration du mot de passe pour les réseaux sociaux
Les clients peuvent ajouter une connexion par e-mail et mot de passe à un compte créé initialement via un fournisseur social.
Suppression du fournisseur lors d’un changement d’e-mail
Changer l’adresse principale déconnecte l’ancien fournisseur social et nécessite une nouvelle vérification du prestataire.
Récupération sécurisée en cas de défaillance du fournisseur
Les défaillances des services Apple ou Google renvoient une erreur sûre et réessaient, empêchant la présence de comptes partiels ou en double.
Mot de passe + parité sociale
Une fois un mot de passe configuré, l’e-mail et le mot de passe fonctionnent en même temps qu’Apple et Google comme une connexion égale.
Également livrés : configuration du mot de passe pour les comptes sociaux, email et mot de passe supplémentaires une fois configurés, changements d’email avec contrôle de mot de passe, re-vérification du fournisseur après un changement d’email, gestion à risque indéterminé, et un parcours de sécurité cohérent quel que soit le nom de marque du client.
Architecture 05
Neuf expériences de marque ont alimenté un seul orchestrateur d’authentification. Un client arrivant via n’importe quelle marque était dirigé vers le même flux : continuer avec Apple, continuer avec Google, ou email et mot de passe. Les réponses d’Apple et Google passaient par la validation des réponses par le fournisseur puis la résolution d’identité sur la plateforme de compte partagé, tandis que les connexions par mot de passe étaient résolues directement sur le compte partagé. La résolution d’identité posait deux questions : ce fournisseur est-il déjà lié, et sinon, existe-t-il un compte e-mail équivalent auquel se lier ?
À partir de là, le flux s’est divisé vers des résultats clairement limités. Une correspondance par email éligible émettait un code de lien vers l’adresse e-mail du compte existant ; Après vérification réussie, le fournisseur était lié ; en cas d’échec, la tentative était rejetée et enregistrée. Un e-mail relais Apple qui ne correspondait pas a été acheminé vers une explication à accès limité et un compte relais séparé. Une fois le statut du compte partagé entre marques était résolu : un compte bloqué était affiché comme bloqué, un compte actif était classé dans une catégorie de risque. À faible risque, une session authentifiée est envoyée directement ; un risque moyen, élevé et indéterminé a envoyé un OTP d’authentification, et des défis répétés échoués, jusqu’à un seuil fixe, ont bloqué le compte partagé sur les neuf marques. Le compte lui-même exposait la configuration du mot de passe et les changements d’email, où changer l’adresse principale déconnectait l’ancien fournisseur social et nécessitait une nouvelle vérification du fournisseur. Les défaillances du service fournisseur ne créaient pas d’état partiel : elles renvoyaient une erreur de sécurité et une nouvelle tentative qui renvoyait dans le même orchestrateur, de sorte qu’un appel Apple ou Google raté ne produisait jamais de compte à moitié lié ou dupliqué. La frontière de liaison combinait trois vérifications : une réponse validée par le fournisseur, une correspondance compatible avec le même email, et un défi de code email réussi, et les soumissions de code ratées suivaient la même politique de contrôle de défi et de blocage que les OTP de risque.
06 Mesure & Analytique
Les parcours d’identité ont été mesurés comme un entonnoir allant de l’authentification du fournisseur à la résolution, la vérification et l’émission de session, afin qu’une baisse puisse être retracée jusqu’à l’étape qui l’a causée : réponse du fournisseur, détection du même email, contestation de code, évaluation des risques ou blocage. Les données disponibles soutenaient une estimation combinée de l’adoption, soit environ quarante mille cent mille visiteurs quotidiens par marque utilisant un parcours Apple, Google ou lié à un compte, mais elles n’ont délibérément pas surestimé ce qu’elles ne pouvaient pas séparer. Apple contre Google, inscription contre retour, comptes nouvellement liés contre précédemment liés, contestations de codes réussis contre abandonnés, comptes Apple relay-email vs partage-email, ainsi que toute réduction de comptes doublonnés, fraude ou contact support n’ont pas été quantifiés jusqu’à ce que leurs analyses sous-jacentes soient disponibles, plutôt que rapportées comme des chiffres précis.
Indicateurs d’adoption
La part des visiteurs quotidiens par marque utilisant un parcours Apple, Google ou un compte lié, agrégée sur les neuf marques.
Entonnoir de vérification
Réponse du fournisseur, détection du même email, code envoyé, code vérifié et lié au fournisseur, mesuré étape par étape.
Indicateurs de risque et OTP
Répartition par catégories de risque, taux de contestation des OTP pour les risques moyens, élevés et indéterminés, ainsi que succès et abandon des OTP.
Mesures d’échec et de blocage
Les codes de liaison échoués, les OTP de risque et les mots de passe comptaient dans le seuil fixe et les blocages au niveau du compte appliqués.
