Voyages en avion, ré­ser­va­tions d’hôtel ou même commande de vêtements : nom­breuses sont les personnes qui paient en ligne avec leur carte de crédit. De nom­breuses in­for­ma­tions sensibles étant envoyées, des pré­cau­tions par­ti­cu­lières doivent être prises pour assurer la sécurité des con­som­ma­teurs. Au cours de sa con­fé­rence sur la DSP2, l’UE a imposé des exigences encore plus strictes pour les systèmes de paiement sur Internet - et les éta­blis­se­ments de cartes de crédit ont réagi. Avec la nouvelle version du processus 3D Secure, VISA et Mas­ter­card sont conformes aux ré­gle­men­ta­tions eu­ro­péennes et protègent mieux les clients.

Qu’est-ce que le 3D Secure : code, mot de passe, TAN ?

Dès 2000, VISA a développé une procédure pour rendre l’uti­li­sa­tion des cartes de crédit sur Internet plus sûre. L’en­tre­prise utilise sa propre tech­no­lo­gie sous le nom de « Verified by VISA ». En parallèle, d’autres four­nis­seurs de cartes de crédit ont également mis en œuvre le mécanisme de sécurité. Par exemple, 3D Secure s’appelle chez Mas­ter­card « Se­cu­re­Code » (main­te­nant « Identity Check »), chez American Express « SafeKey » et pour JCB « J/Secure ».

Avant, le paiement sur Internet par carte de crédit était très simple : vous sai­sis­siez les in­for­ma­tions de votre carte dans les champs ap­pro­priés, con­fir­miez d’une certaine manière que vous possédiez la carte avec le code de va­li­da­tion de carte (CVC) qui se trouve à son dos, et validiez en un clic. Toute personne en pos­ses­sion de la carte de crédit pouvait donc acheter des produits sur Internet, même ceux à des prix très élevés. Cette méthode bien sûr ne donnait pas toutes les garanties de sécurité que l’on pouvait espérer.

Au fur et à mesure que le commerce élec­tro­nique se dé­ve­lop­pait et que de plus en plus de gens payaient en ligne avec leur carte de crédit, l’intérêt des criminels pour les cartes de crédit aug­men­tait également. Par­ti­cu­liè­re­ment à travers le phishing et le social en­gi­nee­ring, ils ob­tien­nent souvent les données dont ils ont besoin. C’est donc dans l’idée de contenir ce dé­ve­lop­pe­ment que 3D Secure a été développé.

En plus des in­for­ma­tions contenues sur la carte, la procédure nécessite de fournir des in­for­ma­tions sup­plé­men­taires, telles qu’un mot de passe que seul le titulaire légitime de la carte de crédit peut connaître. Il s’agit donc d’une au­then­ti­fi­ca­tion à deux facteurs : deux données dif­fé­rentes sont requises pour que la carte de crédit soit débitée.

Pour ce faire, le con­som­ma­teur est redirigé vers le site de la société émettrice de la carte de crédit et y entre les données de sécurité sup­plé­men­taires. Le second facteur n’est com­mu­ni­qué par l’uti­li­sa­teur qu’à la banque ou la société émettrice de la carte de crédit. L’ex­ploi­tant de la boutique en ligne reçoit alors sim­ple­ment la con­fir­ma­tion que l’uti­li­sa­tion de la carte est autorisée. Toutefois, cette méthode aussi ne s’est pas avérée très sûre. En 2016, le montant des fraudes dans la zone SEPA est passé à 1,32 milliard d’euros selon la Banque centrale eu­ro­péenne.

Image: Montant des dommages dus à la fraude à la carte de crédit à l’échelle de l’UE par le biais de paiements à distance (données de la BCE).
Entre 2012 et 2016, la Banque Centrale Eu­ro­péenne a constaté une aug­men­ta­tion sig­ni­fi­ca­tive de la fraude par carte de crédit sur Internet. / Source : https://www.ecb.europa.eu/pub/cardfraud/html/ecb.card­frau­dre­port201809.en.html

Le trai­te­ment des mots de passe statiques n’est pas adapté d’un point de vue sé­cu­ri­taire. Dès que les tiers en ont con­nais­sance, la pro­tec­tion souhaitée ne fonc­tionne plus. Les méthodes dy­na­miques qui s’adaptent à chaque processus sont donc plus adéquats. Par exemple, un SMS avec un code sécurisé généré selon des pro­cé­dures chiffrées ne pouvant être utilisé que pour ce seul paiement.

Les clients et les com­mer­çants en ligne étaient plus qu’in­sa­tis­faits de la première version de 3D Secure. Le site Web appelé pour saisir le facteur de sécurité sup­plé­men­taire était ex­trê­me­ment peu attrayant, l’ap­pli­ca­tion et l’uti­li­sa­tion du mot de passe requis n’étaient pas claires et le processus ne pouvait être intégré con­ve­na­ble­ment dans les ap­pli­ca­tions mobiles. Les clients s’éner­vaient souvent et in­ter­rom­paient les processus de commandes, ce qui par con­sé­quent réduisait les con­ver­sions pour les vendeurs et rendait ces derniers également furieux.

