Mises à jour critiques de la plateforme Zoho décembre 2025 : modifications de sécurité et d'API que vous ne pouvez pas ignorer

Mises à jour immédiates de la plateforme (10-21 décembre)

Zoho a déployé plusieurs mises à jour entre le 10 et le 21 décembre qui ont un impact sur la façon dont vous synchronisez les fichiers, répondez aux tickets d'assistance et intégrez des systèmes tiers. Bien que certaines de ces mises à jour constituent des améliorations de fonctionnalités, d’autres impliquent des changements critiques de politique de sécurité qui nécessitent une attention immédiate.

WorkDrive TrueSync : prise en charge du bureau Linux

Zoho WorkDrive TrueSync now officially supports Linux desktop environments, giving your sync-agent workflows equal footing across Windows, macOS, and Linux platforms.

Ce que cela signifie pour vous

• Cross-Platform Parity: Ubuntu and Fedora desktop users can now use TrueSync just like Windows and macOS users
• Sync-Agent Workflows: File watchers, filesystem integrations, and endpoint sync operations now work seamlessly on Linux
• Developer-Friendly: Development teams using Linux workstations can sync files directly without workarounds
• Server Integration: Easier integration with Linux-based servers and automation scripts

Détails techniques

Le client Linux TrueSync prend en charge :

• Real-time file synchronization
• Selective sync (choose which folders to sync locally)
• Team Folders collaboration
• Version history and conflict resolution
• Offline access to synced files

Zoho Desk : améliorations de la réponse en masse et de l'IA

Zoho Desk December updates bring two major improvements for support teams: mass-reply templates with snippets and expanded Zia AI assistance inside tickets.

1. Modèles de réponse en masse + extraits

Les agents de support peuvent désormais répondre de manière uniforme et à grande échelle lorsqu'ils traitent plusieurs tickets présentant des problèmes similaires. Ceci est particulièrement utile pour :

• Outage Communications: Send consistent updates to all affected customers
• Product Announcements: Reply to inquiries about new features with standardized responses
• Policy Changes: Ensure all customers receive accurate information
• Seasonal Responses: Holiday hours, shipping updates, or promotional information

2. Assistance basée sur l'IA de Zia

Zia continue de développer ses tickets internes avec trois fonctionnalités clés :

• Ticket Summaries: Automatically generate concise summaries of long ticket threads
• Reply Help: Suggested responses based on ticket context and historical data
• Insights: Sentiment analysis, priority recommendations, and suggested tags

Essentiels de la plate-forme et de l'automatisation

Plusieurs fonctionnalités de base de la plateforme restent inchangées mais sont essentielles à comprendre pour vos intégrations et automatisations :

Écrire en masse des tâches asynchrones dans CRM

Core Bulk Write async jobs in Zoho CRM remain asynchronous and callback/status-driven. No changes in this release window, but here's what you need to know:

• Bulk operations continue to use callbacks for completion notifications
• Status checks remain the recommended method for monitoring long-running jobs
• No breaking changes to existing bulk write implementations
• Rate limits and quotas unchanged

Signature Webhook HMAC

Webhook HMAC signing practices remain in place for secure webhook verification. Important: Projects and Sign include HMAC headers that you should always validate in your webhook receivers.

// Example webhook validation (Node.js)
const crypto = require('crypto');

function validateWebhook(payload, signature, secret) {
    const hmac = crypto
        .createHmac('sha256', secret)
        .update(JSON.stringify(payload))
        .digest('hex');

    return hmac === signature;
}

// In your webhook handler
if (!validateWebhook(req.body, req.headers['x-zoho-signature'], SECRET)) {
    return res.status(401).send('Invalid signature');
}

Sémantique d’insertion d’enregistrements

La sémantique de Records Upsert n’a pas changé au cours de ce bref cycle de publication. Aucune annonce de rupture concernant le comportement de l'API dans la fenêtre du 10 au 21 décembre. Votre logique d'insertion existante continue de fonctionner comme prévu.

Changements de politique critiques pour la sécurité (action requise)

C’est là qu’il faut être très attentif. Zoho apporte deux modifications importantes liées à la sécurité qui auront un impact sur la façon dont vous authentifiez les appels API et gérez les connexions OAuth.

Abandon du connecteur OAuth : date limite du 31 décembre

Date limite : 31 décembre 2025

Le connecteur Zoho OAuth par défaut est obsolète. Après le 31 décembre 2025, les nouvelles connexions OAuth n'apparaîtront plus dans les paramètres par défaut et devront être remplacées par des connexions spécifiques au service ou personnalisées pour une authentification API sécurisée.

