Depuis la pandémie, les paiements en ligne deviennent des gestes quotidiens. Aussi leur sécurisation est désormais une priorité absolue pour les banques. C’et dans cette optique qu’une nouvelle norme va faire son apparition.
nouvelle norme pour nouveaux achats
Le World Wide Web Consortium travaille sur cette nouvelle norme qui a pour objectif de sécuriser les paiements en ligne dans les navigateurs. Cela s’effectuera en partenariat avec d’autres services de paiement comme Apple Pay. Selon le W3C, il s’agit rien de moins qu’une étape de normalisation pour une nouvelle faculté qui aidera à rationaliser l'authentification des utilisateurs et à améliorer la sécurité des paiements lors du paiement sur le Web.
Ainsi le Secure Payment Confirmation (SPC) permettra aux commerçants, aux banques, aux fournisseurs de services de paiement, aux réseaux de cartes et autres de réduire les problèmes éventuels d'une authentification forte des clients et de produire des preuves cryptographiques du consentement de l'utilisateur. Selon le W3C, il s’agit là de deux aspects importants des exigences réglementaires, telles que la directive sur les services de paiement (PSD2) en Europe.
une couche supplémentaire de consentement de l'utilisateur
Dans les faits, cela rajoute une couche supplémentaire de consentement de l'utilisateur -user consent layer- en plus de l'authentification Web. Au cours d'une transaction, le SPC invite l'utilisateur à consentir aux conditions de paiement via un transaction dialog régie par le navigateur.
Une fois cela fait, les détails de la transaction sont signés par l'authentificateur FIDO de l'utilisateur. La banque ou une autre partie concernée par la transaction, peut alors valider les résultats de l'authentification par cryptographie. Pour l’heure le projet est loin d’être opérationnel, mais il vient de passer la phase Candidate Recommendation, indiquant que l'ensemble de fonctionnalités est stable et a fait l'objet d'un examen approfondi.
Actuellement, il est uniquement disponible dans Chrome et Edge sur MacOS, Windows et Android (pas de Safari, mais peut-être que les exigences d'Apple ou sa volonté de garder la main mise sur les paiements en ligne via Apple Pay en sont la raison). A priori, la mise en œuvre devrait également se faire dans d'autres navigateurs et environnements.
Notons que le consortium buche sur ce projet depuis 2019. Le but était bien évidemment de répondre aux exigences d'authentification forte des clients avec une faible friction de paiement. Selon les premiers tests effectués, l'authentification SPC aurait entraîné une augmentation de 8 % des conversions en même temps que le processus de paiement était 3 fois plus rapide, par rapport aux systèmes à codes d'accès uniques.
