Le Consortium World Wide Web (W3C) travaille à renforcer la sécurité des paiements en ligne dans les navigateurs avec une nouvelle technologie qui fonctionne en parallèle avec d’autres services de paiement comme Apple Pay, Google Pay et plus encore. Connue sous le nom de Secure Payment Confirmation (SPC), elle permet à diverses entités comme les commerçants, les banques, les prestataires de services de paiement et les réseaux de cartes de réduire les obstacles liés à l’authentification forte du client (SCA pour strong customer authentication) et de générer une preuve cryptographique du consentement de l’utilisateur. Ces facteurs sont essentiels pour respecter les obligations réglementaires telles que la directive européenne sur les services de paiement (PSD2 pour Payment Services Directive).Au cours des 15 dernières années, le commerce électronique a connu une adoption grandissante dans la vente au détail. La pandémie de COVID semble avoir accéléré cette tendance. Les améliorations apportées à la sécurité des paiements en personne et d'autres facteurs ont entraîné une augmentation continue de la fraude aux paiements en ligne.
Pour lutter contre la croissance de la fraude aux paiements en ligne, l'Europe et d'autres juridictions ont commencé à rendre obligatoire l'authentification multifacteur pour certains types de paiements. Bien que l'authentification multifactorielle réduise la fraude, elle a également tendance à augmenter la friction de paiement, ce qui peut conduire à l'abandon du panier (cf. par exemple, les expériences des marchands Microsoft avec SCA sous PSD2).
En 2019, le Web Payments Working Group, un groupe de travail du W3C chargé de rendre les paiements plus simples et plus sécurisés sur le Web, a commencé à travailler sur la confirmation de paiement sécurisée pour aider à répondre aux exigences d'authentification client forte avec une faible friction de paiement.
La confirmation de paiement sécurisée (SPC) est une norme Web proposée qui permet aux clients de s'authentifier auprès d'un émetteur de carte de crédit, d'une banque ou d'un autre fournisseur de services de paiement à l'aide d'un authentificateur de plate-forme comme :
- une fonction de déverrouillage, y compris Touch ID sur un appareil macOS ;
- Windows Hello sur un appareil Windows.
Avec SPC, les commerçants peuvent permettre aux clients d'authentifier rapidement et de manière transparente leurs achats, tandis que les banques émettrices protègent leurs clients contre la fraude.
Stripe a mené un projet pilote avec une mise en œuvre précoce de SPC et, en mars 2020, a signalé que, par rapport aux codes d'accès à usage unique (OTP), l'authentification SPC entraînait une augmentation de 8 % des conversions en même temps que le paiement était trois fois plus rapide.
Le W3C continue de recevoir des commentaires sur la confirmation de paiement sécurisé par le biais de programmes pilotes, y compris une deuxième expérience par Stripe. Le groupe de travail sur les paiements en ligne prévoit que davantage de données expérimentales seront disponibles d'ici septembre 2023.
Secure Payment Confirmation publié en tant que recommandation candidate
C'est dans un billet que le W3C a annoncé en Candidate Recommendation cette fonctionnalité de navigateur qui permet de rationaliser l'authentification des utilisateurs et d'améliorer la sécurité des paiements lors du paiement en ligne. La phase Candidate Recommendation signifie que l'ensemble de fonctionnalités est stable et qu'il a fait l'objet d'un examen approfondi.
Secure Payment Confirmation introduit une couche supplémentaire de « consentement de l’utilisateur » au-dessus de l’authentification web. Lors d’une transaction, SPC invite l’utilisateur à consentir aux conditions de paiement grâce à une « boîte de dialogue de transaction » gérée par le navigateur. La boîte de dialogue permet à l’utilisateur de vérifier et de confirmer les détails de la transaction. L’authentificateur FIDO de l’utilisateur signe les détails de la transaction, permettant à la banque ou à l’entité concernée de vérifier le résultat de l’authentification cryptographiquement. La vérification cryptographique garantit que l’utilisateur a bien consenti aux conditions de paiement, comme l’exige la directive européenne sur les services de paiement sous le concept de « lien dynamique ».
SPC pourrait s’étendre au-delà des paiements par carte et englober d’autres écosystèmes de paiement. Le groupe de travail discute régulièrement de la manière dont SPC pourrait être intégré dans d'autres écosystèmes de paiement tels que Open Banking, PIX (au Brésil), ainsi que dans des flux de paiement propriétaires.
Actuellement, SPC est accessible sur les plates-formes Chrome et Edge sur macOS, Windows et Android, ce qui n’inclut pas le navigateur Safari d’Apple. Mais alors que le groupe de travail sur les paiements web entre dans la phase de recommandation des candidats, des efforts seront faits pour étendre l’implémentation de SPC à d’autres navigateurs et plates-formes.
Nick Telford-Reed, coprésident du groupe de travail, a déclaré : « La confirmation de paiement sécurisée signifie que pour la première fois, il y aura un moyen commun d'authentifier les acheteurs à travers les méthodes de paiement, les plates-formes, les appareils et les navigateurs, et s'appuie sur le succès de la demande de paiement du W3C et le travail de l'Alliance FIDO et d'EMVCo ».
