Ces changements concernent les marchands qui se sont authentifiés auprès d'une intégration tierce avec leur clé secrète de l'API Stripe. Ces intégrations sont généralement appelées plugins, mais peuvent aussi porter d'autres noms. Stripe définit un plugin comme toute intégration entre une solution tierce et Stripe exigeant que l'utilisateur s'authentifie avec ses clés secrètes de l'API Stripe. Un plugin communique généralement avec les API de Stripe en effectuant des appels à l'API ou en réagissant à des événements de l’API Stripe au nom de ses utilisateurs. Souvent, les plugins exécutent du code pour que Stripe puisse communiquer avec d'autres logiciels (par ex., accepter des paiements sur Wordpress), mais ils peuvent aussi prendre d'autres formes, comme des bibliothèques open-source.
Stripe renforce ses exigences en matière de sécurité pour les développeurs de plugins et leurs utilisateurs. Les clés secrètes de l'API peuvent être utilisées pour toutes sortes de requêtes API sans restriction, et donner à des tiers un accès illimité au compte Stripe d'un utilisateur. Elles constituent une forme d'identification de compte, comme un nom d'utilisateur avec un mot de passe. Si des personnes mal intentionnées obtiennent une clé secrète, elles peuvent l'utiliser pour nuire à l'activité d'un marchand et à d'autres parties de l'écosystème Stripe. Il incombe aux utilisateurs de Stripe de conserver les clés secrètes de l'API en toute sécurité. Chez Stripe, nous prenons de nombreuses mesures de précaution pour assurer la protection des clés secrètes de l'API.
La plupart des plugins n'ont pas besoin de toutes les autorisations d'accès, mais d'un nombre limité d'entre elles. À l'heure actuelle, il existe un risque lorsque les développeurs demandent aux utilisateurs de copier manuellement les informations d'identification de leur compte sur une plateforme tierce. Afin de réduire le risque de fraude à la fois pour les utilisateurs, les développeurs et Stripe, nous demandons aux développeurs d'utiliser des clés d’API limitées ou OAuth pour l'authentification des plugins.
Le 1er janvier 2024, Stripe a ajouté la prise en charge de l'authentification par clé API limitée et OAuth 2.0 à Stripe Apps, ce qui permet aux plugins de fonctionner de manière plus sécurisée dans l'écosystème. Cette mise à jour de sécurité permet non seulement de se conformer aux dernières normes de sécurité de Stripe, mais elle aide aussi les marchands qui utilisent ces intégrations tierces à mieux contrôler leur activité et leurs données.
Le 30 septembre 2024, Stripe demandera à tous les développeurs de plugins d'adopter de nouvelles méthodes d'authentification sécurisées (clé API limitée, OAuth 2.0 ou Stripe Connect) pour protéger les utilisateurs de la fraude. Tous les développeurs de plugins existants ou nouveaux doivent utiliser l'une de ces nouvelles méthodes d'autorisation sécurisées. Pour les développeurs qui choisissent d'utiliser une clé API limitée ou OAuth 2.0 via une application Stripe, leur application doit être examinée et approuvée par Stripe avant d'être publiée dans Stripe App Marketplace.
Le 1er octobre 2024, Stripe commencera à exiger que tous les marchands utilisant des plugins mettent à niveau la sécurité de leurs connexions en s'authentifiant avec des clés API limitées ou avec OAuth 2.0. Il s'agit d'une mise à niveau planifiée visant à améliorer la sécurité globale des intégrations tierces et à se conformer aux normes les plus récentes de Stripe. À partir de juin 2025, Stripe imposera des frais pour les entreprises qui ne respectent pas cette exigence de sécurité.
Pour une meilleure sécurité et un meilleur contrôle, il est essentiel d'utiliser des clés API limitées ou OAuth 2.0 au lieu de clés secrètes pour l'authentification auprès de services tiers. Les clés API limitées renforcent la sécurité en offrant aux entreprises un contrôle précis des autorisations qu'elles accordent aux tiers, garantissant que les services tiers accèdent uniquement aux données et actions nécessaires. OAuth 2.0 est une autorisation tokenisée en un clic que les entreprises transmettent à des tiers pour l’intégration. Similaire aux clés API limitées, OAuth 2.0 vous offre plus de contrôle et de protection sur les autorisations que vous accordez à des tiers. Ces options permettent non seulement de renforcer la protection contre les accès non autorisés et la fraude, mais aussi de simplifier les opérations en rendant les intégrations plus efficaces et plus fiables.
Le 1er janvier 2024, Stripe a ajouté de nouvelles fonctionnalités pour Stripe Apps visant à faciliter et sécuriser davantage l'autorisation des plugins. Stripe Apps synchronise les données de manière transparente entre les systèmes, simplifie l’authentification et peut afficher une interface utilisateur pertinente dans le Dashboard Stripe. Tous les développeurs de plugins nouveaux ou existants doivent mettre en place l’autorisation OAuth 2.0 ou par clé API limitée via une application Stripe. Les autorisations de toutes les applications Stripe Apps sont vérifiées avant leur publication dans Stripe App Marketplace. Le respect des étapes d’installation et l’installation de l’application créée par le tiers garantissent que seules les parties nécessaires de vos données Stripe sont accessibles.
Authentification avec OAuth
Authentification avec une clé API limitée
Si le développeur de votre plugin n'a pas mis à jour l'application Stripe, vous pouvez vous-même générer une clé API limitée pour votre intégration. Suivez ces étapes pour configurer et intégrer la nouvelle clé :
En suivant ces étapes, vous assurez une intégration sécurisée avec des services tiers, en exploitant au maximum les fonctionnalités de Stripe.
Pour certains utilisateurs, le processus de création de la clé API peut être différent. Si c’est votre cas, suivez ces étapes :
Votre plugin peut également vous permettre de vous connecter à votre compte Stripe à l'aide de Stripe Connect Onboarding. Voici la marche à suivre, le cas échéant :
Stripe et WooCommerce collaborent pour s'assurer que nos clients communs utilisent des mesures de sécurité renforcées et ont accès aux dernières fonctionnalités du plugin Stripe WooCommerce, telles que le paiement différé.
Tous les marchands qui utilisent le plugin Stripe WooCommerce sont tenus d'effectuer les opérations suivantes d'ici le 29 octobre 2024 :
Certains clients du plugin Stripe WooCommerce utilisent l'API Sources pour accepter les moyens de paiement. Il s'agit d'une intégration ancienne qui sera supprimée. Afin de continuer à accepter les paiements en toute sécurité et d'éviter les ruptures de service pour la clientèle, ces clients doivent effectuer les étapes ci-dessus avant le 29 octobre 2024.
Veuillez consulter la documentation de WooCommerce pour suivre ce processus. WooCommerce a également apporté des réponses aux questions les plus fréquentes dans les articles épinglés sur le forum public d'assistance concernant le plugin Stripe de WooCommerce.