Mise à jour de sécurité importante sur le protocole TLS

Pour garantir aux marchands un niveau de sécurité optimal pour leurs transactions en e-commerce, et conformément aux exigences de PCI DSS v3.2, le protocole de sécurisation des échanges sur Internet TLS version 1.2 devient obligatoire.

Les versions 1.0 et 1.1 du protocole ne seront plus supportées par la plateforme Dalenys à partir du 31 mars 2018. Nous vous invitons donc, en tant que marchands Dalenys, à vérifier votre environnement dès maintenant et à planifier la mise à niveau de vos serveurs si nécessaire. La mise à jour vers TLS 1.2 est déployée sur notre plateforme de tests (sandbox) : vous pouvez donc vérifier si vos transactions sont acceptées normalement sous cet environnement.

1- Qu’est-ce que TLS ?

Transport Layer Security (TLS) est un protocole utilisé pour chiffrer les échanges HTTPS. Lorsqu’un serveur et un client communiquent, TLS veille à ce qu’aucun tiers ne puisse écouter ou falsifier les messages. TLS succède au protocole Secure Sockets Layer (SSL).

2- Quels impacts côté marchand ?

Les impacts pour les marchands et la nécessaire migration vers TLS 1.2 dépendent du formulaire de paiement utilisé sur le site e-commerce.

  • J’utilise un formulaire de paiement en DirectLink (les opérations annexes au paiement comme l’export, le remboursement, etc. sont faites en Directlink). Suis-je impacté ?

Si vous acceptez les paiements avec un formulaire en mode « DirectLink », les requêtes vers la plateforme Dalenys sont impactées. Vous devez vérifier que votre environnement est à jour, et migrer vers TLS 1.2 si nécessaire.

  • J’utilise un formulaire de paiement en hosted fields. Suis-je impacté ?

Si vous acceptez les paiements avec un formulaire « hosted fields », les requêtes vers la plateforme Dalenys sont impactées. Vous devez vérifier que votre environnement est à jour, et migrer vers TLS 1.2 si nécessaire. Pour les impacts côté consommateurs, voir question 3.

-NEW- Le mode « hosted fields », désormais disponible pour vos formulaires, permet d’obtenir une flexibilité maximale dans la personnalisation de vos pages de paiement, sans compromis sur la sécurité. Contactez votre Payment Manager pour le mettre en place !

  • J’utilise un formulaire de paiement non customisé. Suis-je impacté ?

Si vous acceptez les paiements avec un « formulaire non customisé », vous n’êtes pas impacté en tant que marchand. Pour les impacts côté consommateurs, voir question 3.

  • J’utilise un formulaire de paiement customisé. Suis-je impacté ?

Si vous acceptez les paiements avec un « formulaire customisé », les requêtes vers la plateforme Dalenys sont impactées. Vous devez vérifier que votre environnement est à jour, et migrer vers TLS 1.2 si nécessaire. Pour les impacts côté consommateurs, voir question 3.

  • J’utilise le POS / MPOS. Suis-je impacté ?

Si vous acceptez les paiements avec le « POS / MPOS », vous n’êtes pas impacté : la désactivation de TLS 1.0 et TLS 1.1 ne concerne que l’encaissement en ligne et non l’encaissement de proximité.

3- Quels impacts côté consommateurs ?

Si le titulaire de la carte utilise un navigateur ou un appareil qui ne prend pas en charge le protocole de sécurité TLS 1.2 (notamment s’il utilise un navigateur web obsolète, basé sur TLS 1.0 et/ou TLS 1.1), la page de paiement ne sera pas affichée. Il n’y aura aucun avertissement spécifique sur le problème. Le titulaire de la carte devra passer à un navigateur web plus récent. Nous vous invitons donc à informer les visiteurs de votre site e-commerce via un avertissement de type pop-up ou bandeau.

Nous vous proposons de consulter la page Wikipedia dédiée au protocole TLS, qui donne un état des lieux global de la compatibilité des navigateurs avec TLS 1.2 (voir section « web browsers »).

4- Existe-t-il des ressources externes disponibles pour évaluer ma mise en œuvre actuelle de TLS ?

Afin de tester votre implémentation, vous pouvez utiliser des outils externes disponibles en ligne afin de vérifier votre configuration TLS client et/ou serveur. Nous vous invitons à contacter votre Payment Manager Dalenys pour vous accompagner dans cette démarche.

5- Que se passe-t-il si mes protocoles de sécurité ne sont pas à jour ?

Le PCI Council demande aux prestataires de services de paiement comme Dalenys de refuser les protocoles qui ne sont plus considérés comme sécurisés. Cela signifie que les échanges à l’aide de protocoles obsolètes ne seront plus considérés comme sécurisés par nos moteurs de paiement et échoueront.

Pour toute question ou complément, n’hésitez pas à contacter votre Payment Manager.