La confirmation de paiement sécurisé (SPC, Secure Payment Confirmation) est une norme Web proposée. Elle permet aux clients de s'authentifier auprès d'un émetteur de carte de crédit, d'une banque ou d'un autre fournisseur de services de paiement à l'aide d'un authentificateur de plate-forme:
- Déverrouiller une fonctionnalité, y compris Touch ID, sur un appareil macOS
- Windows Hello sur un appareil Windows
Avec la SPC, les marchands peuvent permettre à leurs clients d'authentifier leurs achats de manière rapide et transparente, tandis que les banques émettrices les protègent contre la fraude.
La SPC se déroule en deux étapes: l'enregistrement et l'authentification.
- Enregistrement: le payeur associe son appareil à un tiers de confiance. Cette partie peut être un émetteur de carte de crédit, une banque ou un autre fournisseur de services de paiement.
- Authentification: le payeur utilise l'appareil enregistré pour confirmer son identité auprès du tiers assujetti à des restrictions directement depuis la plate-forme du marchand avant de confirmer les paiements.
Authentification pour la prévention des fraudes
L'authentification joue un rôle important dans la prévention des fraudes de paiement. Cependant, cette procédure de validation repose souvent sur des mécanismes peu fiables, tels qu'une combinaison du numéro de carte de crédit et du nom du titulaire de la carte, ou un code CVC supplémentaire inscrit au verso. Ces mécanismes sont facilement compromis et usurpés si les informations de la carte sont divulguées en raison de brèches de sécurité des données telles que le piratage de compte ou les attaques par hameçonnage.
D'autres mécanismes de prévention de la fraude ont été introduits, comme EMV® 3-D Secure, où le payeur peut être invité à s'authentifier auprès de l'émetteur de la carte ou de la banque. Pour s'authentifier, l'utilisateur se connecte avec un nom d'utilisateur et un mot de passe, ou un mot de passe à usage unique (OTP) envoyé par SMS sur le téléphone du payeur. Cela protège les clients contre les fraudes, mais peut devenir un obstacle pour certains clients valides à effectuer le paiement. Elle vise à réduire les problèmes d'authentification, et donc à réduire le nombre d'abandons de panier.
Dans le même temps, une nouvelle norme d'authentification appelée WebAuthn est en plein essor.
Qu'est-ce que WebAuthn ?
L'authentification Web (WebAuthn en abrégé) est une norme Web qui permet aux serveurs de tiers de confiance (RP) d'enregistrer et d'authentifier les utilisateurs dans le navigateur à l'aide de la cryptographie à clé publique, plutôt qu'avec un mot de passe.
Les tiers assujettis à des restrictions s'appuient sur des authentificateurs physiques, comme une clé de sécurité. Les tiers assujettis à des restrictions demandent la clé de sécurité pour générer une paire de clés publique/privée, puis la stockent sur le serveur (enregistrement). Ces clés générées sont propres à l'appareil, ce qui empêche les pirates informatiques d'usurper l'identité de l'utilisateur. Cette norme est protégée contre l'hameçonnage, car la paire de clés est liée à l'origine.
L'alliance FIDO standardise le comportement des authentificateurs. Certains authentificateurs acceptent la validation de l'utilisateur local à l'aide d'un facteur biométrique (comme une empreinte digitale ou de la reconnaissance faciale) ou d'un facteur de connaissances (comme un code PIN). Nombre d'entre eux sont intégrés aux appareils informatiques, tels que les ordinateurs portables ou les smartphones, appelés authentificateurs de plate-forme. WebAuthn est compatible avec tous les principaux navigateurs (ordinateur et mobile), et les authentificateurs sont disponibles sur des milliards d'appareils. Les utilisateurs peuvent s'enregistrer et s'authentifier en validant leur identité localement sur la plate-forme.
Le SPC est conçu pour fonctionner avec les authentificateurs de plate-forme de validation de l'utilisateur (UVPA, User Verifying Platform Authenticators).
Comment la confirmation de paiement sécurisé fonctionne-t-elle ?
La confirmation de paiement sécurisé (SPC) est basée sur WebAuthn et conçue spécialement à des fins de paiement. Étant donné que les identifiants WebAuthn sont enregistrés pour des domaines spécifiques, ils ne peuvent pas être utilisés pour l'authentification sur des sites non enregistrés qui usurpent l'identité d'un marchand. Cette fonctionnalité rend WebAuthn efficace contre les attaques par hameçonnage.
