Alors qu’officiellement les cartes bancaires sont sûres et qu’on ne risque rien à les utiliser, l’augmentation phénoménale de la fraude a poussé pas mal de banques à changer la façon dont elles “permettent” aux propriétaires de carte bancaire de faire des achats en ligne.
Ré-expliquons le système 3D Secure, avant de parler des modifications faites.
Tout d’abord, il faut savoir que le processus 3DSecure est dénomé “Verified by Visa” chez Visa, et “SecureCode” chez Mastercard.
3DSecure s’utilise quand on fait un achat en ligne, au moment du paiement.
Si le commerçant a choisi ce mode de “sécurisation” du paiement, au lieu de simplement payer en donnant le numéro de carte bancaire, le nom et éventuellement les 3 chiffres au dos de la carte (et les 4 sur le devant de VISA), le client doit donner aussi d’autres infos qu’il doit normalement être le seul à connaître.
Juste après avoir fourni les informations classiques de paiement, l’internaute est redirigé vers le site de la banque qui va lui demander ces informations supplémentaires.
Dans la grande majorité des cas, la banque demande à l’internaute un code, qui lui est envoyé sur son téléphone mobile. L’internaute est sensé être le seul à avoir accès à cette information et il doit donc la fournir sur le site où il veut acheter, afin de pouvoir valider définitivement la transaction.
En général tout se passe bien, sauf quand le code met un moment à arriver et que le site interrompt la transaction. Dans la mécanique de paiement du site web, il y a un temps d’attente maximum à fixer pour recevoir cette information complémentaire. Si au bout de ce temps d’attente, rien n’a été fourni, alors le processus d’achat est interrompu.
A la place du code envoyé par téléphone mobile, les banques peuvent demander d’autres informations comme un code envoyé par la banque une bonne fois pour toutes, un code qui s’affiche sur un boîtier (pas du tout pratique) ou un truc encore plus tordu qui consiste à demander à l’internaute de donner le code s’affichant sur une sorte de grille de bataille navale qui aura été préalablement envoyée par la banque.
Responsabilité juridique et 3DSecure
Certes, l’utilisation 3DSecure est lourde pour les sites marchands et les banques, et cela freine le commerce. Mais, cela déporte aussi la responsabilité de la dépense sur le propriétaire de la carte bancaire.
Si une carte bancaire est utilisée de manière “classique” (donc sans 3DSecure) pour acheter en ligne, légalement, RIEN ne prouve que le propriétaire de la carte bancaire soit l’acheteur car NI le code PIN, NI sa signature n’ont été fournis. Ainsi, le propriétaire peut prétendre (à tort ou à raison) qu’il n’a rien acheté et se faire rembourser: c’est la loi qui oblige la banque à rembourser.
Avec 3DSecure, la loi considère que l’acheteur, utilisateur de la carte bancaire EST le propriétaire de celle-ci.
Changements dans 3DSecure
Comme nous l’écrivions ci-dessus, il semble que 3DSecure ne soit plus aussi sûr. Les banques renforcent donc l’authentification en demandant maintenant souvent, pour certaines, beaucoup d’informations complémentaires.
Ainsi, vous pouvez vous voir demander d’abord un mot de passe spécifique aux achats 3DSecure, des numéros spécifiques du numéro de votre compte en banque (par exemple le code d’agence et les 5 derniers numéros du compte) et ensuite seulement un code envoyé par téléphone.
Est-ce que ceci suffira à calmer les voleurs et utilisateurs de cartes bancaires ? Pas sûr quand on voit ce qu’on peut trouver sur certains sites internet spécialisés en “vente” ou “location” de cartes bancaires..