Vous êtes nombreux à nous interroger suite aux emails reçus de vos banques concernant l'arrêt des protocoles TLS 1.0 et 1.1 et à l'obligation de passer au protocole TLS 1.2. Ces emails sont envoyés par les banques qui ont mis en place un Terminal de Paiement Electronique (TPE) virtuel pour nos clients. Elles imposent que les serveurs avec lesquelles elles effectuent des échanges utilisent uniquement le protocole TLS 1.2 afin de ne pas créer de faille de sécurité connue. Afin de répondre à cette obligation, nous avons mis à jour nos serveurs il y a quelques semaines au standard TLS 1.2.
Vous pouvez le vérifier depuis votre navigateur en cliquant sur le pictogramme symbolisant un cadenas à côté de l'URL de votre plateforme OpenFlyers puis en affichant les détails. Vous devriez ainsi retrouver la mention TLS 1.2 dans les informations liées au certificat.
Cela concerne aussi bien les clients avec TPE que les clients sans TPE. En effet, il s'agit d'une norme qui s'impose à tous car basée sur l'absence de faille connue. Or les anciens protocoles sont considérés comme peu fiables.
Pour rappel, pour toutes les plateformes OpenFlyers en version 4, l'accès se fait uniquement en HTTPS. Ainsi, même si l'utilisateur indique HTTP dans l'URL de sa plateforme, cette dernière est « refabriquée » avec le préfixe HTTPS.
Pour les clients en version 3 ou inférieure, l'accès HTTPS n'est présent que si la structure a souscrit à l'option HTTPS. De plus, les utilisateurs doivent utiliser l'URL avec le préfixe HTTPS pour bénéficier de cette protection.
L'impact pour les utilisateurs finaux est normalement faible. En effet, toutes les versions récentes des navigateurs sont compatibles avec ce protocole.
Néanmoins, vous pouvez retrouver une liste des versions des navigateurs compatibles : https://caniuse.com/#search=TLS1.2
A titre d'information voici les numéros de versions à partir desquels les navigateurs sont compatibles TLS 1.2 :
- Internet Explorer (que nous déconseillons fortement d'une façon générale) : 11
- Edge : 16
- Firefox : 58
- Chrome : 49
- Safari : 11
- iOS Safari : 10.2
- Opera Mini : sans restriction
- Chrome pour Android : 64
- UC Browser pour Android : 11.8
- Samsung Internet : 4
Il faut bien comprendre qu'il ne s'agit pas que d'OpenFlyers mais de l'intégralité des sites d'eCommerce qui sont impactés par ce changement. Aussi, pour les utilisateurs qui n'auraient pas mis à jour leurs navigateurs, ils ne seront pas bloqués que sur OpenFlyers mais sur l'intégralité des sites d'eCommerce. Il leur est donc indispensable de mettre à jour leur navigateur.
Il y a également un impact pour les serveurs qui s'interfacent avec OpenFlyers pour le contrôle d'identification. Nous avons mis à jour l'exemple de script PHP :
https://openflyers.com/fr/doc/of4/Contrôle-d'identification-par-OpenFlyers-pour-un-logiciel-tiers#Exemple-de-code-PHP
Il faut notamment souligner que, désormais, pour que ce script fonctionne, il faut que le serveur tourne sous PHP 5.6 minimum et utilise OpenSSL 1.0.1 minimum.
OpenFlyers s'inscrit dans le suivi et le respect des évolutions des normes et des réglements. Cette évolution sécuritaire fait suite à celle concernant les reçus de paiement et qui s'est imposée à nous au 1er janvier 2018. Vous pouvez retrouver l'actualité traitant de l'inaltérabilité des écritures en suivant ce lien : https://openflyers.com/fr/actualites/inalterabilite-des-ecritures-comptables-et-recus-de-paiement.
Afin de faciliter l'accès à l'information, nous avons créé sur notre documentation publique une page qui liste les réglementations que nous suivons : https://openflyers.com/fr/doc/of4/Normes-et-réglementations.