À qui s'appliquent ces changements?

Ces changements s'appliquent aux marchands qui se sont authentifiés auprès d'une intégration tierce avec leur clé secrète de l'API Stripe. Ces intégrations sont généralement appelées modules d'extension, mais peuvent aussi porter d'autres noms. Stripe définit un module d'extension comme toute intégration entre une solution tierce et Stripe exigeant que l'utilisateur s'authentifie avec ses clés secrètes de l'API Stripe. Un module d'extension communique généralement avec les API de Stripe en effectuant des appels à l'API ou en réagissant à des événements de l'API Stripe au nom de ses utilisateurs. Souvent, les modules d'extension exécutent du code pour que Stripe puisse communiquer avec d'autres logiciels (par ex., accepter des paiements sur Wordpress), mais ils peuvent aussi prendre d'autres formes, comme des bibliothèques libre source.

Quels changements sont proposés et pourquoi?

Stripe renforce ses exigences en matière de sécurité pour les développeurs de modules d'extension et leurs utilisateurs. Les clés secrètes de l'API peuvent être utilisées pour toutes sortes de requêtes API sans restriction, et donner à des tiers un accès illimité au compte Stripe d'un utilisateur. Elles constituent une forme d'identification de compte, comme un nom d'utilisateur avec un mot de passe. Si des personnes mal intentionnées obtiennent une clé secrète, elles peuvent l'utiliser pour nuire à l'activité d'un marchand et à d'autres parties de l'écosystème Stripe. Il incombe aux utilisateurs de Stripe de conserver les clés secrètes de l'API en toute sécurité. Chez Stripe, nous prenons de nombreuses mesures pour assurer la protection des clés secrètes de l'API.

La plupart des modules d'extension n'ont pas besoin de toutes les autorisations d'accès, mais d'un nombre limité d'entre elles. À l'heure actuelle, il existe un risque lorsque les développeurs demandent aux utilisateurs de copier manuellement les informations d'identification de leur compte sur une plateforme tierce. Afin de réduire le risque de fraude pour les utilisateurs, les développeurs et Stripe, nous demandons aux développeurs d'utiliser des clés d'API limitées ou OAuth pour l'authentification des modules d'extension.

Le 1er janvier 2024, Stripe a ajouté la prise en charge de l'authentification par clé API limitée et OAuth 2.0 à Stripe Apps, ce qui permet aux modules d'extension de fonctionner de manière plus sécurisée dans l'écosystème. Cette mise à jour de sécurité permet non seulement de se conformer aux dernières normes de sécurité de Stripe, mais elle aide aussi les marchands qui utilisent ces intégrations tierces à mieux contrôler leur activité et leurs données.

À quelle date les changements sont-ils prévus?

Le 30 septembre 2024, Stripe demandera à tous les développeurs de modules d'extension d'adopter de nouvelles méthodes d'authentification sécurisées (clé API limitée, OAuth 2.0 ou Stripe Connect) pour protéger les utilisateurs de la fraude. Tous les développeurs de modules d'extension existants ou nouveaux doivent utiliser l'une de ces nouvelles méthodes d'autorisation sécurisées. Pour les développeurs qui choisissent d'utiliser une clé API limitée ou OAuth 2.0 par l'entremise d'une application Stripe, leur application doit être examinée et approuvée par Stripe avant d'être publiée dans Stripe App Marketplace.

Le 29 octobre 2024, Stripe commencera à exiger que tous les marchands qui utilisent des modules d'extension mettent à niveau la sécurité de leur connexion en s'authentifiant avec des clés API limitées ou avec OAuth 2.0. Il s'agit d'une mise à niveau planifiée visant à améliorer la sécurité globale des intégrations tierces et à se conformer aux normes les plus récentes de Stripe. À partir de juin 2025, Stripe imposera des frais pour les entreprises qui ne respectent pas cette exigence de sécurité.

Pourquoi utiliser des clés API limitées ou OAuth?

Pour assurer une meilleure sécurité et un meilleur contrôle, il est essentiel d'utiliser des clés API limitées ou OAuth 2.0 au lieu de clés secrètes pour s'authentifier auprès de services tiers. Les clés API limitées renforcent la sécurité en offrant aux entreprises un contrôle précis des autorisations qu'elles accordent aux tiers et garantissent que les services tiers accèdent uniquement aux données et actions nécessaires. OAuth 2.0 est une autorisation en un clic segmentée en jetons que les entreprises transmettent à des tiers pour l'intégration. Similaire aux clés API limitées, OAuth 2.0 vous offre plus de contrôle et de protection sur les autorisations que vous accordez à des tiers. Ces options permettent non seulement de renforcer la protection contre les accès non autorisés et la fraude, mais aussi de simplifier les opérations en rendant les intégrations plus efficaces et plus fiables.

Stripe Apps et l'autorisation sécurisée

Le 1er janvier 2024, Stripe a ajouté de nouvelles fonctionnalités pour Stripe Apps qui visent à faciliter et sécuriser davantage l'autorisation des modules d'extension. Stripe Apps synchronise les données de manière transparente entre les systèmes, simplifie l'authentification et peut afficher une interface utilisateur pertinente dans le Dashboard Stripe. Tous les développeurs de modules d'extension existants ou nouveaux doivent mettre en place l'autorisation OAuth 2.0 ou par clé API limitée par l'entremise d'une application Stripe. Les autorisations de toutes les applications Stripe Apps sont vérifiées avant leur publication dans Stripe App Marketplace. Le respect des étapes d'installation et l'installation de l'application créée par le tiers garantissent que seules les parties nécessaires de vos données Stripe sont accessibles.

