Le Consortium W3C se rapproche d'une normalisation de la fonctionnalité SPC pour sécuriser et faciliter les paiements en ligne

Une technologie qui fonctionne en parallèle d'Apple Pay et Google Pay

Le consortium W3C se rapproche d'une normalisation de la fonctionnalité SPC pour sécuriser et faciliter les paiements en ligne,
une technologie qui fonctionne en parallèle d'Apple Pay et Google Pay

Le Consortium World Wide Web (W3C) travaille à renforcer la sécurité des paiements en ligne dans les navigateurs avec une nouvelle technologie qui fonctionne en parallèle avec d’autres services de paiement comme Apple Pay, Google Pay et plus encore. Connue sous le nom de Secure Payment Confirmation (SPC), elle permet à diverses entités comme les commerçants, les banques, les prestataires de services de paiement et les réseaux de cartes de réduire les obstacles liés à l’authentification forte du client (SCA pour strong customer authentication) et de générer une preuve cryptographique du consentement de l’utilisateur. Ces facteurs sont essentiels pour respecter les obligations réglementaires telles que la directive européenne sur les services de paiement (PSD2 pour Payment Services Directive).

Au cours des 15 dernières années, le commerce électronique a connu une adoption grandissante dans la vente au détail. La pandémie de COVID semble avoir accéléré cette tendance. Les améliorations apportées à la sécurité des paiements en personne et d'autres facteurs ont entraîné une augmentation continue de la fraude aux paiements en ligne.

Pour lutter contre la croissance de la fraude aux paiements en ligne, l'Europe et d'autres juridictions ont commencé à rendre obligatoire l'authentification multifacteur pour certains types de paiements. Bien que l'authentification multifactorielle réduise la fraude, elle a également tendance à augmenter la friction de paiement, ce qui peut conduire à l'abandon du panier (cf. par exemple, les expériences des marchands Microsoft avec SCA sous PSD2).


En 2019, le Web Payments Working Group, un groupe de travail du W3C chargé de rendre les paiements plus simples et plus sécurisés sur le Web, a commencé à travailler sur la confirmation de paiement sécurisée pour aider à répondre aux exigences d'authentification client forte avec une faible friction de paiement.

La confirmation de paiement sécurisée (SPC) est une norme Web proposée qui permet aux clients de s'authentifier auprès d'un émetteur de carte de crédit, d'une banque ou d'un autre fournisseur de services de paiement à l'aide d'un authentificateur de plate-forme comme :

• une fonction de déverrouillage, y compris Touch ID sur un appareil macOS ;
• Windows Hello sur un appareil Windows.

Avec SPC, les commerçants peuvent permettre aux clients d'authentifier rapidement et de manière transparente leurs achats, tandis que les banques émettrices protègent leurs clients contre la fraude.

Stripe a mené un projet pilote avec une mise en œuvre précoce de SPC et, en mars 2020, a signalé que, par rapport aux codes d'accès à usage unique (OTP), l'authentification SPC entraînait une augmentation de 8 % des conversions en même temps que le paiement était trois fois plus rapide.


Le W3C continue de recevoir des commentaires sur la confirmation de paiement sécurisé par le biais de programmes pilotes, y compris une deuxième expérience par Stripe. Le groupe de travail sur les paiements en ligne prévoit que davantage de données expérimentales seront disponibles d'ici septembre 2023.

Secure Payment Confirmation publié en tant que recommandation candidate

C'est dans un billet que le W3C a annoncé en Candidate Recommendation cette fonctionnalité de navigateur qui permet de rationaliser l'authentification des utilisateurs et d'améliorer la sécurité des paiements lors du paiement en ligne. La phase Candidate Recommendation signifie que l'ensemble de fonctionnalités est stable et qu'il a fait l'objet d'un examen approfondi.

