Lettre d'information Août 2019 - DSP 2 : 3D Secure devient obligatoire + Support Memcache conforme pour Prestashop

Bonjour,

Dans cette lettre d'information, nous allons faire un point sur la directive européenne DSP2 qui rentre en application le 14 Septembre 2019 et bien d'autres choses pour une rentrée 2019 réussie !


1/ 3D Secure devient obligatoire au 14 Septembre 2019

On vous épargne le couplet sur qu'est ce que la DSP 2, toutes vos banques vous ayant déjà largement informées à ce propos depuis quelques semaines.

En résumé : comme vous l'avez lu dans la lettre d'information de Mars 2019 où nous insistions sur l'aspect indispensable de 3D Secure pour protéger votre site E-Commerce, à compter du 14 Septembre 2019, cela devient obligatoire.

Nous vous invitons, si vous ne l'avez pas déjà fait, à prendre rapidement les dispositions nécessaires pour activer 3D Secure sur vos modules bancaires. Vos conseillers bancaires puis nos partenaires à l'ingénierie logicielle peuvent vous aider à ce propos.

Par ailleurs, tous les pôles bancaires sont en train de se mettre en conformité sur la norme 3D Secure version DEUX qui, elle aussi, va devenir obligatoire courant Q1 2020. Nous vous invitons à faire le nécessaire pour vous mettre en conformité à ce propos AVANT le 1° janvier 2020.

Si vous ne mettez pas en place à minima 3D Secure à compter du 14 Septembre 2019, puis 3D Secure version DEUX avant le 1° janvier 2020, vous vous exposez à une dégradation forte de service : plus aucun client ne pourra valider son paiement avec pour cause de rejet : absence d'authentification forte. 

Par effet de bord, même si vous n'êtes pas dans l'Union Européenne vous êtes concernés (Redsys, Postfinance, Datatrans, Ogone, etc)


Avec le concours de Algo Factory, Charles Sarda et Charles Adrien Dubois (CAD), nous sommes en train de réaliser un document à usage interne sur les 23 banques / pôles bancaires exploités par nos clients. Une partie de ce document sera prochainement disponible sur le Manager TW afin de vous accompagner dans la mise en œuvre de 3D Secure version DEUX (prochainement sous le menu Global > Application > Banques). Nous reviendrons vers vous dans le courant du 2° semestre 2019 à ce propos étant toujours en attente d'une estimation de livrable de la part de 6 pôles bancaires.

NB : des tolérances devraient cependant être observées, nous vous invitons à en parler avec votre conseiller bancaire étant donné que cela semble à géométrie variable suivant les banques et ne devraient concerner que les paniers à moins de 30€

 

2/ Evolutions de l'hyperviseur (Manager TW)

Comme vous le savez, la densification des réseaux et la constante augmentation de la complexité des systèmes engendrent bien des défis techniques pour rester efficace et compétitif dans l'identification et la curation des anomalies.

Plusieurs dizaines de nouvelles sondes viennent d'enrichir l'hyperviseur (que vous connaissez aussi sous le nom de Manager TW) :

- un contrôle complet et mondial des réseaux CDN (OVH - Amazon toujours à l'étude) afin d'identifier des pannes géolocalisées (menu Global > Infrastructure > CDN)

- des campagnes hebdomadaires de benchmarking pour identifier des ralentissements pouvant justifier des rotations préventives de serveurs ainsi que vous aider à choisir les bons serveurs (menu Global > Infrastructure > Benchmark)

- un écran de synthèse des performances de vos sites Internet mettant en exergue des anomalies (absence de cache / absence de CDN / CDN actif mais désactivé côté OVH / aucune compilation des contenus statics type CSS et JS - menu Application > Production active > Performance)

 

3/ Changement de paradigme pour Prestashop : les ramdisks enfin exploitable pour des performances accrues !

Avant-propos : un ramdisk est un disque dur en mémoire vive, ou plus exactement une zone de la mémoire vive "utilisable comme un disque dur".

Quel est l'intérêt ?

Vous avez déjà tous transféré des données depuis votre ordinateur vers une clé USB ou un disque dur externe, vous avez du constater que plus le volume de données était important, plus cela prenait du temps.


Sans rentrer dans des détails techniques possiblement tout à fait inaudibles, ce qu'il y a à retenir : c'est qu'un ramdisk, à la différence d'une clé USB / disque dur conventionnel permet de démultiplier la vitesse de lecture par 5 à 30 (suivant ce que l'on compare - HDD / SSD / SSD NVME avec les variantes RAID 0 / RAID 1  - des détails sont disponibles sur le nouvel écran de statistiques Benchmark cité au point 2)

Pourquoi est ce que la mise en œuvre est impossible sur Prestashop nativement ?

