Comment assurer une authentification forte SCA sur son site WooCommerce ?

Vous gérez une boutique WooCommerce ou avez pour ambition d’en lancer une prochainement ?

Alors vous ne pouvez pas passer à côté de ça. Ça, c’est l’authentification forte SCA de votre (futur) site WooCommerce. 

Cet acronyme ne vous dit rien ? Pourtant, il est essentiel pour réduire la fraude et sécuriser les achats en ligne. 

Et surtout, il est vital de vous y conformer, sous peine de voir de nombreux paiements refusés et vos ventes s’étioler.

À la fin de cet article, vous disposerez d’un panorama complet du dispositif SCA, avec tous nos conseils pour vous assurer que votre boutique WooCommerce soit en accord avec cette mesure réglementaire.  

Qu’est-ce que la SCA ?

Une mesure réglementaire pour réduire la fraude

SCA signifie « Strong Customer Authentication ». En français, on parle d’authentification forte du client. Il s’agit d’un dispositif réglementaire européen qui permet de vérifier l’identité de toute personne effectuant un achat en ligne, grâce à deux facteurs d’identification.

Ce dispositif vise à réduire la fraude lors d’achats sur internet, tout en renforçant le niveau de sécurité des opérations de paiement en ligne. En France, elle est obligatoire depuis le 15 mai 2021 pour un achat en ligne d’au moins 30 euros.

De façon globale, la SCA est une mesure prévue dans la directive européenne (UE) 2015/2366 sur les services de paiement (DSP2).

Ce règlement européen, voté par le Parlement européen en 2015 et entré en vigueur en septembre 2019, abroge la directive 2007/64 du 13 novembre 2007 concernant les services de paiement électronique dans le marché intérieur (DSP1).

Renforcer la sécurité et protéger les consommateurs

La DSP2 poursuit plusieurs objectifs :

1. « harmoniser la réglementation sur les paiements au sein de l’Union Européenne », indique le site France Num ;
2. moderniser les services de paiement européens dans l’intérêt des consommateurs et des entreprises, en favorisant « l’innovation, la concurrence et l’efficience » . Cela concerne par exemple l’ouverture du marché à de nouveaux acteurs, appelés PSP (Prestataires de Services de Paiement), comme Stripe ou PayPal.
3. renforcer le niveau de sécurité des paiements et promouvoir une meilleure protection des consommateurs.

Pour cela, la DSP2 prévoit plusieurs volets : 

• l’obligation de l’authentification forte, donc ;
• l’interdiction de la surfacturation : il est impossible d’appliquer des frais de paiement supplémentaires en cas de règlement par carte de crédit ou de débit ; 
• le renforcement des droits de consommateurs et de leurs données, avec par exemple l’abaissement de la franchise restant à la charge du client en cas de paiement frauduleux par carte avant opposition de 150 à 50 €.

Comment fonctionne l’authentification forte SCA ?

Un dispositif, trois éléments

Avant l’entrée en vigueur de l’authentification forte, les exigences de sécurité étaient moins strictes lorsqu’un client souhaitait initier un paiement électronique.

La plupart du temps, pour finaliser une commande, il suffisait à l’internaute de renseigner au site marchand un code envoyé par sa banque par SMS. La vérification prenait en compte un seul élément.

La SCA utilise ce que l’on appelle l’authentification à deux facteurs (two-factor authentication, en anglais). 

Désormais, lorsqu’un client souhaite effectuer un paiement en ligne, il doit fournir deux des trois éléments suivants pour valider l’opération : 

1. Un élément de connaissance. Il s’agit d’un élément que seul l’utilisateur connaît, par exemple un mot de passe ou un code numérique. Cela ne peut en aucun cas concerner son numéro de carte bancaire ou sa date d’expiration.
2. Un élément de possession. Ici, la vérification d’identité repose sur un élément que seul l’utilisateur possède, à l’image de son téléphone portable ou d’une clé Token.
3. Un élément d’inhérence, c’est-à-dire qui est propre à la personne et la définit. Cela concerne par exemple sa voix, son empreinte digitale ou faciale.

L’authentification forte est directement mise en place par les banques et autres prestataires de services de paiement électronique. Ce sont eux qui sont directement responsables en cas de problème.

Par contre, en tant qu’ecommerçant, vous devez vous assurer que la Strong Customer Authentication est bien prise en charge sur votre boutique WordPress ecommerce (nous allons y revenir en détails), afin de respecter la réglementation en vigueur. 

