Sécurité

Identification

L’identification est une phase qui consiste à établir l’identité de l’utilisateur.
Elle permet répondre à la question : “Qui êtes-vous ?”
Un site Marchand est référencé et identifié auprès des serveurs de Paybox par 3 éléments :

  • Le numéro de site
  • Le numéro de rang
  • Un identifiant

Ces éléments d’identification seront envoyés par mail par Paybox lors de la confirmation de l’inscription du commerçant à l’utilisation de nos services.
Ces informations sont obligatoires dans tous les messages que le site Marchand enverra à nos plateformes de paiement mais il est également nécessaire de les fournir lors de tout contact avec les équipes du support Paybox.
Le chapitre Comptes de tests mutualisés propose plusieurs jeux d’identifiants afin de tester la plateforme et votre intégration sans inscription préalable.

Authentification

L’authentification est une phase qui permet au site Marchand d’apporter la preuve de son identité.
Cette phase ne concerne pas les web services de Paybox Direct et Direct Plus.

Afin de garantir une sécurité maximale aux paiements effectués sur le site Marchand du commerçant, celui-ci est authentifié par une clé secrète qui ne doit être connue que par lui et par Paybox.
Cette clé sera utilisée pour signer tous les échanges entre le site Marchand et les serveurs de Paybox afin de garantir que la demande de paiement provient d’une source authentifiée.
Le commerçant doit générer lui-même sa clé secrète à partir de l’interface du back-office commerçant.

Gestion de la clé d’authentification

Cette clé est indispensable, elle permet d’authentifier tous les messages échangés entre le site Marchand et les serveurs Paybox. Le commerçant doit donc générer sa propre clé unique et confidentielle et l’utiliser pour calculer une empreinte sur ses messages.

Génération
L’interface de génération de la clé secrète d’authentification se trouve dans l’onglet « Informations » du Back Office Commerçant, en bas de la page.
Voici à quoi ressemble cette interface :
Modif-cle-HMAC

Figure 5 : Génération d’une clé secrète

Le champ « Phrase de passe » peut être renseigné avec une phrase, un mot de passe, ou tout autre texte.
L’affichage par défaut du champ « Phrase de passe » est caché, les caractères apparaissent comme un champ « mot de passe ». Il est possible de choisir d’afficher cette phrase de passe en décochant la case « Cacher ».

Les champs « Complexité » et « Force » sont mis à jour automatiquement lorsque la phrase de passe est saisie. Ces champs permettent de définir des règles d’acceptation minimales de la phrase de passe. Les règles fixées actuellement demandent une phrase de passe d’au moins 15 caractères de long et d’une force de 90%. Le bouton « VALIDER » restera grisé tant que ces limitations ne sont pas respectées.

La force de la phrase de passe est calculée selon certains critères spécifiques, à savoir le nombre de majuscules, minuscules, caractères spéciaux, etc. Il conviendra donc de varier les caractères saisis, de les alterner et d’éviter les répétitions qui tendent à diminuer le score final.

Le bouton « Générer une clé » permet de calculer la clé d’authentification à partir de la phrase de passe saisie. Ce calcul est une méthode standard assurant le caractère aléatoire de la clé et renforçant sa robustesse. Cette méthode de calcul étant fixe, il est possible à tout moment de retrouver sa clé en retapant la même phrase de passe et en relançant le calcul.

Attention : il est possible que le calcul de la clé prenne quelques secondes, selon le navigateur Internet utilisé et la puissance de l’ordinateur. Au cours du calcul, il se peut que le navigateur Internet Explorer demande s’il faut « arrêter l’exécution de ce script ». Il faut répondre « Non » à cette alerte, et patienter jusqu’à la fin du calcul.

Une fois le calcul terminé, la clé sera affichée dans le champ « Clé ». Il est alors possible de copier/coller cette clé d’authentification pour l’intégrer dans la base de données du site Marchand, ou autre mode de stockage, de préférence sécurisé.

Il est également possible de saisir dans le champ « Clé » sa propre clé d’authentification (au format hexadécimal) qui aurait été calculée grâce à un autre moyen que cette interface. La taille minimale de la clé à saisir correspond à une génération de clé en SHA-1, soit 40 caractères hexadécimaux. Cependant, si cette méthode de saisie d’une clé d’authentification « externe » est utilisée, une alerte s’affichera pour rappeler que Paybox ne peut pas en garantir la robustesse.

Le bouton « VALIDER » est grisé par défaut. Les 2 actions qui peuvent activer le bouton sont :

  • Saisir une phrase de passe de plus de 15 caractères et dont la force est de plus de 90%
  • Saisir une clé hexadécimale de plus de 40 caractères.

Si après avoir saisi une phrase de passe répondant aux critères minimaux, le bouton « VALIDER » est cliqué sans avoir cliqué sur « Générer une clé », alors le calcul de la clé d’authentification se lancera automatiquement.

Après validation du formulaire, un message récapitulatif sera affiché sur la page, expliquant qu’un email de demande de confirmation a été envoyé à l’adresse mail du commerçant. La clé qui vient d’être générée ne sera pas active tant que les indications de validation décrites dans cet email n’auront pas été appliquées.
La clé est affichée sur ce récapitulatif. Pour des raisons de sécurité, cette clé ne sera plus transmise ni demandée par nos services. Par conséquent, si cette clé est égarée, il sera nécessaire d’en générer une nouvelle. Il est donc important de veiller à copier la clé d’authentification affichée avant de quitter la page.

La clé est dépendante de la plateforme sur laquelle elle est générée. Cela signifie qu’il faut générer une clé pour l’environnement de test et une pour l’environnement de production.

Validation
Une fois l’enregistrement de la nouvelle clé effectué, un email de demande de confirmation sera envoyé au commerçant. Dans cet email se trouvera un lien pointant sur le programme « CBDValid.cgi », par exemple :

Le paramètre « id » n’est pas la clé saisie, il s’agit d’un « token » généré aléatoirement qui correspond à la clé à valider. Comme dit précédemment, la clé ne sera pas transmise dans l’email.

Après avoir cliqué sur ce lien, si un message annonce « Votre clé est activée », alors la clé est immédiatement en fonction. Ce qui signifie que la clé qui vient d’être validée devrait aussi être en fonction sur le site Marchand.

Expiration
Lorsque la clé est validée, celle-ci se voit affectée une date d’expiration, 1 an après la génération.

Quand cette date sera atteinte, la clé ne sera pas directement désactivée, pour permettre au site Marchand de continuer à fonctionner, mais le commerçant sera averti par email et sur la page d’accueil du Back Office Commerçant que cette clé est expirée. Il est fortement recommandé de générer une nouvelle clé d’authentification dans ce cas-là.

Transmission
La clé secrète d’authentification ne doit en aucun cas être transmise par e-mail. Paybox ne la demandera jamais au commerçant. Les commerçants doivent donc être particulièrement vigilants quant aux demandes suspectes de transmission de la clé d’authentification, il s’agit probablement d’une tentative de phishing ou de social engineering.

En cas de perte de la clé secrète, nous ne serons donc pas en mesure de la redonner, il faudra donc en générer une nouvelle via le Back Office Commerçant.