Le support des ramdisks est historiquement buggé sous Prestashop, l'activation engendre bien des dysfonctionnements du fait de persistance contre intuitive de contenus. Il est donc formellement interdit d'activer le support Memcache (équivalent ramdisk) via la page Performance du backoffice de Prestashop (et cette interdiction est toujours d'actualité !).

Evolution du module PageCache version 5 et arrivé du support Memcache via PageCache

Grâce aux récentes évolutions du module PageCache en version 5 pour Prestashop, il est maintenant possible d'exploiter de manière sécuritaire et stable les ramdisks (par l'intermédiaire du logiciel - qui s'appelle un daemon sous Linux - Memcache).

Tous nos partenaires à l'ingénierie logicielle sont au fait de cela, les premiers benchmarks sont encourageants

Si vous souhaitez encore améliorer les performances de votre site Internet, nous vous invitons à contacter l'un de nos partenaires pour la mise en œuvre.

 

4/ Nécessité de mise en place d'un prélèvement automatique chez votre hébergeur

Depuis le 1° janvier 2019, nous avons été contraints de gérer 14 incidents majeurs de service (panne générale - site hors service) du fait d'impayés subis par l'hébergeur OVH qui a décidé de couper tous les serveurs des clients concernés (CB expirée, paiement Paypal en anomalie, etc)

Cela fait maintenant 6 mois que la page d'accueil du Manager TW s'est vu enrichie d'une box d'alerte (en rouge) vous invitant vivement à mettre en place un moyen de paiement jugé fiable tel qu'un prélèvement bancaire.

Si vous n'avez pas déjà mis en place un prélèvement bancaire, nous vous invitons à considérer ceci : pour la majorité d'entre vous, en tant que pure player (ou assimilé) dont le projet professionnel dépend en tout ou parti de la disponibilité de votre site Internet, vos serveurs sont assimilés "service critique" au même titre que l'électricité ou votre connexion à Internet.

Si vous n'avez aucune raison de craindre la mise en place d'un prélèvement bancaire automatique chez un opérateur ENERGIE (EDF / GDF, etc) ou encore un opérateur TELECOM (ORANGE, SFR, BOUYGUES, etc), il n'y a aucune crainte à avoir à ce propos avec un opérateur en HEBERGEMENT (OVH, Online, etc).


Tous ces opérateurs partagent la même criticité, une interruption de service pouvant engendrer de (très) forts dommages financiers.

Par ailleurs, suite à des abus, il a été décidé que les réparations consécutives à un arrêt général de service décidé par l'hébergeur du fait d'un impayé (qui ont des impacts possiblement désastreux sur les réplications actives du fait des coupures réseaux à chaud) sont par ailleurs dorénavant exclues des contrats, et facturées au forfait : 75€ HT / intervention du lundi au samedi de 7h à 21h, et 150€ HT / intervention la nuit et le dimanche.

 

5/ Assouplissement des règles du contrôleur général de trafic

Suite à de nombreux échanges avec nos partenaires et de nombreux retours clients à ce propos, il a été décidé d'assouplir les règles du contrôleur général de trafic (celui qui vous interdit d'accéder à vos serveurs quand vous dépassez les quotas autorisés)

Tous les quotas ont été doublés à minima (et certains triplés), hormis pour les crawlers non déclarés (généralement des robots de relevés de prix qui alimentent des plateformes de veille concurrentielle - elles même alimentant les sites de vos concurrents qui auto ajustent leurs prix en fonction des vôtres).

Tout est mis en œuvre, chaque jour, pour vous protéger au mieux tout en faisant en sorte que vous ne subissiez pas ce contrôleur de trafic (ou à défaut, le moins possible) et nous vous assurons que cela n'est pas une tâche aisée.

Nous attirons une nouvelle fois votre attention sur le fait qu'il n'y a pas de sécurité sans bannissement, c'est impossible, on ne peut pas protéger efficacement un serveur (et les sites qu'ils hébergent) si on n'interdit pas proactivement le trafic jugé malveillant.

C'est ce même axiome (ou tout du moins son irrespect) qui engendre des instabilités fortes sur les hébergements mutualisés, ce type d'hébergement interdit de part sa nature de mettre en place des mécaniques avancées de protection des sites Internet (et nécessairement bas niveau donc via iptables - pas via des WAF précaires et inadaptés aux nouvelles menaces)

Par exemple, sur un hébergement mutualisé, vous ne trouverez jamais une "liste blanche", cela n'est pas possible, car elle devrait nécessairement être mutualisée avec tous les colocataires du mutualisé rendant son administration ingérable.

Nous espérons que ces nouvelles configurations seront bien accueillies et le cas échéant, nous continuerons de les ajuster ! Ces mécaniques de cybersécurité ont engendrées plus de 1 700 mises à jour depuis 3 ans sur notre superviseur.

Nous vous souhaitons une agréable semaine,

L'équipe TW - Votre Webmaster Prestashop et infogérance Magento / Drupal.