Indicateurs de fournisseur et de relais
Les comptes Apple par email relais versus partage par email, et les défaillances du service des fournisseurs étaient redirigées vers une réévaluation sécurisée.
07 Vérification et prise de décision sur les risques
La couche de décision répondait à une séquence de questions étroites plutôt qu’à un seul oui ou non. Ce fournisseur est-il déjà lié ? Sinon, existe-t-il un compte email équivalent éligible, ou s’agit-il d’une adresse relais Apple qui n’est pas éligible ? Si c’est éligible, le client a-t-il prouvé la propriété via le défi du code email ? Et à chaque connexion résolue, quelle est la catégorie de risque du compte, et cela nécessite-t-il un OTP avant qu’une session ne soit émise ? Faible risque a continué vers une session authentifiée ; un risque moyen, élevé et indéterminé nécessitait un OTP par email ; et les échecs répétés, qu’ils soient sur un code de liaison, un risk OTP ou un mot de passe, étaient comptés via un mécanisme partagé de contrôle des défis qui bloquait le compte à un seuil fixe. Le risque modulait ici la friction et la résistance à la vérification ; elle ne décidait pas de l’identité en elle-même, et n’a jamais remplacé la preuve de propriété qui empêchait la liaison.
La liaison des comptes était protégée par un contestation de code, et non par un match par email. La frontière combinait une réponse validée d’Apple ou de Google, un compte email compatible avec le même e-mail, et une vérification d’e-mail réussie. Un e-mail correspondant ouvrit le parcours ; Le client devait encore démontrer l’accès à l’email sur le compte existant avant que deux connexions ne soient associées à un profil inter-marques.
08 Statut et Résultats
Cette implémentation a établi l’authentification sociale comme un canal d’accès majeur plutôt qu’une option de connexion secondaire. Les clients pouvaient s’inscrire chez Apple ou Google, réutiliser le même compte sur les neuf marques, lier des identités compatibles Apple et Google après un défi de code email, ajouter un mot de passe à un compte social, et suivre un parcours de sécurité cohérent, quel que soit leur nom de départ. Chaque marque recevait environ cent mille visiteurs quotidiens, et environ quarante mille par marque par jour utilisaient un parcours Apple, Google ou un compte lié : environ quarante pour cent d’engagement avec les réseaux sociaux ou l’accès lié. Sur les neuf marques, cela représente environ neuf cent mille visiteurs quotidiens et environ trois cent soixante mille voyages quotidiens sur les réseaux sociaux ou les comptes liés. Le résultat fut une base d’authentification partagée dans laquelle Apple, Google et l’accès par mot de passe fonctionnaient comme des méthodes contrôlées autour d’un compte client inter-marques, avec des liens verrouillés par vérification, des connexions risquées verrouillées par OTP, un relais privé géré séparément, et des échecs répétés contenus par le blocage au niveau du compte. Ces chiffres sont approximatifs et basés sur le ratio fourni ; Ils combinent l’activité sociale et liée aux comptes plutôt que de séparer chaque fournisseur ou type de parcours.
~40%
Visiteurs quotidiens utilisant un parcours social ou lié (par marque)
9
Marques grand public sur un seul compte partagé
~360K
Parcours quotidiens sur Apple, Google ou comptes liés
~900K
Nombre total de visiteurs quotidiens dans tout le groupe
09 Réflexion / Et après
La réussite déterminante a été de ne pas ajouter les boutons Apple et Google. Elle construisait les contrôles d’identité qui rendaient l’accès social sûr et réutilisable à travers neuf marques : la plateforme pouvait déterminer si l’identité d’un fournisseur était nouvelle, déjà liée, éligible à un lien, utilisant un relais privé, compatible avec un mot de passe, risquée ou bloquée, et elle n’associait les identités compatibles qu’après un défi de code par email. Ce que je renforcerais ensuite : séparer les analyses qui restent aujourd’hui combinées (Apple contre Google, inscription contre connexion, nouveau contre précédemment lié, succès du défi versus abandon, relais versus email partagé) afin que l’entonnoir puisse être ajusté avec des preuves plutôt que par des estimations ; formaliser les définitions de catégories et les seuils du modèle de risque avec une gouvernance explicite ; resserrer les consignes pour les comptes relais afin que les clients comprennent pourquoi une connexion « Masquer mon e-mail » créait un compte séparé ; et garder les règles de déliement et de revérification des changements d’e-mail auditables de bout en bout. Le résultat durable a été une couche d’authentification partagée où un e-mail correspondant initiait la vérification au lieu d’accorder automatiquement l’accès, et où les identifiants Apple, Google et mots de passe fonctionnaient comme des méthodes contrôlées et liables autour d’un seul compte client inter-marques.
