Compte tenu des récentes décisions du PCI Council en matière de sécurisation des données, il nous est obligatoire en tant que prestataire de paiement de restreindre les protocoles TLS que nous offrons en version 1.2. Cette mesure vaut pour tous nos points d’accès (https ou autres sauf exception notoire) ; elle est donc imposée à tous les prestataires de services de paiement certifiés PCI DSS comme PayZen. Cette évolution sera effective à partir du 10 septembre 2018.
Pourquoi cette migration est-elle nécessaire ?
Le PCI Council a annoncé l’arrêt des protocoles TLS dans ses versions 1.0 et 1.1 pour garantir des standards de sécurité suffisants aux échanges de données. Le protocole cryptographique Transport Layer Security (TLS), anciennement Secure Sockets Layer (SSL), garantit la sécurité des échanges de données entre applications et leurs utilisateurs sur internet. Cela permet notamment qu’aucun tiers n’aie accès au contenu lors de ces échanges.
Après la récente découverte de failles dans les versions antérieures de TLS, il a été décidé l’arrêt des protocoles TLS 1.0 et 1.1 pour ne conserver que la version 1.2 – qui deviendra le seul standard valide.
Quels sont les impacts ?
Sans modification de votre infrastructure, et en fonction des webservices que vous utilisez les services suivants seront interrompus à compter du 10 septembre 2018 :
- Webservice paiement : L’acheteur sera dans l’impossibilité de payer.
- Webservice remboursement, annulation, modification : Plus aucun remboursement, ni annulation, ni modification (montant, date) d’un paiement ne sera possible.
- Webbservice Statut paiement : Les statuts de vos paiements ne seront pas récupérables.
- Webservice Générer une URL de paiement : Le paiement par mail ne sera plus disponible.
Quels sont les conséquences ?
POUR TOUS LES MARCHANDS ET LEURS ACHETEURS
Vos acheteurs qui utilisent un navigateur non compatible avec TLS v1.2, ne pourront finaliser leur paiement (blocage du navigateur ou message d’erreur). N’hésitez pas à conseiller à vos clients de mettre à jour leur navigateur. En tant que e-commerçant, vous pourriez minimiser le risque de perte de transactions en conseillant à vos utilisateurs de mettre à jour leurs navigateurs.
POUR LES MARCHANDS UTILISANT LE BACK OFFICE
Vérifiez que votre navigateur soit compatible TLS 1.2 Dans le cas contraire, vous ne pourrez pas accéder au Back Office.
POUR LES MARCHANDS UTILISANT LES IPN / NOTIFICATIONS INSTANTANEES
Vérifiez que la configuration de votre serveur traitant les IPN soit compatible TLS 1.2
POUR LES MARCHANDS UTILISANT LES WEBSERVICES
Vérifiez que votre implémentation des Webservices soit compatible TLS 1.2
Liste des navigateurs compatible TLS 1.2 (non exhaustive)
- Internet Explorer :
IE 10 et versions suivantes
Il est possible de passer à TLS V1.2 dans les réglages du menu « Outils » : « Options Internet », « Avancé »
IE Mobile : version Windows Phone 8.0 et versions suivantes - Android OS browser : version Android 4.4 KitKat (dernière version : 4.4.4 du 19/06/2014) et versions suivantes.
- Safari : version OS X 10.8 Mountain Lion (dernière version : 10.8.5 du 12/09/2013) et versions suivantes.
- Google Chrome : versions Windows (7+), OS X (10.9+), Linux, Android (4.1+), iOS (9.0+), Chrome OS version 30-32 et versions suivantes.
- Mozilla Firefox :
– Mozilla Firefox : versions Windows (7+), OS X (10.9+), Linux, Android (4.0.3+), iOS (9.0+) versions 24 et ESR24.0 et versions suivantes.
– Pour les versions 24, 25.0.0, 25.0.1, 26 ESR24.0-ESR24.1.0, ESR24.1.1, il est possible de passer à TLS V1.2 dans le paramétrage de Mozilla.
Une liste plus détaillée est disponible sur https://en.wikipedia.org/wiki/Transport_Layer_Security#Web_Browsers