La deuxième version de 3D Secure - également connue sous le nom de 3DS2 - aborde ces questions et vise à améliorer la sécurité. Les nouvelles fonc­tion­na­li­tés sont de plus conformes aux nouvelles di­rec­tives de l’UE sur les services de paiement. En outre, les éta­blis­se­ments de crédit s’adaptent aux évo­lu­tions tech­niques avec la nouvelle version. Aujourd’hui, des appareils (comme les smart­phones) proposent notamment l’au­then­ti­fi­ca­tion par données bio­mé­triques : par empreinte digitale ou en analysant les traits du visage.

3D Secure 2.0 est conçu de sorte que les com­mer­çants puissent intégrer la procédure dans leur processus de paiement. Il en résulte une ex­pé­rience d’achat plus agréable pour le client. En outre, la méthode d’au­then­ti­fi­ca­tion doit cons­ti­tuer un système in­tel­li­gent capable de s’adapter au risque. Cela signifie que les exigences en matière de garantie sont moins strictes pour les petits montants que pour les grands. De plus, 3DS2 peut également être utilisé pour les paiements mobiles et fonc­tionne avec les ap­pli­ca­tions des banques.

Image: Déroulement de la procédure 3D-Secure.
3D Secure fonc­tionne avec des tech­niques d’au­then­ti­fi­ca­tion modernes pour relier les con­som­ma­teurs, com­mer­çants et banques en toute sécurité.

Avantages et in­con­vé­nients de 3D Secure

Le processus 3D Secure présente des avantages pour les com­mer­çants et les con­som­ma­teurs, mais aussi des in­con­vé­nients.

Avantages In­con­vé­nients
Plus de sécurité pour les clients Demande plus d’efforts de la part des clients
Les four­nis­seurs de cartes de crédit prennent en charge les coûts s’il y a fraude malgré le 3D Secure (inversion de res­pon­sa­bi­lité) Les vendeurs peuvent perdre des con­ver­sions
Procédure gratuite pour les clients et les vendeurs Une sécurité à 100% ne peut être garantie

À quoi les clients doivent-ils s’attendre ?

Pour les con­som­ma­teurs, le processus 3D Secure devrait leur offrir une meilleure ex­pé­rience uti­li­sa­teurs pendant leur paiement. Plutôt que de s’acharner sur un processus désuet ou de devoir faire des con­ces­sions en termes de sécurité, les uti­li­sa­teurs peuvent main­te­nant bé­né­fi­cier d’un processus sécurisé et moderne. Quelques points à retenir pour l’uti­li­sa­teur :

  • Ins­crip­tion : pour utiliser 3D Secure, vous devez vous en­re­gis­trer auprès de votre banque. La banque qui émet votre carte de crédit est res­pon­sable.
  • Ins­tal­la­tion : on peut supposer que les banques uti­li­se­ront à l’avenir des ap­pli­ca­tions pour envoyer le code 3D Secure ou demander des données bio­mé­triques.
  • Se tenir prêt : lors du paiement, la carte de crédit et le smart­phone doivent être dis­po­nibles.
Remarque

Même avec 3D Secure, les uti­li­sa­teurs doivent être vigilants lorsqu’ils paient avec leur carte de crédit sur Internet. Les données sensibles ne doivent être saisies que si vous êtes sûr d’être sur le bon site Web. Un cer­ti­fi­cat SSL valide est une in­di­ca­tion que vous pouvez faire confiance au site.

Im­pli­ca­tions pour le commerce en ligne

La Directive eu­ro­péenne sur les services de paiement 2 (DSP2) stipule qu’à partir du 14 septembre 2019, les paiements en ligne devront répondre à des normes de sécurité par­ti­cu­lières. Le 3D Secure répond à ces nouvelles exigences. Afin de pouvoir utiliser la nouvelle procédure, les com­mer­çants en ligne doivent contacter leur four­nis­seur de services de paiement (PSP - Payment Service Provider). Le PSP doit alors pouvoir proposer une solution technique que les com­mer­çants n’auront plus qu’à mettre en œuvre dans leur boutique en ligne.

  • Contacter votre four­nis­seur de services de paiement : dans un premier temps, les com­mer­çants en ligne doivent com­mu­ni­quer avec leurs four­nis­seurs de services de paiement. Une grande partie de ces derniers affichent déjà sur leur site Web des in­for­ma­tions destinées aux vendeurs.
  • Mettre en œuvre le 3DS2 : comme le nouveau processus 3D Secure ne s’effectue plus sur un site Web tiers mais di­rec­te­ment sur le site marchand, la tech­no­lo­gie doit être intégrée à la boutique en ligne.

Avec le DSP2 et l’Au­then­ti­fi­ca­tion Forte du Client (SCA pour Strong Customer Au­then­ti­ca­tion) qui y est liée, tous les paiements n’ont pas besoin d’être vérifiés selon les standards les plus élevés de 3D Secure. Par exemple, les paiements in­fé­rieurs à 30 euros ne né­ces­si­tent pas un niveau de sécurité maximal. Mais attention : ces éva­lua­tions des risques ne sont pas laissées à la dis­cré­tion du com­mer­çant, mais sont ef­fec­tuées par la banque.

Même au-delà des exigences légales, il est in­té­res­sant pour les com­mer­çants d’intégrer le 3D Secure dans leurs boutiques en ligne : le nouveau système est beaucoup plus convivial, il se déroule en­tiè­re­ment sur le site Web du com­mer­çant et renforce ainsi la confiance des con­som­ma­teurs. Cela conduit à son tour à plus de con­ver­sions et donc à plus de ventes.

Aller au menu principal