La SPC ajoute une couche d'informations de paiement en plus de WebAuthn afin que l'émetteur de la carte ou la banque puissent fournir une expérience de paiement cohérente. Une fois qu'un payeur a enregistré un authentificateur auprès de la partie de confiance, il peut être utilisé pour s'authentifier sur différents sites marchands. Le tiers de confiance peut également choisir d'utiliser les identifiants de paiement comme identifiants WebAuthn standards.
Stripe a testé SPC dans son environnement de production dans le cadre des phases d'évaluation de Chrome. Lors de ce test, Stripe a amélioré son taux de conversion de 8% et enregistré un taux de paiement trois fois plus rapide. Découvrez leurs résultats dans le rapport SPC du W3C Web Payments Working Group.
Comment les utilisateurs peuvent-ils bénéficier de SPC ?
L'interface SPC comprend deux étapes: l'enregistrement et l'authentification.
Le client doit d'abord enregistrer son appareil à l'aide de l'authentificateur de plate-forme de validation de l'utilisateur (UVPA). Une fois l'appareil enregistré, il peut être utilisé pour authentifier l'utilisateur et confirmer les paiements chaque fois que la transaction SPC est effectuée sur le site d'un marchand.
Inscription
Les utilisateurs peuvent s'inscrire au SPC de deux manières:
- Inscrivez-vous directement sur le site Web du tiers assujetti à des restrictions.
- S'inscrire indirectement sur le site Web d'un marchand
Inscription sur le site Web du tiers assujetti à des restrictions
Sur le site Web du RP, l'enregistrement SPC est semblable à l'enregistrement WebAuthn. Nous recommandons au RP de demander au client d'enregistrer son UVPA dans le cadre d'un flux de connexion.
Voici un scénario typique:
- Un client se connecte au site Web de votre banque à l'aide d'un nom d'utilisateur, d'un mot de passe et d'une étape de validation supplémentaire (généralement un mot de passe à usage unique ou OTP).
- Une fois l'authentification réussie, affichez une demande d'autorisation qui demande au client d'enregistrer son appareil (UVPA).
- Une fois l'autorisation accordée, le navigateur affiche une boîte de dialogue d'enregistrement WebAuthn.
- Le client accepte d'enregistrer l'appareil en effectuant une authentification biométrique.
- Le client peut désormais se connecter et payer de façon sécurisée en utilisant son appareil.
Avec la reauthentication, un utilisateur est déjà connecté, mais il est invité à s'authentifier à nouveau pour s'assurer que le même utilisateur est toujours présent. Cette conception est généralement observée lors d'une opération critique de sécurité, telle qu'une requête de modification de mot de passe ou lors d'un paiement. Avec un UVPA WebAuthn, la réauthentification est beaucoup plus rapide et plus efficace qu'avec des mots de passe.
Pour découvrir comment créer un flux d'enregistrement et d'authentification WebAuthn pour la réauthentification, consultez la page Créer votre première application WebAuthn.
Inscription sur le site Web d'un marchand lors du paiement
Si votre client n'enregistre pas son appareil sur le site Web de l'émetteur du paiement, il peut le faire directement sur le site Web d'un marchand. L'interface semble identique, mais l'inscription de l'utilisateur est lancée par le code du tiers assujetti à des restrictions.
C'est la solution idéale lorsque les clients ne consultent pas souvent le site Web du tiers assujetti à des restrictions, mais qu'ils souhaitent tout de même leur proposer l'option d'authentification.
Authentification (confirmation de paiement)
L'authentification est requise lorsqu'un payeur fournit des identifiants de paiement lors d'une transaction de paiement.
- Le payeur fournit des justificatifs de paiement (par exemple, des informations de carte de crédit).
- Le marchand vérifie si le navigateur est compatible avec la confirmation de paiement sécurisé.
- Si le navigateur est compatible avec SPC, appelez l'API Payment Request en utilisant SPC comme mode de paiement. Sinon, revenez à la méthode d'authentification existante.
- Le payeur confirme les détails de la transaction et procède à l'authentification (par exemple, en touchant son authentificateur de plate-forme biométrique).
Plates-formes compatibles
La confirmation de paiement sécurisé est actuellement compatible avec Google Chrome sous macOS et Windows. Les autres plates-formes, y compris Android, iOS et ChromeOS, ne seront plus compatibles depuis mai 2022.