Attention à la passerelle de paiement E-Transactions du crédit Agricole

[N°6]

Bonjour,

Je tenais juste à vous signaler à titre d'information le message que j'ai reçu ce jour concernant les futurs problèmes que pourraient rencontrer de nombreux clients de la solution E-transactions du Crédit Agricole.

Voici le message reçu ce jour :

 

 

Chère cliente, cher client,


Vous utilisez la solution de paiement sécurisée sur internet E-transactions du Crédit Agricole et nous vous en remercions.


Soucieux de répondre en permanence aux meilleurs standards de sécurité et de protéger les données cartes bancaires de vos acheteurs, nous vous informons que des évolutions techniques vont intervenir au niveau de notre solution de paiements (utilisation du protocole TLS 1.2 en lieu et place du protocole TLS 1.0) et ce, à compter du 1er juillet 2016.


Si vous utilisez la gestion automatisée des encaissements dans E-transactions / E-transactions Premium, nous vous demandons de vous rapprocher de votre intégrateur afin de vérifier si votre boutique a été développée en JAVA. Si oui, la version de JAVA à utiliser doit être à minima JAVA 8. Le cas échéant, demandez-lui une mise à jour de la version utilisée pour votre site à effectuer avant le 1er juillet.  


Si votre site n'a pas été développé en JAVA, vous n'avez rien à faire.

Si vous n'utilisez pas la Gestion automatisée des encaissements, vous n'êtes pas concerné par cette mise à jour.

Quant à vos acheteurs, quelle que soit la solution E-transactions implémentée, ils pourraient rencontrer des difficultés au moment du paiement si la version de leur navigateur internet est trop obsolète.

Si le cas se présente, c'est qu'ils doivent réaliser une mise à jour de leur navigateur internet, suite au renforcement de la sécurité mis en place sur E-transactions.

Les versions minimum requises pour les principaux navigateurs sont :

       · Chrome version 51 avec Windows 7 R

       · Firefox version 31.3.0 avec Windows 7

       · IE version 11 avec Windows 7 R

       · Safari version 6 avec iOS 6.0.1  R

Vous ou votre intégrateur souhaite en savoir plus sur les aspects techniques, voici des éléments complémentaires :

Certains protocoles de chiffrement ne vont plus être autorisés vers nos infrastructures E-transactions, afin de suivre les directives mondiales au sujet de vulnérabilités découvertes par des chercheurs (CVE-2014-3566) sur le SSL v3.0 (Secure Socket Layer).
             

Ces changements peuvent potentiellement avoir un impact sur les connexions entrantes via des navigateurs Internet ou via des applications propriétaires s'appuyant sur la couche SSL.

Pour que les accès restent transparents pour vos applications ou services, il est important que vos clients/internautes s'assurent que leurs navigateurs utilisent bien le protocole de chiffrement Transport Layer Security (TLS) en version 1.1 et supérieure. Il est à noter, que vos clients/internautes sont naturellement incités à mettre à jour leurs navigateurs suivant les dernières versions utilisant les protocoles TLS 1.1 et 1.2.
                     

Ceci en va de même pour vos éventuelles applications propriétaires que vous auriez développés en vous appuyant sur le protocole SSL. Pour de plus amples informations sur cette vulnérabilité dans SSL v3.0 et TLS 1.0 vous pouvez vous reporter aux liens ci-après:                                                                   

Microsoft Internet Explorer : https://technet.microsoft.com/library/security/3009008

Mozilla Firefox : https://blog.mozilla.org/security/2014/10/14/the-poodle-attack-and-the-end-of-ssl-3-0/

Google Chrome : http://googleonlinesecurity.blogspot.com/2014/10/this-poodle-bites-exploiting-ssl-30.html


Safari : https://discussions.apple.com/thread/6597955?tstart=0


Si votre intégration s'appuie sur un environnement Java pour s'interfacer avec nos services, il vous sera nécessaire de réaliser un upgrade vers une version 8 de Java. En effet, seule cette version supporte des protocoles au-dessus de TLS 1.0 à ce jour.