En savoir plus sur SPC
Authentification pour la prévention de la fraude
L'authentification joue un rôle important dans la prévention de la fraude aux paiements. Cependant, ce processus de vérification repose souvent sur des mécanismes faibles, tels qu'une combinaison du numéro de carte de crédit et du nom du propriétaire de la carte, ou un code CVC supplémentaire inscrit au dos de la carte. Ces mécanismes sont facilement compromis et usurpés si les informations de la carte sont divulguées en raison de violations de la sécurité des données telles que des détournements de compte ou des attaques de phishing.
Des mécanismes supplémentaires de prévention de la fraude ont été introduits, tels que EMV® 3-D Secure, où le payeur peut être invité à s'authentifier auprès de l'émetteur de la carte ou de la banque. Pour s'authentifier, l'utilisateur se connecte avec un nom d'utilisateur et un mot de passe, ou un mot de passe à usage unique (OTP) envoyé au téléphone du payeur par SMS. Cela fonctionne pour protéger les clients contre la fraude, mais peut devenir un obstacle pour certains clients valides qui veulent effectuer le paiement. SPC vise à réduire les frictions d'authentification, réduisant ainsi l'abandon de panier.
Pendant ce temps, il existe une nouvelle norme d'authentification appelée WebAuthn.
Qu'est-ce que WebAuthn ?
L'authentification Web (WebAuthn en abrégé) est une norme Web qui permet aux serveurs de partie de confiance (RP) d'enregistrer et d'authentifier les utilisateurs dans le navigateur à l'aide de la cryptographie à clé publique, au lieu d'un mot de passe.
Les RP reposent sur des authentificateurs physiques, tels qu'une clé de sécurité. Les RP demandent la clé de sécurité pour générer une paire de clés privée-publique, puis stockent la clé publique sur le serveur (enregistrement). Ces clés générées sont propres à l'appareil, ce qui empêche les attaquants de se faire passer pour l'utilisateur. Cette norme est résistante au phishing car la paire de clés est liée à l'origine.
L'Alliance FIDO normalise le comportement de l'authentificateur. Certains authentificateurs prennent en charge la vérification de l'utilisateur local avec un facteur biométrique (tel qu'une empreinte digitale ou une reconnaissance faciale) ou un facteur de connaissance (tel qu'un code PIN). Beaucoup sont intégrés dans des appareils informatiques, tels que des ordinateurs portables ou des smartphones, connus sous le nom d'authentificateurs de plate-forme. WebAuthn est pris en charge sur tous les principaux navigateurs (de bureau et mobiles) et les authentificateurs sont disponibles sur des milliards d'appareils. Les utilisateurs peuvent s'enregistrer et s'authentifier en vérifiant leur identité localement sur la plate-forme.
SPC est conçu pour fonctionner avec les authentificateurs de plate-forme de vérification des utilisateurs (UVPA).
Comment fonctionne la Confirmation de Paiement Sécurisé ?
La confirmation de paiement sécurisée est basée sur WebAuthn et conçue spécifiquement à des fins de paiement. Comme les informations d'identification WebAuthn sont enregistrées pour des domaines spécifiques, ces informations d'identification ne peuvent pas être utilisées pour s'authentifier sur des sites non enregistrés susceptibles d'usurper l'identité d'un marchand. Cette fonctionnalité rend WebAuthn efficace contre les attaques de phishing.
SPC ajoute une couche d'informations de paiement au-dessus de WebAuthn afin que l'émetteur de la carte ou la banque puisse fournir une expérience de paiement cohérente. Une fois qu'un payeur enregistre un authentificateur auprès de la partie utilisatrice, il peut être utilisé pour s'authentifier sur différents sites marchands. La partie utilisatrice peut également choisir d'utiliser l'identifiant de paiement comme identifiant WebAuthn standard.
Mastercard est de la partie
« Mastercard s'engage à assurer la sécurité et la confiance dans l'ensemble de l'écosystème des paiements, tout en offrant une expérience client exceptionnelle », a déclaré Pablo Fourez, vice-président exécutif, Réseau et services de paiement numérique, Mastercard dans un communiqué de presse.
« Alors que le commerce électronique continue d'atteindre de nouveaux sommets dans le monde, nous saluons l'introduction de la normalisation SPC du World Wide Web Consortium pour prendre en charge l'authentification simplifiée des consommateurs parmi les commerçants et les cas d'utilisation de paiement. Il est plus important que jamais que l'expérience de paiement en ligne soit transparente et sûre, et cette norme est une étape positive et productive dans la mise à l'échelle de notre technologie innovante qui prend en charge cet espace ».
Sources : W3C, Chrome, la directive européenne révisée sur les services de paiement
Et vous ?
Que pensez-vous de la nouvelle norme Web pour les paiements en ligne? Avez-vous déjà utilisé ou envisagez-vous d’utiliser SPC ou un autre service de paiement similaire? Quels sont les principaux défis ou opportunités que vous voyez pour l’adoption de SPC par les commerçants et les consommateurs? Quelles sont les mesures que vous prenez pour protéger vos données personnelles et financières lors des paiements en ligne? Quels sont les autres domaines où vous aimeriez voir plus d’innovation et de sécurité dans le Web?