Guide de migration pour les utilisateurs de plugins

Qui est concerné par ces changements ?

Ces changements concernent les marchands qui se sont authentifiés auprès d'une intégration tierce avec leur clé secrète de l'API Stripe. Ces intégrations sont généralement appelées plugins, mais peuvent aussi porter d'autres noms. Stripe définit un plugin comme toute intégration entre une solution tierce et Stripe exigeant que l'utilisateur s'authentifie avec ses clés secrètes de l'API Stripe. Un plugin communique généralement avec les API de Stripe en effectuant des appels à l'API ou en réagissant à des événements de l’API Stripe au nom de ses utilisateurs. Souvent, les plugins exécutent du code pour que Stripe puisse communiquer avec d'autres logiciels (par ex., accepter des paiements sur Wordpress), mais ils peuvent aussi prendre d'autres formes, comme des bibliothèques open-source.

Nature et motifs des changements

Stripe renforce ses exigences en matière de sécurité pour les développeurs de plugins et leurs utilisateurs. Les clés secrètes de l'API peuvent être utilisées pour toutes sortes de requêtes API sans restriction, et donner à des tiers un accès illimité au compte Stripe d'un utilisateur. Elles constituent une forme d'identification de compte, comme un nom d'utilisateur avec un mot de passe. Si des personnes mal intentionnées obtiennent une clé secrète, elles peuvent l'utiliser pour nuire à l'activité d'un marchand et à d'autres parties de l'écosystème Stripe. Il incombe aux utilisateurs de Stripe de conserver les clés secrètes de l'API en toute sécurité. Chez Stripe, nous prenons de nombreuses mesures de précaution pour assurer la protection des clés secrètes de l'API.

La plupart des plugins n'ont pas besoin de toutes les autorisations d'accès, mais d'un nombre limité d'entre elles. À l'heure actuelle, il existe un risque lorsque les développeurs demandent aux utilisateurs de copier manuellement les informations d'identification de leur compte sur une plateforme tierce. Afin de réduire le risque de fraude à la fois pour les utilisateurs, les développeurs et Stripe, nous demandons aux développeurs d'utiliser des clés d’API limitées ou OAuth pour l'authentification des plugins.

Le 1er janvier 2024, Stripe a ajouté la prise en charge de l'authentification par clé API limitée et OAuth 2.0 à Stripe Apps, ce qui permet aux plugins de fonctionner de manière plus sécurisée dans l'écosystème. Cette mise à jour de sécurité permet non seulement de se conformer aux dernières normes de sécurité de Stripe, mais elle aide aussi les marchands qui utilisent ces intégrations tierces à mieux contrôler leur activité et leurs données.

À quelle date les changements sont-ils prévus ?

Le 30 septembre 2024, Stripe demandera à tous les développeurs de plugins d'adopter de nouvelles méthodes d'authentification sécurisées (clé API limitée, OAuth 2.0 ou Stripe Connect) pour protéger les utilisateurs de la fraude. Tous les développeurs de plugins existants ou nouveaux doivent utiliser l'une de ces nouvelles méthodes d'autorisation sécurisées. Pour les développeurs qui choisissent d'utiliser une clé API limitée ou OAuth 2.0 via une application Stripe, leur application doit être examinée et approuvée par Stripe avant d'être publiée dans Stripe App Marketplace.

Le 1er octobre 2024, Stripe commencera à exiger que tous les marchands utilisant des plugins mettent à niveau la sécurité de leurs connexions en s'authentifiant avec des clés API limitées ou avec OAuth 2.0. Il s'agit d'une mise à niveau planifiée visant à améliorer la sécurité globale des intégrations tierces et à se conformer aux normes les plus récentes de Stripe. À partir de juin 2025, Stripe imposera des frais pour les entreprises qui ne respectent pas cette exigence de sécurité.

Pourquoi utiliser des clés API limitées ou OAuth ?

Pour une meilleure sécurité et un meilleur contrôle, il est essentiel d'utiliser des clés API limitées ou OAuth 2.0 au lieu de clés secrètes pour l'authentification auprès de services tiers. Les clés API limitées renforcent la sécurité en offrant aux entreprises un contrôle précis des autorisations qu'elles accordent aux tiers, garantissant que les services tiers accèdent uniquement aux données et actions nécessaires. OAuth 2.0 est une autorisation tokenisée en un clic que les entreprises transmettent à des tiers pour l’intégration. Similaire aux clés API limitées, OAuth 2.0 vous offre plus de contrôle et de protection sur les autorisations que vous accordez à des tiers. Ces options permettent non seulement de renforcer la protection contre les accès non autorisés et la fraude, mais aussi de simplifier les opérations en rendant les intégrations plus efficaces et plus fiables.

Stripe Apps et l'autorisation sécurisée

Le 1er janvier 2024, Stripe a ajouté de nouvelles fonctionnalités pour Stripe Apps visant à faciliter et sécuriser davantage l'autorisation des plugins. Stripe Apps synchronise les données de manière transparente entre les systèmes, simplifie l’authentification et peut afficher une interface utilisateur pertinente dans le Dashboard Stripe. Tous les développeurs de plugins nouveaux ou existants doivent mettre en place l’autorisation OAuth 2.0 ou par clé API limitée via une application Stripe. Les autorisations de toutes les applications Stripe Apps sont vérifiées avant leur publication dans Stripe App Marketplace. Le respect des étapes d’installation et l’installation de l’application créée par le tiers garantissent que seules les parties nécessaires de vos données Stripe sont accessibles.