Authentification avec OAuth

Authentification avec une clé API limitée

Comment les marchands peuvent eux-mêmes mettre à niveau leur sécurité

Si le développeur de votre module d'extension n'a pas mis à jour l'application Stripe, vous pouvez vous-même générer une clé API limitée pour votre intégration. Suivez ces étapes pour configurer et intégrer la nouvelle clé :

1. Accédez à la section Clés API dans votre Dashboard Stripe.
2. Créez une nouvelle clé limitée ou clonez une clé existante.
   1. Cliquez sur « Créer une clé limitée » pour commencer de zéro. Par défaut, toutes les autorisations sont définies à « Aucune ».
   2. Sélectionnez « Dupliquer la clé » dans les options de la clé que vous souhaitez cloner. Les autorisations de la clé clonée sont définies par défaut pour la nouvelle clé.
3. Donnez à votre clé un nom qui identifie clairement le module d'extension que vous utilisez. Par exemple, si vous êtes sur rocketrides.com, vous pourriez nommer votre clé « clé limitée RocketRides ».
4. Modifiez les autorisations pour chaque ressource, en choisissant « Aucune », « Lecture » ou « Écriture ». Si vous utilisez Stripe Connect, précisez les autorisations pour les comptes connectés.
5. Cliquez sur « Créer la clé » pour générer la nouvelle clé API limitée.
6. Validez votre action par courriel ou texto, puis saisissez le code reçu pour finaliser le processus.
7. Copiez la valeur de la clé nouvellement affichée. N'oubliez pas que c'est votre seule chance de la copier.
8. Notez l'endroit où vous avez enregistré cette clé, puis cliquez sur « Terminé ».

En suivant ces étapes, vous assurez une intégration sécurisée avec des services tiers, en exploitant au maximum les fonctionnalités de Stripe.

Nouveau parcours des clés API

Pour certains utilisateurs, le processus de création de la clé API peut être différent. Si c'est votre cas, suivez ces étapes :

1. Accédez à la section Clés API dans votre Dashboard.
2. Cliquez sur « Créer une clé limitée ».
3. Sélectionnez « Fournir cette clé à un autre site Web », puis cliquez sur « Continuer ».
4. Saisissez le nom et l'URL de l'application ou du module d'extension tiers.
5. Ne cochez pas la case « Personnaliser les autorisations liées à cette clé », sauf indication contraire.
6. Cliquez sur « Créer une clé limitée ».
7. Validez votre action par courriel ou texto, puis saisissez le code reçu pour finaliser le processus.
8. Copiez la valeur de la clé nouvellement affichée.
9. Intégrez la clé en la plaçant dans les champs appropriés de vos paramètres tiers.

Réauthentifiez-vous à l'aide de Stripe Connect Onboarding.

Votre module d'extension peut également vous permettre de vous connecter à votre compte Stripe à l'aide de Stripe Connect Onboarding. Voici la marche à suivre, le cas échéant :

1. Rendez-vous sur le site Web ou sur le tableau de bord du module d'extension que vous souhaitez lier à votre compte Stripe.
2. Recherchez une section sur les paiements ou les intégrations. Vous devez trouver une option qui s'intitule « Connexion avec Stripe ».
3. Cliquez sur le bouton « Connexion avec Stripe ». Vous accédez à une page de connexion sécurisée de Stripe.
4. Connectez-vous à votre compte Stripe avec vos identifiants.
5. Si elles sont disponibles, vérifiez les autorisations que vous êtes sur le point d'accorder au module d'extension. Elles précisent ce que le module d'extension peut faire avec votre compte Stripe.
6. Pour donner accès au module d'extension, cliquez sur « Autoriser l'accès ».
7. Après avoir donné l'autorisation, Stripe vous confirmera que le module d'extension est maintenant connecté à votre compte.
8. Enfin, vous serez redirigé(e) sur le site Web ou le tableau de bord du module d'extension.

Mise à jour de votre module d'extension Stripe WooCommerce

Stripe et WooCommerce collaborent pour s'assurer que nos clients communs utilisent des mesures de sécurité renforcées et ont accès aux dernières fonctionnalités du module d'extension Stripe WooCommerce, telles que le paiement différé.

Tous les marchands qui utilisent le module d'extension Stripe WooCommerce sont tenus d'effectuer les opérations suivantes d'ici le 29 octobre 2024 :

1. Mettre à niveau le module d'extension Stripe WooCommerce avec la dernière version 8.6.1.
2. Authentifier à nouveau la connexion de leur site à la plateforme Stripe.
3. Activer la nouvelle expérience de paiement.

Certains clients du module d'extension Stripe WooCommerce utilisent l'API Sources pour accepter les moyens de paiement. Il s'agit d'une intégration ancienne qui sera supprimée. Afin de continuer à accepter les paiements en toute sécurité et d'éviter les ruptures de service pour la clientèle, ces clients doivent effectuer les étapes ci-dessus avant le 29 octobre 2024.

Veuillez consulter la documentation de WooCommerce pour suivre ce processus. WooCommerce a également apporté des réponses aux questions les plus fréquentes dans les articles épinglés sur le forum public d'assistance concernant le module d'extension Stripe de WooCommerce.