Annonce de la fin de vie de Magento 1
En Septembre 2018, Adobe a annoncé que l’arrêt complet du support de Magento 1 était prévu pour le 30 Juin 2020. Cette fin de vie concerne aussi bien les correctifs de bogues que ceux de sécurité. Il est maintenant établi que cette décision ne sera pas repoussée.
Cette décision était accompagnée d’un calendrier dont voici les dates clés :
- Le 17 Juin 2020, la publication de nouveaux plugins sur la marketplace n'est plus possible.
- Le 30 Juin, est la date officielle de fin de vie de Magento 1.
- Le 7 Juillet, toutes les extensions/plugins pour Magento 1 sont retirées de la marketplace dédiée.
- Le 6 août, il ne sera malheureusement plus possible de mettre à jour un plugin sauf à faire des développements.
Conséquences
Depuis le 30 Juin 2020, les sites reposant sur une plateforme Magento 1 ne bénéficient plus d’aucun patch de sécurité, même si des failles sont découvertes ultérieurement. Ces sites sont donc de plus en plus exposés aux hackers et autres acteurs malveillants. Par ailleurs, conformément au planning annoncé, les extensions de la marketplace Magento 1 ont été retirées le 7 Juillet 2020. Ce qui signifie qu’il n’est plus possible de mettre à disposition de nouvelles versions de notre module PayPlug qui permettraient de corriger d’éventuels dysfonctionnements.
Les risques côté payeur :
- Les clients désirant passer commande sur ce type de site risquent d’être victimes de fraude à la carte bancaire. En effet, lorsqu’un site est la proie des pirates, ces derniers ont la possibilité d’installer de façon quasi indétectable, des dispositifs permettant de récupérer les données de carte bancaire avant que le client ne soit dirigé vers la page de paiement.
- Les clients victimes peuvent intenter des actions contre votre société et faire opposition auprès de leur banque.
Les risques côté marchands :
- Risque concernant la réputation et l’image de marque en cas d’incident lié à la sécurité de votre boutique..
- Risque de fermeture du site et de perte de revenus.
- Impossibilité d’obtenir des mises à jour de module depuis la marketplace Magento.
- Risque de non-conformité avec la norme PCI-DSS.
- Risque de non-conformité avec la RGPD.
Norme de sécurité PCI-DSS
En tant qu'établissement de paiement, PayPlug a une obligation de rester en conformité avec la norme PCI-DSS et les marchands utilisant notre solution ont également l'obligation de respecter cette norme.
Les exigences 6.1 et 6.2 de la norme PCI-DSS soulignent que les marchands ont l'obligation de mettre en place et de maintenir des applications sécurisées grâce à l’installation de correctifs de sécurité. Il s'agit d'une obligation imposée par toutes les solutions de paiement, mais également par les réseaux bancaires (Visa, MasterCard, etc.).
Visa a notamment insisté sur le fait qu'une non-migration entraîne une perte de conformité avec la norme PCI-DSS.
En cas de non-migration ou de non mise en conformité de votre boutique, afin de respecter les règles imposées par l’ensemble des acteurs bancaires nous pourrions être dans l’obligation de couper votre compte PayPlug.
Quelles solutions sont envisageables ?
Migration vers une autre plateforme
Si cela n’est pas encore le cas, la meilleure solution est de démarrer un projet de migration vers une autre plateforme. PayPlug dispose d’un module de paiement pour les principaux CMS du marché.
Nous pouvons également vous recommander des agences partenaires afin de vous accompagner dans ce projet.
Rester tout de même sur Magento 1
Même si cette solution est fortement déconseillée, il se peut que vous ne soyez pas prêts à migrer vers une autre plateforme après la date butoir du 30 Juin 2020.
Si tel est le cas, nous vous recommandons de consulter le guide Magento prévu à cet effet. Plusieurs solutions y sont proposées.