Fonctionnement d’un tunnel de paiement avec l’authentification forte du client

Avec un dispositif d’authentification forte sur WooCommerce, le consommateur passe par 4 étapes lors du tunnel de paiement : 

1. Il renseigne ses informations de paiement : nom du titulaire de la carte bancaire, numéro de la carte de crédit, date de validité et code de sécurité (Card Validation Code).
2. L’organisme de paiement (ex : la banque de l’internaute) lui envoie une notification sur l’application de la dite banque sur smartphone.
3. Le consommateur entre un mot de passe ou une empreinte biométrique pour valider le paiement lors de la phase de checkout.
4. Si l’identification est confirmée, l’expérience est validée et le paiement accepté.

Qui est concerné par la SCA sur WooCommerce ?

Un champ d’application large

L’authentification forte doit être mise en place pour toute opération de paiement électronique, qu’elle soit réalisée dans un environnement en ligne ou hors ligne.

La DSP2 étant une directive européenne, son champ d’application s’applique aux services de paiement fournis au sein de l’Union européenne (et pas dans le monde entier).

Comme le précise le prestataire Stripe, cela concerne des « transactions par carte pour lesquelles l’entreprise et la banque du titulaire de la carte sont toutes deux implantées dans l’Espace économique européen (EEE) ».

Cette mesure d’authentification forte concerne l’ensemble de l’écosystème des paiements :

• les banques ;
• les prestataires de paiement (type Worldline, Paybox, Ogone, Monext, Stripe, Paypal etc.)  ;
• les réseaux de carte (Visa, Mastercard) ;
• les e-commerçants.

Quelles sont les exemptions possibles ?

Le législateur a prévu plusieurs cas de dérogation à l’obligation d’authentification forte du client. 

Ces demandes d’exemption sont effectuées lors du traitement du paiement. C’est la banque du titulaire de la carte qui décide ou non de maintenir l’authentification forte en se basant notamment sur le niveau de risque de la transaction.

Concrètement, ces exemptions concernent par exemple les cas de figure suivants : 

• les opérations de faible valeur, dont le montant de vente ne dépasse pas 30 € ; 
• les opérations récurrentes ayant le même montant et le même bénéficiaire ; 
• les transactions à faible risque, c’est-à-dire les règlements effectués chez un e-commerçant affichant un faible taux de fraude ; 
• les ventes par téléphone ; 
• les règlements par carte d’entreprise ;
• les virements entre comptes détenus par la même personne physique ou morale. 

Quel est l’impact de la DSP2 ?

L’authentification forte du client, et plus largement la directive DSP2, introduisent de multiples avantages à la fois pour les consommateurs et les propriétaires de sites web marchands. 

Détaillons-les tour à tour.

Avantages pour les consommateurs

Pour les consommateurs, la DSP2 implique essentiellement un renforcement de leur protection. Cela concerne plusieurs aspects : 

• la sécurité de leurs achats en ligne s’améliore, grâce à des normes plus strictes. Cela réduit les risques de fraude et de piratage ; 
• leurs droits sont plus étendus. Les consommateurs ont par exemple le droit à un remboursement sans aucune question pour les prélèvements en euros ;
• la confidentialité de leurs données financières personnelles est mieux protégée à la source. Par exemple, aucun traitement de données ne peut avoir lieu sans le consentement du consommateur, conformément à ce qui est édicté dans le Règlement Général sur la Protection des Données (RGPD).

Par ailleurs, les consommateurs bénéficient d’une nouvelle expérience de paiement plus fluide et pratique.

Avantages pour les sites marchands 

Pour les propriétaires de boutiques en ligne, la SCA sur WooCommerce offre des atouts certains à différents niveaux : 

• les risques de fraude sont moins importants, puisque l’identification du payeur est renforcée. Par conséquent, les pertes financières sont plus limitées et la gestion plus aisée, car les litiges potentiels se réduisent ;
• la confiance des consommateurs augmente car la procédure de vérification d’un paiement est plus sécurisée. Un client potentiel peut alors se montrer plus enclin à l’achat, favorisant l’augmentation de vos conversions ;
• l’ouverture du marché à la concurrence permet de tester de nouveaux prestataires de service plus enclins à répondre à vos besoins et à ceux de vos clients ; 

Le saviez-vous ? L’authentification à deux facteurs ne concerne pas seulement les transactions en ligne. Il est possible de vous servir de ce dispositif pour renforcer la sécurité de votre page de connexion à l’administration de WordPress. Plusieurs plugins de sécurité WordPress (iThemes Security, SecuPress, Wordfence etc.) permettent en quelques clics d’activer la double authentification. 

Comment s’assurer de sa conformité à l’authentification forte sur WooCommerce ?

Maintenant que vous connaissez le mode de fonctionnement de l’authentification forte et son impact global, il est temps de savoir si votre boutique ecommerce est conforme au dispositif de la SCA avec WooCommerce. 

Si ce n’est pas le cas, de nombreux achats seront refusés sur votre site internet WordPress, et vos revenus seront impactés négativement. Alors autant éviter cela !

