Alors qu’officiellement les cartes bancaires sont sûres et qu’on ne risque rien à les utiliser, l’augmentation phénoménale de la fraude a poussé pas mal de banques à changer la façon dont elles « permettent » aux propriétaires de carte bancaire de faire des achats en ligne.
Ré-expliquons tout d’abord ce qu’est en bref le système 3D Secure, avant de parler des modifications faites. Puis nous détaillerons les changements de 3D Secure.
3D Secure en bref
Tout d’abord, il faut savoir que le processus 3DSecure est dénommé « Verified by Visa » chez Visa, et « SecureCode » chez Mastercard.
3DSecure s’utilise quand on fait un achat en ligne, au moment du paiement.
Si le commerçant a choisi ce mode de « sécurisation » du paiement, au lieu de simplement payer en donnant le numéro de carte bancaire, le nom et éventuellement les 3 chiffres au dos de la carte (et les 4 sur le devant de VISA), le client doit donner aussi d’autres infos qu’il doit normalement être le seul à connaître.
Juste après avoir fourni les informations classiques de paiement, l’internaute est redirigé vers le site de la banque qui va lui demander ces informations supplémentaires.
Dans la grande majorité des cas, la banque demande à l’internaute un code, qui lui est envoyé sur son téléphone mobile. L’internaute est sensé être le seul à avoir accès à cette information et il doit donc la fournir sur le site où il veut acheter, afin de pouvoir valider définitivement la transaction.
En général tout se passe bien, sauf quand le code met un moment à arriver et que le site interrompt la transaction. Dans la mécanique de paiement du site web, il y a un temps d’attente maximum à fixer pour recevoir cette information complémentaire. Si au bout de ce temps d’attente, rien n’a été fourni, alors le processus d’achat est interrompu.
A la place du code envoyé par téléphone mobile, les banques peuvent demander d’autres informations comme un code envoyé par la banque une bonne fois pour toutes, un code qui s’affiche sur un boîtier (pas du tout pratique) ou un truc encore plus tordu qui consiste à demander à l’internaute de donner le code s’affichant sur une sorte de grille de bataille navale qui aura été préalablement envoyée par la banque.
Responsabilité juridique et 3DSecure
Certes, l’utilisation 3DSecure est lourde pour les sites marchands et les banques, et cela freine le commerce. Mais, cela déporte aussi la responsabilité de la dépense sur le propriétaire de la carte bancaire.
Si une carte bancaire est utilisée de manière « classique » (donc sans 3DSecure) pour acheter en ligne, légalement, RIEN ne prouve que le propriétaire de la carte bancaire soit l’acheteur car NI le code PIN, NI sa signature n’ont été fournis. Ainsi, le propriétaire peut prétendre (à tort ou à raison) qu’il n’a rien acheté et se faire rembourser: c’est la loi qui oblige la banque à rembourser.
Avec 3DSecure, la loi considère que l’acheteur, utilisateur de la carte bancaire EST le propriétaire de celle-ci.
Changements pour les utilisateurs dans 3DSecure
Comme nous l’écrivions ci-dessus et dans un autre article à ce sujet, il semble que 3DSecure ne soit plus aussi sûr. Les banques renforcent donc l’authentification en demandant maintenant souvent, pour certaines, beaucoup d’informations complémentaires.
Ainsi, vous pouvez vous voir demander d’abord un mot de passe spécifique aux achats 3DSecure, des numéros spécifiques du numéro de votre compte en banque (par exemple le code d’agence et les 5 derniers numéros du compte) et ensuite seulement un code envoyé par téléphone.
Est-ce que ceci suffira à calmer les voleurs et utilisateurs de cartes bancaires ? Pas sûr quand on voit ce qu’on peut trouver sur certains sites internet spécialisés en « vente » ou « location » de cartes bancaires..