Secure Payment Confirmation introduit une couche supplémentaire de « consentement de l’utilisateur » au-dessus de l’authentification web. Lors d’une transaction, SPC invite l’utilisateur à consentir aux conditions de paiement grâce à une « boîte de dialogue de transaction » gérée par le navigateur. La boîte de dialogue permet à l’utilisateur de vérifier et de confirmer les détails de la transaction. L’authentificateur FIDO de l’utilisateur signe les détails de la transaction, permettant à la banque ou à l’entité concernée de vérifier le résultat de l’authentification cryptographiquement. La vérification cryptographique garantit que l’utilisateur a bien consenti aux conditions de paiement, comme l’exige la directive européenne sur les services de paiement sous le concept de « lien dynamique ».

SPC pourrait s’étendre au-delà des paiements par carte et englober d’autres écosystèmes de paiement. Le groupe de travail discute régulièrement de la manière dont SPC pourrait être intégré dans d'autres écosystèmes de paiement tels que Open Banking, PIX (au Brésil), ainsi que dans des flux de paiement propriétaires.

Actuellement, SPC est accessible sur les plates-formes Chrome et Edge sur macOS, Windows et Android, ce qui n’inclut pas le navigateur Safari d’Apple. Mais alors que le groupe de travail sur les paiements web entre dans la phase de recommandation des candidats, des efforts seront faits pour étendre l’implémentation de SPC à d’autres navigateurs et plates-formes.

Nick Telford-Reed, coprésident du groupe de travail, a déclaré : « La confirmation de paiement sécurisée signifie que pour la première fois, il y aura un moyen commun d'authentifier les acheteurs à travers les méthodes de paiement, les plates-formes, les appareils et les navigateurs, et s'appuie sur le succès de la demande de paiement du W3C et le travail de l'Alliance FIDO et d'EMVCo ».


En savoir plus sur SPC

Authentification pour la prévention de la fraude

L'authentification joue un rôle important dans la prévention de la fraude aux paiements. Cependant, ce processus de vérification repose souvent sur des mécanismes faibles, tels qu'une combinaison du numéro de carte de crédit et du nom du propriétaire de la carte, ou un code CVC supplémentaire inscrit au dos de la carte. Ces mécanismes sont facilement compromis et usurpés si les informations de la carte sont divulguées en raison de violations de la sécurité des données telles que des détournements de compte ou des attaques de phishing.

Des mécanismes supplémentaires de prévention de la fraude ont été introduits, tels que EMV® 3-D Secure, où le payeur peut être invité à s'authentifier auprès de l'émetteur de la carte ou de la banque. Pour s'authentifier, l'utilisateur se connecte avec un nom d'utilisateur et un mot de passe, ou un mot de passe à usage unique (OTP) envoyé au téléphone du payeur par SMS. Cela fonctionne pour protéger les clients contre la fraude, mais peut devenir un obstacle pour certains clients valides qui veulent effectuer le paiement. SPC vise à réduire les frictions d'authentification, réduisant ainsi l'abandon de panier.

Pendant ce temps, il existe une nouvelle norme d'authentification appelée WebAuthn.

Qu'est-ce que WebAuthn ?

L'authentification Web (WebAuthn en abrégé) est une norme Web qui permet aux serveurs de partie de confiance (RP) d'enregistrer et d'authentifier les utilisateurs dans le navigateur à l'aide de la cryptographie à clé publique, au lieu d'un mot de passe.

Les RP reposent sur des authentificateurs physiques, tels qu'une clé de sécurité. Les RP demandent la clé de sécurité pour générer une paire de clés privée-publique, puis stockent la clé publique sur le serveur (enregistrement). Ces clés générées sont propres à l'appareil, ce qui empêche les attaquants de se faire passer pour l'utilisateur. Cette norme est résistante au phishing car la paire de clés est liée à l'origine.

L'Alliance FIDO normalise le comportement de l'authentificateur. Certains authentificateurs prennent en charge la vérification de l'utilisateur...