W3C fait progresser la technologie pour faciliter l'authentification des paiements

Confirmation de paiement sécurisé (SPC) publiée en tant que recommandation candidate

Lisez les témoignagnes de membres W3C

https://www.w3.org/ — 15 juin 2023 — Le World Wide Web Consortium a annoncé aujourd'hui une étape importante dans la normalisation d'une nouvelle fonctionnalité du navigateur qui contribue à simplifier l'authentification de l'utilisateur et à renforcer la sécurité des paiements lors des transactions sur le web. La confirmation de paiement sécurisé (Secure Payment Confirmation (SPC)) permet aux commerçants, aux banques, aux prestataires de services de paiement, aux réseaux de cartes et à d'autres de réduire les frictions liées à l'authentification forte du client (strong customer authentication (SCA)) et de produire une preuve cryptographique du consentement de l'utilisateur, deux aspects importants des exigences réglementaires telles que la directive sur les services de paiement (Payment Services Directive (PSD2)) en Europe.

Screenshot of SPC transaction dialog in Chrome

La publication de la confirmation de paiement sécurisé en tant que recommandation candidate indique que l'ensemble des fonctionnalités est stable et a fait l'objet d'un examen approfondi. W3C cherchera à obtenir une expérience de mise en œuvre supplémentaire avant de faire passer cette version au stade de recommandation.

Conçu pour répondre à la demande croissante d'authentification forte des consommateurs

Au cours des 15 dernières années, le commerce électronique a augmenté en proportion de l'ensemble des ventes au détail. La pandémie de COVID semble avoir légèrement accéléré cette tendance. Cependant, l'amélioration de la sécurité des paiements en personne et d'autres facteurs ont entraîné une augmentation continue de la fraude sur les paiements en ligne.

Pour lutter contre la hausse de la fraude aux paiements en ligne, l'Europe et d'autres juridictions ont commencé à rendre obligatoire l'authentification multifactorielle pour certains types de paiements. Bien que l'authentification multifactorielle réduise la fraude, elle tend également à augmenter les obstacles au paiement, ce qui peut conduire à l'abandon du panier (voir, par exemple, les expériences des détaillants Microsoft avec le système d'authentification multifactorielle dans le cadre de PSD2).

En 2019, le groupe de travail sur les paiements Web a commencé à travailler sur la confirmation de paiement sécurisé pour aider à répondre aux exigences d'authentification forte des consommateurs tout en réduisant les frictions lors du paiement. Stripe a mené un essai avec une première mise en œuvre de SPC et, en mars 2020, a rapporté que, comparé aux mots de passe à usage unique (one-time passcodes (OTP)), l'authentification SPC a permis une augmentation de 8 % des ventes parallèlement à un paiement 3 fois plus rapide.

W3C continue de recevoir des commentaires sur la confirmation de paiement sécurisé par le biais de programmes pilotes, y compris une deuxième expérience menée par Stripe. Le groupe de travail sur les paiements Web prévoit que d'autres données expérimentales seront disponibles d'ici septembre 2023.

SPC bénéficie de la collaboration de l'industrie

Au sein du groupe d'intérêt sur la sécurité des paiements en ligne, W3C, Alliance FIDO et EMVCo s'efforcent d'améliorer la sécurité des paiements en ligne en élaborant des spécifications techniques interopérables. La confirmation de paiement sécurisé reflète cette collaboration : elle repose sur l'authentification Web et est prise en charge à la fois dans EMV® 3-D Secure (version 2.3) et EMV® Secure Remote Commerce (version 1.3) ; pour plus de détails, voir la publication du groupe d'intérêt sur la sécurité des paiements Web intitulée How EMVCo, FIDO, and W3C Technologies Relate.

La confirmation de paiement sécurisé n'est pas réservée aux paiements par carte. Le groupe de travail sur les paiements Web discute régulièrement de la manière d'intégrer SPC dans d'autres écosystèmes de paiement tels que Open Banking, PIX (au Brésil), ainsi que dans les circuits de paiement privés.

« Faciliter le paiement en ligne tout en améliorant la sécurité, telle est la vision de notre groupe de travail depuis ses débuts en 2015 », a déclaré Nick Telford-Reed, coprésident du groupe de travail. « La confirmation de paiement sécurisé signifie que pour la première fois, il y aura un moyen commun d'authentifier les acheteurs indépendamment des méthodes de paiement, des plateformes, des appareils et des navigateurs, et s'appuie sur le succès de "Payment Request" du W3C et sur le travail à la fois de l'Alliance FIDO et d'EMVCo. »

Confirmation de paiement sécurisé : lancement immédiat

La confirmation de paiement sécurisé ajoute une "couche de consentement par l'utilisateur" à l'authentification Web. Au moment de la transaction, la confirmation de paiement sécurisé invite l'acheteur à accepter les conditions du paiement par le biais d'une "boîte de dialogue de transaction" gérée par le navigateur ; l'implémentation Chrome de la boîte de dialogue de transaction est illustrée ci-dessus. Les détails de la transaction sont signés par l'authentificateur FIDO, et la banque ou une tierce partie peut valider de manière cryptographique les éléments d'authentification, et donc que l'acheteur a consenti aux conditions du paiement (une exigence de la directive PSD2 appelée "lien dynamique"). EMV® 3-D Secure et d'autres protocoles peuvent être utilisés pour communiquer les résultats de l'authentification aux banques ou à des tiers pour cette validation.

SPC est actuellement disponible dans Chrome et Edge sur MacOS, Windows et Android. Durant la phase de Recommandation Candidate, le groupe de travail sur les paiements Web cherchera à obtenir la mise en œuvre dans d'autres navigateurs et d'autres environnements.

À propos du World Wide Web Consortium

La mission du World Wide Web Consortium (W3C) est de mener le Web à son plein potentiel en créant des standards techniques et des directives pour s’assurer que le Web reste ouvert, interopérable et accessible pour tous, dans le monde entier. Les standards Web notoires HTML et CSS du W3C sont les technologies fondamentales sur lesquelles reposent tous les sites web. W3C œuvre pour que toutes les technologies Web fondamentales respectent les besoins de la société en matière d'accessibilité Web, d'internationalisation, de sécurité et de respect de la vie privée. W3C fournit également les standards qui consolident l'infrastructure des entreprises modernes exploitant le Web, dans des domaines tels que le divertissement, les communications, la publication numérique et les services financiers. Ce travail est mené de manière ouverte, fourni gratuitement et selon la politique pionnière de brevets libres de droits en vigueur à W3C.

La vision W3C pour « Un seul Web»  rassemble des milliers d'experts techniques représentant plus de 400 organisations membres et des dizaines de secteurs industriels. W3C est une organisation à but non lucratif d'intérêt public constituée aux États-Unis d'Amérique, dirigée par un conseil d'administration et employant du personnel à travers le monde. Pour de plus amples informations, consultez https://www.w3.org/.

Fin du communiqué de presse

Contact presse

Amy van der Hiel, coordinatrice des relations presse W3C <w3t-pr@w3.org>  
+1.617.253.5628 (US, Eastern Time)