Détails sur l’histoire ou l’évolution du 3D Secure
(pour les gens qui sont « techniques » ou veulent bien connaître le sujet :-))
L’évolution du protocole 3D Secure : entre sécurité et contraintes pour les utilisateurs
L’introduction du protocole 3D Secure (3DS) visait à renforcer la sécurité des transactions en ligne tout en limitant les risques de fraude. Si la promesse de protection est réelle, l’expérience utilisateur a souvent été sacrifiée sur l’autel de la sécurité. Retour sur l’évolution de ce protocole, de sa première version à 3DS 2.2.
3D Secure : un bouclier contre la fraude, mais à quel prix ?
L’idée de 3D Secure repose sur un principe simple : ajouter une étape d’authentification au moment du paiement pour s’assurer que le porteur de la carte est bien à l’origine de la transaction. Mis en place à la fin des années 1990, ce protocole a progressivement évolué pour répondre aux nouvelles exigences en matière de cybersécurité. Il est devenu un standard incontournable, notamment sous l’impulsion des directives européennes DSP2 et DSP3, qui imposent une authentification forte du client (SCA).
Cependant, si la sécurité s’est renforcée, le parcours d’achat des consommateurs s’est compliqué. Entre redirections vers les pages bancaires, saisie de codes de vérification et authentifications parfois inefficaces, l’expérience utilisateur en a pâti, avec un impact direct sur le taux de conversion des commerçants en ligne.
Comment fonctionne 3D Secure ?
Le protocole 3DS repose sur plusieurs étapes clés :
- Saisie des informations bancaires : Lors d’un achat en ligne, l’utilisateur entre ses coordonnées bancaires (numéro de carte, CVV, date d’expiration, nom du titulaire).
- Redirection vers la banque : Une fois les données saisies, l’acheteur est redirigé vers une page sécurisée de sa banque.
- Authentification : La banque procède à une vérification supplémentaire via un code SMS, une notification push sur une application bancaire ou encore une identification biométrique.
- Validation de la transaction : Si l’authentification est réussie, le paiement est validé et l’acheteur est redirigé vers le site du commerçant.
Chaque étape a été pensée pour limiter les risques de fraude, mais en contrepartie, des blocages, des transactions refusées et des frictions inutiles peuvent décourager les consommateurs.
3D Secure 2.0 : vers une expérience utilisateur optimisée ?
Face aux critiques récurrentes, une nouvelle version, 3DS 2.0, a été introduite pour réduire ces frictions tout en renforçant la sécurité. Voici les principales améliorations apportées par cette mise à jour :
- Authentification adaptative : L’analyse du risque permet de valider certaines transactions sans intervention de l’utilisateur, allégeant ainsi le processus pour les paiements jugés sûrs.
- Compatibilité mobile améliorée : Contrairement à la première version, qui posait des problèmes sur smartphone, 3DS 2.0 est conçu pour fonctionner de manière fluide sur tous les appareils.
- Transfert de responsabilité : En cas de fraude sur une transaction validée par 3DS, la responsabilité passe du commerçant à la banque émettrice de la carte.
La dernière évolution : 3DS 2.2
Avec 3DS 2.2, de nouveaux ajustements ont été apportés pour améliorer encore l’efficacité du protocole :
- Meilleure gestion des exemptions SCA : Certaines transactions à faible risque peuvent être automatiquement approuvées.
- Intégration des paiements fractionnés : Le protocole prend en charge les transactions en plusieurs fois.
- Interopérabilité accrue : Davantage de systèmes de paiement peuvent utiliser 3DS 2.2 sans incompatibilité technique.
Le protocole 3D Secure a incontestablement renforcé la sécurité des paiements en ligne, mais au prix de certaines contraintes. Les dernières versions tendent à corriger les problèmes rencontrés par les utilisateurs, mais il reste encore du chemin à parcourir pour atteindre un équilibre optimal entre sécurité et expérience utilisateur. Les banques et les commerçants devront rester attentifs aux évolutions réglementaires et aux attentes des consommateurs pour ne pas transformer la sécurité en un obstacle insurmontable à l’achat en ligne.