Techniquement, vous devez vous assurer que votre passerelle de paiement (payment gateway, en anglais) permette d’authentifier les paiements en ligne.

Cela se fait la plupart du temps via le protocole 3D Secure 2, qui garantit la conformité aux exigences de l’authentification forte du client en Europe.

Bonne nouvelle : la grande majorité des prestataires de paiement utilisent la fonction 3D Secure 2. 

Pour savoir si celui que vous convoitez ou celui que vous utilisez actuellement sur votre site web WordPress est dans les clous, rapprochez-vous de votre prestataire de paiement (ou de votre établissement bancaire) en posant par exemple la question à son service client ou gestion.

Pour vous aider, WooCommerce a publié une liste non exhaustive de plusieurs passerelles de paiement célèbres et compatibles Strong Customer Authentication pour WooCommerce. Les exemples ci-dessous proposent une intégration : 

• Stripe ; 
• Amazon Pay ;
• Global Payments Gateway (formerly Realex) ;
• PayPal ;
• PayPal powered by Braintree ;
• Sage Pay ;
• Sofort ;
• Klarna Payments ;
• Klarna Checkout etc.

Autre méthode à votre disposition ? Le répertoire officiel d’extensions WooCommerce. Dans la catégorie « Paiements », cliquez sur « Processors & gateways » pour disposer d’une liste de plugins officiels (sélectionnez « France » dans la liste des pays) :

Il ne vous reste plus, ensuite, qu’à cliquer sur celui qui vous intéresse pour vous assurer qu’il prenne en charge et propose une intégration à la Strong Customer Authentication sur WooCommerce (fouillez dans sa description pour trouver trace du terme, par exemple).

Si jamais vous partez de zéro, nous allons, pour finir, vous montrer comment bénéficier de la SCA sur WooCommerce à l’aide de Stripe. 

Comment mettre en place la SCA sur WooCommerce avec Stripe ?

Pourquoi utiliser cette plateforme ?

Stripe est une plateforme de traitement des paiements en ligne qui permet de les accepter sous différentes formes, et donc évidemment par carte bancaire. 

Elle cumule de nombreux avantages et fonctionnalités qui en font une solution de choix pour votre site WooCommerce : 

• elle utilise l’authentification forte, ce qui fait que vous n’avez rien à faire de votre côté ; 
• elle est très simple d’utilisation, à la fois pour le webmaster et le consommateur (ce dernier peut payer des articles en un clic avec l’option Stripe Checkout) ; 
• elle propose un plugin WordPress gratuit qui fait le lien avec votre boutique WooCommerce. Ce plugin peut même s’intégrer avec des plugins de formulaire de contact comme Gravity Forms (via un add-on). De plus, Stripe fonctionne avec n’importe quel thème WordPress et n’importe quel hébergement ; 
• elle accepte à la fois les paiements uniques et récurrents de vos clients (des frais de transaction sont quand même prélevés sur chaque paiement reçu) ; 
• le processus de paiement a lieu directement sur le site marchand. L’acheteur ne quitte jamais votre site, ce qui limite le risque d’abandon de panier ; 
• la plateforme accepte aussi le prélèvement SEPA, le paiement par virement, mais aussi Apple Pay ou Google Pay ;
• l’outil utilise le protocole 3D Secure 2 ;
• un tableau de bord vous donne accès à des statistiques sur les paiements, commandes et transactions de votre boutique ;
• les achats de produits/services dans plus de 135 devises différentes sont possibles ;
• votre client n’a pas besoin de posséder un compte Stripe pour régler un achat (contrairement à PayPal).

À présent, nous allons vous montrer comment lier ce service à votre boutique WordPress conçue avec WooCommerce, grâce à un petit tutoriel pratique en 4 étapes. Vous allez le voir, nous allons aborder différents thèmes de façon pratique. 

Étape 1 : Créer un compte Stripe

Dans un premier temps, vous devez créer un compte pour accepter les paiements sur votre site/blog. 

Pour cela, allez sur le site officiel de Stripe, puis cliquez sur le bouton « Connexion », en haut à droite : 

Sur la page suivante, cliquez sur le lien appelé « S’inscrire », situé sous le formulaire de connexion :

Renseignez les éléments suivants : 

• votre email ; 
• votre nom ;
• un mot de passe.

Et cliquez sur le bouton « Créer un compte » :

On vous invitera alors à confirmer votre adresse email en vous envoyant un courriel sur votre boîte de réception.

Vous débarquerez alors sur votre tableau de bord. Pour le moment, votre compte se trouve en mode Test. 

