Afin de garantir un haut niveau de sécurité dans les paiements en e-commerce, de nombreuses solutions de paiements s’apprêtent à modifier leur protocole TLS à partir d’avril 2018. Explications et conséquences de ce changement.
Qu’est-ce que le protocole TLS ?
Le protocole TLS, signifiant Transport Layer Security ou Sécurité de la couche de transport, est un protocole de sécurisation des échanges sur Internet. Comme son prédécesseur le protocole SSL, le protocole TLS garantit la confidentialité et l’intégrité des données échangées entre deux applications. Protocole le plus déployé actuellement, le TLS existe sous les versions 1.0, 1.1 et 1.2. Dispositif utilisé par les navigateurs web et les API des solutions de paiement, il garantit qu’une connexion vers un point de terminaison distant est dirigée vers la destination voulue à l’aide du cryptage et de la vérification de l’identité du point de terminaison.
Qu’est-ce qui a changé depuis avril 2018 ?
Afin de respecter la norme PCI-DSS (Payment Card Industry Data Security Standard), standard de sécurité des données pour les groupes de cartes de paiements, les protocoles d’échanges lors du traitement des transactions doivent être renforcés. En clair, exit les protocoles TLS1.0 et 1.1, le seul protocole utilisé dans la communication en HTTPS est le protocole TLS1.2.
Les principales solutions de paiements vont donc désactiver, courant du mois d’avril 2018, les protocoles TLS1.0 et 1.1 pour se concentrer sur le 1.2, protocole déjà majoritairement utilisé.
Qui est concerné et quelles sont les conséquences ?
Ce changement de protocole va avoir plusieurs conséquences, concernant à la fois l’internaute et le e-commerçant.
1/ D’un point de vue internaute, les clients utilisant des navigateurs récents ne devraient pas être impactés. En revanche si les versions des navigateurs sont plus anciennes (voir plus bas), le protocole TLS1.2 peut ne pas être supporté et le bon fonctionnement des pages de paiement non assuré. Il est donc important de veiller à ce que les visiteurs de boutiques en lignes soient bien sur des versions compatibles avec le TLS1.2 afin de pouvoir procéder au paiement.
Ci-dessous, la liste des navigateurs avec les versions minimum pour être compatibles avec le TLS1.2 :
- Microsoft Internet Explorer (IE) : Version 11
- Mozilla Firefox : à partir de la Version 27
- Google Chrome : à partir de la Version 38
- Google Android OS Browser : à partir de la version Android 5.0 (Lollipop)
- Apple Safari : à partir de Safari versions 7 sur OS X 10.9 (Mavericks)
- Microsoft Edge : compatible par défaut
Pour savoir si votre navigateur est compatible, vous pouvez visiter le site suivant : https://www.howsmyssl.com/ .
2/ Pour les e-commerçants, outre le manque à gagner si les visiteurs ne sont pas bien informés des versions compatibles avec le nouveau protocole TLS1.2, l’utilisation d’un navigateur avec une version obsolète empêchera également de consulter le back-office de la solution bancaire et de suivre les transactions.
3/ Côté serveur, il est également important de vérifier que l’hébergement de votre site supporte le TLS1.2 afin de continuer d’accéder aux API des solutions de paiement. Afin de vérifier si les serveurs sont à jour, un simple appel vers l’API de votre solution de paiement vous permettra de valider la compatibilité. Si un message d’erreur est renvoyé du type SSL error ou handshake failure, vos serveurs ne sont certainement pas à jour.
Si votre site est hébergé sur un serveur de l’agence123, nous avons déjà fait le nécessaire afin que votre site supporte le TLS 1.2.
Pour plus d’informations concernant ce changement de protocole, nous vous invitons à consulter la FAQ proposée par Mercanet de BNP Paribas.
Les solutions bancaires dont nous sommes certains qu'elles vont changer de protocole
A l'heure où nous rédigeons cet article, plusieurs solutions ont déjà communiqué sur leur changement de protocole, parmi lesquelles :
- Solution mercanet de BNP Paribas
- Payline
- Paybox
- Atos qui correspond aux solutions bancaires HSBC / CCF (elysnet), BNP Paribas (mercanet : ancienne version), Société Générale (sogenactif), Crédit Agricole (etransactions), Crédit du Nord / Kolb (webaffaires), Crédit Lyonnais (sherlocks), Banque Populaire / SMC (cyberplus), Banque Postale (scellius), Banque Postale (scelliusnet)
Vous êtes e-commerçant et souhaitez être suivi par une agence digitale experte en e-commerce ?