Les clients/internautes ou vos applications qui tenteront de se connecter après le 30 juin 2016 en ne prenant pas en charge le protocole TLS, ne seront plus en mesure d'accéder aux services proposées sur les infrastructures d'E-transactions.

 

Je pense franchement que cela va poser des problèmes lors de certains paiements car tout le monde n'est pas à jour côté navigateurs internet...

Et vous, qu'en pensez-vous ?

Edited June 9, 2016 by N°6 (see edit history)

[Eolia]

Le jour ou Prestashop sera développé en Java, ça se saura.

 

Pour le reste, les internautes refusant de mettre à jour leurs navigateurs seront impactés sur toutes les interfaces de Paiement, et croyez-moi, le jour où ils ne pourront plus payer sur Amazon, ils vont vite mettre à jour leur navigateur^^

[IED Factory]

Nous allons avertir nos clients via une popup sur la page de paiement de cet obligation technique...

[darval]

J'ai posé la question à E-transactions, JAVA ou pas JAVA je pense qu'il risque d'y avoir un souci ....

 

Si vous avez un serveur qui ne gère pas le TLS 1.2, il se passe quoi au moment de la validation du paiement lorsque le serveur E-transactions va envoyer l'info à votre prestashop que le paiement est OK en parlant en TLS 1.2 et que votre serveur ne comprend que le TLS 1.0 ?

[vince40]

Bonjour, Que conseillez-vous au juste ?

Faut-il demander à notre hébergeur si le serveur gère le TLS 1.2 ?

Merci

[Eolia]

Si votre serveur ne gère pas le TLS1.2 c'est une vieille timbale^^

Dans le doute, contactez votre hébergeur, mais tous les acteurs principaux dans ce domaine le gèrent déjà

[vince40]

Merci Eolia

En gros l'annonce ne change rien ... sauf de demander à nos clients de mettre à jour leurs navigateurs s'ils rencontrent une difficulté !

Me trompe-je ?

Edited June 10, 2016 by vince40 (see edit history)

[Eolia]

Exactement, mais comme je le disais plus haut, vu qu'ils vont rencontrer le problème sur toutes les plateformes de paiement, ils vont vite comprendre que le cheval à vapeur n'est plus d'actualité^^

[vince40]

Exactement, mais comme je le disais plus haut, vu qu'ils vont rencontrer le problème sur toutes les plateformes de paiement, ils vont vite comprendre que le cheval à vapeur n'est plus d'actualité^^

[darval]

Mise à part de dire que les serveurs qui ne sont pas en TLS 1.2 sont vieux vous ne répondez pas à la question...

 

 

Pour ma part j'ai des serveurs qui ne sont pas compatible TLS 1.2 et qui ne comporte aucune faille de sécurité et où les sites sont bien plus réactif que la plupart des sites que je peux visiter donc jusqu'à maintenant aucune raison de les faire évoluer.

 

Donc je répète ma question est ce que cela pose problème d'avoir des prestashop avec paiement E-transactions sur des serveurs non compatible TLS 1.2 ?

 

En copie le mail de E-transactions qui semble dire que non, mais sans aucune précision :

 

 

 

Important Mise en place TLS 1.2

 

 

 

Chère cliente, cher client,

 

Vous utilisez la solution de paiement sécurisée sur internet E-transactions du Crédit Agricole et nous vous en remercions.

 

Soucieux de répondre en permanence aux meilleurs standards de sécurité et de protéger les données cartes bancaires de vos acheteurs, nous vous informons que des évolutions techniques vont intervenir au niveau de notre solution de paiements (utilisation du protocole TLS 1.2 en lieu et place du protocole TLS 1.0) et ce, à compter du 1^er juillet 2016.