Activez votre compte pour passer en mode production :

Pour cela, il vous suffit notamment d’ajouter des informations sur votre entreprise et d’ajouter votre compte bancaire pour pouvoir recevoir des paiements.

Étape 2 : Mettre à jour WooCommerce

Lorsque tout est bon sur votre tableau de bord, connectez-vous à votre interface d’administration du CMS WordPress. 

Pour les besoins de ce test, nous supposons que vous avez déjà un espace d’hébergement, une boutique WooCommerce paramétrée, et un thème dédié au commerce d’actif.

Si ce n’est pas le cas, activez le plugin ecommerce et paramétrez-le grâce à son assistant de configuration.

Avant de passer à la suite, vérifiez que vous utilisez la dernière version à jour du plugin. C’est important pour bénéficier des dernières évolutions et fonctionnalités, et cela permet de renforcer la sécurité de votre site. 

Pour le savoir, allez dans le menu Tableau de bord > Mises à jour. Si vous ne voyez pas apparaître le plugin WooCommerce dans la partie liée aux extensions du menu des mises à jour de WordPress, c’est tout bon. 

Dans le cas contraire, mettez à jour l’extension ecommerce.

Bon à savoir : Au préalable, avant une mise à jour importante comme celle de WooCommerce, pensez à sauvegarder votre site web WordPress. Pour cela, vous pouvez utiliser l’un des nombreux plugins de backup comme UpdraftPlus, ou un outil dédié à la maintenance comme WP Umbrella, qui propose une fonction de sauvegarde.

Étape 3 : Activer l’extension WooCommerce Stripe Payment Gateway

Une fois WooCommerce à jour vers sa dernière version, dirigez-vous dans le menu Extensions > Ajouter.

Dans la barre de recherche, tapez « WooCommerce Stripe Payment Gateway ». Il s’agit de l’extension officielle créée par WooCommerce :

Installez puis activez cette extension. 

Si votre site ou blog WordPress n’est pas en HTTPS, le plugin vous demandera d’activer ce protocole qui permet de sécuriser la connexion à votre site WordPress conçu avec WooCommerce.

Pour une boutique en ligne, il s’agit d’un prérequis indispensable pour protéger et sécuriser les données de paiement (et personnelles) de vos clients.

Pour passer votre site en HTTPS, vous avez besoin  d’un certificat SSL. La plupart des hébergeurs (Kinsta, o2switch, OVH etc.) vous proposent d’en activer un gratuitement. 

Rapprochez-vous de votre société d’hébergement pour en savoir plus, le cas échéant.

Étape 4 : Vérifier les options de configuration de la SCA sur WooCommerce

Dans la foulée, connectez votre compte Stripe à WooCommerce en renseignant vos clés clés API LIVE et les « Webhooks » (un terme familier des développeurs).

Vous trouverez ces informations dans la section « Developers » (« Développeurs ») de votre compte :

Le saviez-vous ? Un webhook informe votre application lorsqu’un événement a lieu dans votre compte. Stripe précise que « les webhooks sont particulièrement utiles pour les événements asynchrones tels que la confirmation d’un paiement par la banque du client, la contestation d’un paiement par le client, l’aboutissement d’un paiement récurrent ou l’encaissement des paiements d’abonnement. »

Puis, dans l’onglet « Paiements » des Réglages de WooCommerce, assurez-vous juste que votre compte Stripe soit activé. Et puis c’est tout : l’authentification forte du client sur WooCommerce est en ordre de marche.

Si vous le souhaitez, vous pouvez aussi procéder à des tests pour simuler diverses transactions. Pour cela, cochez la case « Activer le mode TEST » et vérifiez le fonctionnement sur votre thème, par la suite :

Récapitulatif

L’authentification forte SCA sur WooCommerce est une mesure incontournable pour sécuriser les transactions en ligne sur le CMS WordPress, tout en réduisant les risques de fraude. 

Tout au long de ces lignes, nous avons développé plusieurs thèmes. Vous avez notamment découvert les éléments suivants : 

• le mode de fonctionnement de la Strong Customer Authentication ;
• son champ d’application ;
• son impact sur les propriétaires et gestionnaires de sites ecommerce et sur les consommateurs ; 
• les moyens à votre disposition pour vérifier la conformité de votre site WooCommerce à la Strong Customer Authentication ; 
• comment intégrer Stripe à votre eshop pour bénéficier de l’authentification forte.

Si vous disposez d’un site WooCommerce, il est crucial de vous assurer de sa conformité à cette exigence réglementaire. Vous désirez être accompagné dans le déploiement de l’authentification forte sur votre boutique en ligne ?

Contactez l’équipe de Maintenance WP. Disponible 7j/7, notre service de support WordPress vous proposera une solution sur-mesure qui répondra à vos besoins avec rapidité, professionnalisme et efficacité.