Le consortium W3C amène progressivement la nouvelle
norme API de demande de paiement à l'étape finale, ce qui devrait simplifier le processus d'achat de marchandises dans les magasins en ligne. Vous n'avez plus à saisir manuellement les données de paiement à chaque achat, car les détails de la carte bancaire sont stockés dans le navigateur et saisis automatiquement dans le formulaire (à l'exception du code CVV).
C'est très pratique: le paiement par carte se fait littéralement en quelques clics sur un bouton. Eh bien, les stratagèmes de fraude vont changer. Si auparavant, les attaquants recherchaient des bases de données avec des cartes de crédit sur les serveurs du magasin, les logiciels malveillants extrairont désormais les cartes directement des navigateurs sur les machines locales des utilisateurs.
Le 4 octobre, un
projet de recommandation du candidat a été publié, dont les commentaires sont acceptés jusqu'au 31 octobre 2017.
Bien que la norme API de demande de paiement n'ait pas encore été finalisée, elle est déjà
activée par défaut dans les navigateurs suivants :
- Chrome 61 dans la version de bureau
- Chrome pour Android à partir de la version 53
- Chrome pour iOS version 62
- Opera 48
- Opera pour Android à partir de la version 48
De nouvelles interfaces sont déjà
implémentées dans le navigateur Edge , et dans Firefox et Safari, il est en cours de développement. Certes, pour utiliser le paiement automatique dans Edge, vous devez enregistrer un compte Microsoft Wallet, donc en réalité, peu d'utilisateurs le font fonctionner. Une autre chose est Chrome, qui a commencé à stocker les détails des cartes bancaires le premier parmi tous les navigateurs. Dans la version Android, cette fonction a été activée en août 2016, et dans la version de bureau, elle a été activée par défaut en septembre 2017, avec la sortie de Chrome 61.
Lorsque l'utilisateur passe une commande dans la boutique en ligne (clique sur le bouton Acheter), la boutique envoie un appel API au navigateur de l'utilisateur, signalant les informations de la commande. Le navigateur affiche une fenêtre contextuelle dans laquelle tous les champs avec les détails de paiement et l'adresse de livraison sont déjà remplis (s'ils ont déjà été saisis et stockés dans le navigateur). Si l'utilisateur confirme les informations, le navigateur, et non le site Web, contacte l'opérateur de paiement tel que Visa et Mastercard pour effectuer la transaction. Lorsqu'une confirmation est reçue, le navigateur informe que le paiement sur le site Web du magasin qui a envoyé la demande a réussi, et il peut passer une commande, emballer et envoyer la marchandise, sachant que l'argent a déjà été transféré sur son compte bancaire.
Samsung et Facebook vont implémenter la prise en charge du stockage des coordonnées bancaires dans leurs implémentations de navigateur, car les deux sociétés sont extrêmement intéressées par la simplification des paiements sur Internet.
Un référentiel avec
des exemples de code a été ouvert sur GitHub sur la façon de mettre en œuvre différents types de paiements automatiques via l'API de demande de paiement sur le site Web. Il y a une
page avec des démos . Il montre le véritable processus de paiement par l'utilisateur, des exemples de
code client et serveur .
À première vue, un système de stockage des détails de paiement dans un navigateur semble dangereux. Mais il a été inventé juste pour améliorer la protection des données confidentielles. En effet, désormais le magasin ne reçoit plus d'informations sur le nombre de cartes bancaires des clients. Par conséquent, ces bases de données avec des cartes ne seront plus stockées dans chaque magasin, ce qui, par le passé, a conduit à plusieurs reprises à des fuites de données. Maintenant, tout est entre les mains de l'utilisateur - et il porte lui-même pour la sécurité de ses cartes bancaires, qui sont stockées dans son navigateur personnel.
Le besoin de systèmes de paiement comme PayPal, qui servait d'intermédiaire, disparaît. Désormais, un tel intermédiaire sera la technologie API de demande de paiement et un navigateur.
Bien qu'à bien des égards l'API de demande de paiement améliore la sécurité globale du commerce électronique, il existe de nouveaux risques. Il s'avère que le navigateur en sait trop: non seulement vos mots de passe enregistrés, mais aussi des informations financières. Après avoir accédé au navigateur, un étranger peut désormais effectuer des achats en magasin en votre nom. De plus, les développeurs de navigateurs sont tentés d'utiliser l'historique des achats à leurs propres fins. Par exemple, pour le ciblage exact de la publicité en ligne.
La question est: les utilisateurs font-ils suffisamment confiance au navigateur pour y stocker des informations sur leurs cartes bancaires?