 

Si vous utilisez la gestion automatisée des encaissements dans E-transactions / E-transactions Premium, nous vous demandons de vous rapprocher de votre intégrateur afin de vérifier si votre boutique a été développée en JAVA. Si oui, la version de JAVA à utiliser doit être à minima JAVA 8. Le cas échéant, demandez-lui une mise à jour de la version utilisée pour votre site à effectuer avant le 1^er juillet.  

 

Si votre site n’a pas été développé en JAVA, vous n’avez rien à faire.

Si vous n’utilisez pas la Gestion automatisée des encaissements, vous n’êtes pas concerné par cette mise à jour.

Quant à vos acheteurs, quelle que soit la solution E-transactions implémentée, ils pourraient rencontrer des difficultés au moment du paiement si la version de leur navigateur internet est trop obsolète.

Si le cas se présente, c’est qu’ils doivent réaliser une mise à jour de leur navigateur internet, suite au renforcement de la sécurité mis en place sur E-transactions.

Les versions minimum requises pour les principaux navigateurs sont :

       · Chrome version 51 avec Windows 7 R

       · Firefox version 31.3.0 avec Windows 7

       · IE version 11 avec Windows 7 R

       · Safari version 6 avec iOS 6.0.1  R

Vous ou votre intégrateur souhaite en savoir plus sur les aspects techniques, voici des éléments complémentaires :

Certains protocoles de chiffrement ne vont plus être autorisés vers nos infrastructures E-transactions, afin de suivre les directives mondiales au sujet de vulnérabilités découvertes par des chercheurs (CVE-2014-3566) sur le SSL v3.0 (Secure Socket Layer).
             

Ces changements peuvent potentiellement avoir un impact sur les connexions entrantes via des navigateurs Internet ou via des applications propriétaires s’appuyant sur la couche SSL.

Pour que les accès restent transparents pour vos applications ou services, il est important que vos clients/internautes s'assurent que leurs navigateurs utilisent bien le protocole de chiffrement Transport Layer Security (TLS) en version 1.1 et supérieure. Il est à noter, que vos clients/internautes sont naturellement incités à mettre à jour leurs navigateurs suivant les dernières versions utilisant les protocoles TLS 1.1 et 1.2.
                     

Ceci en va de même pour vos éventuelles applications propriétaires que vous auriez développés en vous appuyant sur le protocole SSL. Pour de plus amples informations sur cette vulnérabilité dans SSL v3.0 et TLS 1.0 vous pouvez vous reporter aux liens ci-après:                                                                   

• Microsoft Internet Explorer : https://technet.microsoft.com/library/security/3009008

• Mozilla Firefox : https://blog.mozilla.org/security/2014/10/14/the-poodle-attack-and-the-end-of-ssl-3-0/

• Google Chrome : http://googleonlinesecurity.blogspot.com/2014/10/this-poodle-bites-exploiting-ssl-30.html

• Safari : https://discussions.apple.com/thread/6597955?tstart=0

 

Si votre intégration s’appuie sur un environnement Java pour s’interfacer avec nos services, il vous sera nécessaire de réaliser un upgrade vers une version 8 de Java. En effet, seule cette version supporte des protocoles au-dessus de TLS 1.0 à ce jour.

Les clients/internautes ou vos applications qui tenteront de se connecter après le 30 juin 2016 en ne prenant pas en charge le protocole TLS, ne seront plus en mesure d’accéder aux services proposées sur les infrastructures d’E-transactions.

La Hotline E-transactions reste à votre disposition pour toute information complémentaire, du lundi au vendredi de 9h à 18h30 :

Support Technique & Fonctionnel

E-mail : [email protected]

Téléphone : 0 810 812 810 (1)

Pour tout contact auprès de nos services, il faut IMPERATIVEMENT vous munir des identifiants communiqués par le support E-transactions : numéro de SITE (7 chiffres), numéro de RANG (2 chiffres) , numéro d’identifiant (1 à 9 chiffres)

(1) prix d’un appel local non surtaxé depuis un poste fixe