Qu'est-ce qui change

• Default OAuth Connector Removed: The generic "Zoho OAuth" connector will vanish from connection defaults
• Service-Specific Connections Required: You must create connections specific to each Zoho service (CRM, Books, Desk, etc.)
• Custom OAuth Apps Recommended: For production integrations, create custom OAuth clients in Zoho API Console
• Existing Connections Grandfathered: Connections created before Dec 31 will continue to work (for now), but updates recommended

Pourquoi c'est important

Le connecteur OAuth par défaut était pratique mais présentait des risques de sécurité :

• Too broad in scope (access to all Zoho services)
• Harder to audit and monitor
• Violated principle of least privilege
• Difficult to revoke granular access

Comment migrer

1. Audit Your Connections: List all integrations using the default OAuth connector
2. Create Service-Specific Connections: In each Zoho app, go to Setup → Developer Space → Connections
3. Create Custom OAuth Clients: Visit Zoho API Console and create dedicated OAuth clients
4. Update Your Integrations: Replace default OAuth references with new service-specific connections
5. Test Thoroughly: Verify all integrations work with new connections before Dec 31

Modifications de sécurité de Deluge EnsureURL

Statut : Déjà en vigueur

Deluge's invokeURL deprecation of embedded credentials has already taken effect. You can no longer use inline authentication in invokeURL calls. You must now use Connections instead of inline auth for secure service calls.

Ce qui a changé

Auparavant, vous pouviez intégrer les informations d'identification directement dans les appels Deluge InvokeURL comme ceci :

// DEPRECATED - DO NOT USE
response = invokeurl
[
    url: "https://api.example.com/endpoint"
    type: GET
    parameters: {"username": "user@example.com", "password": "secretpass"}
];

Now you must use Connections:

// Create a Connection in Zoho first, then reference it
response = invokeurl
[
    url: "https://api.example.com/endpoint"
    type: GET
    connection: "your_connection_name"
];

Pourquoi ce changement a été effectué

• Sécurité : Les informations d'identification intégrées au code peuvent être exposées via des journaux, des messages d'erreur ou des exportations de code.
• Auditabilité : Les connexions fournissent des pistes d'audit claires indiquant quelles intégrations accèdent à quels services
• Rotation : Mettez à jour les informations d'identification en un seul endroit (paramètres de connexion) plutôt que de parcourir des scripts
• Conformité : Répond aux exigences de conformité en matière de sécurité pour la gestion des informations d'identification

Comment mettre à jour vos scripts

1. Identifiez les scripts concernés : Recherchez dans votre code Deluge les appels d'invocationURL avec des informations d'identification intégrées
2. Créer des connexions : Pour chaque service externe, créez une connexion dans Zoho
3. Mettre à jour les appels d'invocationURL : Remplacer les paramètres d'informations d'identification par des références de connexion
4. Testez minutieusement : Vérifiez que tous les appels d'API fonctionnent avec la nouvelle approche basée sur la connexion
5. Supprimer les anciennes informations d'identification : Supprimez les informations d'identification intégrées de votre code

Votre liste de contrôle des actions à entreprendre

Voici votre plan d'action prioritaire pour ces mises à jour de décembre :

Besoin d'aide avec ces mises à jour ?

Si vous vous sentez dépassé par ces changements de sécurité ou si vous ne savez pas par où commencer, nous pouvons vous aider. ZMCOR est spécialisé dans les intégrations Zoho, le développement d'API et les migrations de plateformes.

Services que nous offrons

• Migration OAuth : Auditer et migrer d'OAuth par défaut vers des connexions spécifiques au service
• Mises à jour du script Déluge : Convertir les informations d'identification intégrées pour sécuriser les connexions
• Tests d'intégration : Des tests complets pour garantir que rien ne se casse
• Documents : Documentez votre nouvelle architecture de connexion
• Formation : Formez votre équipe aux nouvelles bonnes pratiques de sécurité

Gardez une longueur d'avance sur les mises à jour Zoho

Zoho continue d'évoluer rapidement, avec de nouvelles fonctionnalités, des améliorations de sécurité et des modifications de plate-forme annoncées régulièrement. Les mises à jour de décembre 2025 sont particulièrement importantes car elles impliquent des changements radicaux qui nécessitent une action.

Les principaux points à retenir :

• WorkDrive TrueSync prend désormais en charge Linux – idéal pour les équipes de développement
• Les fonctionnalités d'IA Zoho Desk continuent d'améliorer l'efficacité de l'assistance.
• La dépréciation du connecteur OAuth nécessite une migration d'ici le 31 décembre
• Les informations d'identification intégrées Deluge sont déjà obsolètes - utilisez Connections

N'attendez pas la dernière minute. Commencez dès aujourd’hui votre planification de migration, testez minutieusement et assurez-vous que vos intégrations se dérouleront sans problème jusqu’en 2026.