Authentification avec OAuth

Authentification avec OAuth

Authentification avec une clé API limitée

Authentification avec une clé API limitée

Comment les marchands peuvent eux-mêmes mettre à niveau leur sécurité

Si le développeur de votre plugin n'a pas mis à jour l'application Stripe, vous pouvez vous-même générer une clé API limitée pour votre intégration. Suivez ces étapes pour configurer et intégrer la nouvelle clé :

  1. Dans votre Dashboard Stripe, accédez la section Clés API.
  2. Créez une nouvelle clé limitée ou clonez une clé existante.
    1. Cliquez sur « Créer une clé limitée » pour commencer de zéro. Par défaut, toutes les autorisations sont définies sur « Aucune ».
    2. Sélectionnez « Dupliquer la clé » dans les options de la clé que vous souhaitez cloner. Les autorisations de la clé clonée sont prédéfinies par défaut pour la nouvelle clé.
  3. Donnez à votre clé un nom qui identifie clairement le plugin que vous utilisez. Par exemple, si vous êtes sur rocketrides.com, vous pourriez nommer votre clé « clé limitée RocketRides ».
  4. Ajustez les autorisations pour chaque ressource, en choisissant entre « Aucune », « Lecture » et « Écriture ». Si vous utilisez Stripe Connect, précisez les autorisations pour les comptes connectés.
  5. Cliquez sur « Créer la clé » pour générer la nouvelle clé API limitée.
  6. Validez votre action par e-mail ou SMS, puis saisissez le code reçu pour finaliser le processus.
  7. Copiez la valeur de la clé nouvellement affichée. N'oubliez pas que c'est votre seule chance de la copier.
  8. Notez l'endroit où vous avez enregistré cette clé, puis cliquez sur « Terminé ».

En suivant ces étapes, vous assurez une intégration sécurisée avec des services tiers, en exploitant au maximum les fonctionnalités de Stripe.

Nouveau parcours des clés API

Pour certains utilisateurs, le processus de création de la clé API peut être différent. Si c’est votre cas, suivez ces étapes :

  1. Dans votre Dashboard, accédez à la section Clés API.
  2. Cliquez sur « Créer une clé limitée ».
  3. Sélectionnez « Fournir cette clé à un autre site Web », puis cliquez sur « Continuer ».
  4. Saisissez le nom et l'URL de l'application ou du plugin tiers.
  5. Ne cochez pas la case « Personnaliser les autorisations liées à cette clé », sauf cas particulier.
  6. Cliquez sur « Créer une clé limitée ».
  7. Validez votre action par e-mail ou SMS, puis saisissez le code reçu pour finaliser le processus.
  8. Copiez la valeur de la clé nouvellement affichée.
  9. Intégrez la clé en la plaçant dans les champs appropriés de vos paramètres de tiers.

Réauthentifiez-vous à l’aide de Stripe Connect Onboarding

Votre plugin peut également vous permettre de vous connecter à votre compte Stripe à l'aide de Stripe Connect Onboarding. Voici la marche à suivre, le cas échéant :

  1. Rendez-vous sur le site Web ou sur le tableau de bord du plugin que vous souhaitez lier à votre compte Stripe.
  2. Recherchez une section consacrée aux paiements ou aux intégrations. Vous devez trouver une option qui s’intitule « Connexion avec Stripe ».
  3. Cliquez sur le bouton « Connexion avec Stripe ». Vous accédez à une page de connexion sécurisée de Stripe.
  4. Connectez-vous à votre compte Stripe avec vos identifiants.
  5. Si elles sont disponibles, vérifiez les autorisations que vous êtes sur le point d'accorder au plugin. Elles précisent ce que le plugin peut faire avec votre compte Stripe.
  6. Pour donner accès au plugin, cliquez sur « Autoriser l'accès ».
  7. Après avoir donné l'autorisation, Stripe vous confirmera que le plugin est maintenant connecté à votre compte.
  8. Enfin, vous serez redirigé sur le site Web ou le tableau de bord du plugin.

Actualisation de votre plugin Stripe WooCommerce

Stripe et WooCommerce collaborent pour s'assurer que nos clients communs utilisent des mesures de sécurité renforcées et ont accès aux dernières fonctionnalités du plugin Stripe WooCommerce, telles que le paiement différé.

Tous les marchands qui utilisent le plugin Stripe WooCommerce sont tenus d'effectuer les opérations suivantes d'ici le 29 octobre 2024 :

  1. Mettre à niveau le plugin Stripe WooCommerce avec la dernière version 8.6.1.
  2. Authentifier à nouveau la connexion de leur site à la plateforme Stripe.
  3. Activer la nouvelle expérience de paiement.

Certains clients du plugin Stripe WooCommerce utilisent l'API Sources pour accepter les moyens de paiement. Il s'agit d'une intégration ancienne qui sera supprimée. Afin de continuer à accepter les paiements en toute sécurité et d'éviter les ruptures de service pour la clientèle, ces clients doivent effectuer les étapes ci-dessus avant le 29 octobre 2024.

Veuillez consulter la documentation de WooCommerce pour suivre ce processus. WooCommerce a également apporté des réponses aux questions les plus fréquentes dans les articles épinglés sur le forum public d'assistance concernant le plugin Stripe de WooCommerce.