Ces changements s'appliquent aux marchands qui se sont authentifiés auprès d'une intégration tierce avec leur clé secrète de l'API Stripe. Ces intégrations sont généralement appelées modules d'extension, mais peuvent aussi porter d'autres noms. Stripe définit un module d'extension comme toute intégration entre une solution tierce et Stripe exigeant que l'utilisateur s'authentifie avec ses clés secrètes de l'API Stripe. Un module d'extension communique généralement avec les API de Stripe en effectuant des appels à l'API ou en réagissant à des événements de l'API Stripe au nom de ses utilisateurs. Souvent, les modules d'extension exécutent du code pour que Stripe puisse communiquer avec d'autres logiciels (par ex., accepter des paiements sur Wordpress), mais ils peuvent aussi prendre d'autres formes, comme des bibliothèques libre source.
Stripe renforce ses exigences en matière de sécurité pour les développeurs de modules d'extension et leurs utilisateurs. Les clés secrètes de l'API peuvent être utilisées pour toutes sortes de requêtes API sans restriction, et donner à des tiers un accès illimité au compte Stripe d'un utilisateur. Elles constituent une forme d'identification de compte, comme un nom d'utilisateur avec un mot de passe. Si des personnes mal intentionnées obtiennent une clé secrète, elles peuvent l'utiliser pour nuire à l'activité d'un marchand et à d'autres parties de l'écosystème Stripe. Il incombe aux utilisateurs de Stripe de conserver les clés secrètes de l'API en toute sécurité. Chez Stripe, nous prenons de nombreuses mesures pour assurer la protection des clés secrètes de l'API.
La plupart des modules d'extension n'ont pas besoin de toutes les autorisations d'accès, mais d'un nombre limité d'entre elles. À l'heure actuelle, il existe un risque lorsque les développeurs demandent aux utilisateurs de copier manuellement les informations d'identification de leur compte sur une plateforme tierce. Afin de réduire le risque de fraude pour les utilisateurs, les développeurs et Stripe, nous demandons aux développeurs d'utiliser des clés d'API limitées ou OAuth pour l'authentification des modules d'extension.
Le 1er janvier 2024, Stripe a ajouté la prise en charge de l'authentification par clé API limitée et OAuth 2.0 à Stripe Apps, ce qui permet aux modules d'extension de fonctionner de manière plus sécurisée dans l'écosystème. Cette mise à jour de sécurité permet non seulement de se conformer aux dernières normes de sécurité de Stripe, mais elle aide aussi les marchands qui utilisent ces intégrations tierces à mieux contrôler leur activité et leurs données.
Le 30 septembre 2024, Stripe demandera à tous les développeurs de modules d'extension d'adopter de nouvelles méthodes d'authentification sécurisées (clé API limitée, OAuth 2.0 ou Stripe Connect) pour protéger les utilisateurs de la fraude. Tous les développeurs de modules d'extension existants ou nouveaux doivent utiliser l'une de ces nouvelles méthodes d'autorisation sécurisées. Pour les développeurs qui choisissent d'utiliser une clé API limitée ou OAuth 2.0 par l'entremise d'une application Stripe, leur application doit être examinée et approuvée par Stripe avant d'être publiée dans Stripe App Marketplace.
Le 29 octobre 2024, Stripe commencera à exiger que tous les marchands qui utilisent des modules d'extension mettent à niveau la sécurité de leur connexion en s'authentifiant avec des clés API limitées ou avec OAuth 2.0. Il s'agit d'une mise à niveau planifiée visant à améliorer la sécurité globale des intégrations tierces et à se conformer aux normes les plus récentes de Stripe. À partir de juin 2025, Stripe imposera des frais pour les entreprises qui ne respectent pas cette exigence de sécurité.
Pour assurer une meilleure sécurité et un meilleur contrôle, il est essentiel d'utiliser des clés API limitées ou OAuth 2.0 au lieu de clés secrètes pour s'authentifier auprès de services tiers. Les clés API limitées renforcent la sécurité en offrant aux entreprises un contrôle précis des autorisations qu'elles accordent aux tiers et garantissent que les services tiers accèdent uniquement aux données et actions nécessaires. OAuth 2.0 est une autorisation en un clic segmentée en jetons que les entreprises transmettent à des tiers pour l'intégration. Similaire aux clés API limitées, OAuth 2.0 vous offre plus de contrôle et de protection sur les autorisations que vous accordez à des tiers. Ces options permettent non seulement de renforcer la protection contre les accès non autorisés et la fraude, mais aussi de simplifier les opérations en rendant les intégrations plus efficaces et plus fiables.
Le 1er janvier 2024, Stripe a ajouté de nouvelles fonctionnalités pour Stripe Apps qui visent à faciliter et sécuriser davantage l'autorisation des modules d'extension. Stripe Apps synchronise les données de manière transparente entre les systèmes, simplifie l'authentification et peut afficher une interface utilisateur pertinente dans le Dashboard Stripe. Tous les développeurs de modules d'extension existants ou nouveaux doivent mettre en place l'autorisation OAuth 2.0 ou par clé API limitée par l'entremise d'une application Stripe. Les autorisations de toutes les applications Stripe Apps sont vérifiées avant leur publication dans Stripe App Marketplace. Le respect des étapes d'installation et l'installation de l'application créée par le tiers garantissent que seules les parties nécessaires de vos données Stripe sont accessibles.
Authentification avec OAuth
Authentification avec une clé API limitée
Si le développeur de votre module d'extension n'a pas mis à jour l'application Stripe, vous pouvez vous-même générer une clé API limitée pour votre intégration. Suivez ces étapes pour configurer et intégrer la nouvelle clé :
En suivant ces étapes, vous assurez une intégration sécurisée avec des services tiers, en exploitant au maximum les fonctionnalités de Stripe.
Pour certains utilisateurs, le processus de création de la clé API peut être différent. Si c'est votre cas, suivez ces étapes :
Votre module d'extension peut également vous permettre de vous connecter à votre compte Stripe à l'aide de Stripe Connect Onboarding. Voici la marche à suivre, le cas échéant :
Stripe et WooCommerce collaborent pour s'assurer que nos clients communs utilisent des mesures de sécurité renforcées et ont accès aux dernières fonctionnalités du module d'extension Stripe WooCommerce, telles que le paiement différé.
Tous les marchands qui utilisent le module d'extension Stripe WooCommerce sont tenus d'effectuer les opérations suivantes d'ici le 29 octobre 2024 :
Certains clients du module d'extension Stripe WooCommerce utilisent l'API Sources pour accepter les moyens de paiement. Il s'agit d'une intégration ancienne qui sera supprimée. Afin de continuer à accepter les paiements en toute sécurité et d'éviter les ruptures de service pour la clientèle, ces clients doivent effectuer les étapes ci-dessus avant le 29 octobre 2024.
Veuillez consulter la documentation de WooCommerce pour suivre ce processus. WooCommerce a également apporté des réponses aux questions les plus fréquentes dans les articles épinglés sur le forum public d'assistance concernant le module d'extension Stripe de WooCommerce.