3D Secure : VISA et Mastercard deviennent plus sûrs

Voyages en avion, réservations d’hôtel ou même commande de vêtements : nombreuses sont les personnes qui paient en ligne avec leur carte de crédit. De nombreuses informations sensibles étant envoyées, des précautions particulières doivent être prises pour assurer la sécurité des consommateurs. Au cours de sa conférence sur la DSP2, l’UE a imposé des exigences encore plus strictes pour les systèmes de paiement sur Internet - et les établissements de cartes de crédit ont réagi. Avec la nouvelle version du processus 3D Secure, VISA et Mastercard sont conformes aux réglementations européennes et protègent mieux les clients.

Qu’est-ce que le 3D Secure : code, mot de passe, TAN ?

Dès 2000, VISA a développé une procédure pour rendre l’utilisation des cartes de crédit sur Internet plus sûre. L’entreprise utilise sa propre technologie sous le nom de « Verified by VISA ». En parallèle, d’autres fournisseurs de cartes de crédit ont également mis en œuvre le mécanisme de sécurité. Par exemple, 3D Secure s’appelle chez Mastercard « SecureCode » (maintenant « Identity Check »), chez American Express « SafeKey » et pour JCB « J/Secure ».

Avant, le paiement sur Internet par carte de crédit était très simple : vous saisissiez les informations de votre carte dans les champs appropriés, confirmiez d’une certaine manière que vous possédiez la carte avec le code de validation de carte (CVC) qui se trouve à son dos, et validiez en un clic. Toute personne en possession de la carte de crédit pouvait donc acheter des produits sur Internet, même ceux à des prix très élevés. Cette méthode bien sûr ne donnait pas toutes les garanties de sécurité que l’on pouvait espérer.

Au fur et à mesure que le commerce électronique se développait et que de plus en plus de gens payaient en ligne avec leur carte de crédit, l’intérêt des criminels pour les cartes de crédit augmentait également. Particulièrement à travers le phishing et le social engineering, ils obtiennent souvent les données dont ils ont besoin. C’est donc dans l’idée de contenir ce développement que 3D Secure a été développé.

En plus des informations contenues sur la carte, la procédure nécessite de fournir des informations supplémentaires, telles qu’un mot de passe que seul le titulaire légitime de la carte de crédit peut connaître. Il s’agit donc d’une authentification à deux facteurs : deux données différentes sont requises pour que la carte de crédit soit débitée.

Pour ce faire, le consommateur est redirigé vers le site de la société émettrice de la carte de crédit et y entre les données de sécurité supplémentaires. Le second facteur n’est communiqué par l’utilisateur qu’à la banque ou la société émettrice de la carte de crédit. L’exploitant de la boutique en ligne reçoit alors simplement la confirmation que l’utilisation de la carte est autorisée. Toutefois, cette méthode aussi ne s’est pas avérée très sûre. En 2016, le montant des fraudes dans la zone SEPA est passé à 1,32 milliard d’euros selon la Banque centrale européenne.

Montant des dommages dus à la fraude à la carte de crédit à l’échelle de l’UE par le biais de paiements à distance (données de la BCE).
Entre 2012 et 2016, la Banque Centrale Européenne a constaté une augmentation significative de la fraude par carte de crédit sur Internet. / Source : https://www.ecb.europa.eu/pub/cardfraud/html/ecb.cardfraudreport201809.en.html

Le traitement des mots de passe statiques n’est pas adapté d’un point de vue sécuritaire. Dès que les tiers en ont connaissance, la protection souhaitée ne fonctionne plus. Les méthodes dynamiques qui s’adaptent à chaque processus sont donc plus adéquats. Par exemple, un SMS avec un code sécurisé généré selon des procédures chiffrées ne pouvant être utilisé que pour ce seul paiement.

Les clients et les commerçants en ligne étaient plus qu’insatisfaits de la première version de 3D Secure. Le site Web appelé pour saisir le facteur de sécurité supplémentaire était extrêmement peu attrayant, l’application et l’utilisation du mot de passe requis n’étaient pas claires et le processus ne pouvait être intégré convenablement dans les applications mobiles. Les clients s’énervaient souvent et interrompaient les processus de commandes, ce qui par conséquent réduisait les conversions pour les vendeurs et rendait ces derniers également furieux.

La deuxième version de 3D Secure - également connue sous le nom de 3DS2 - aborde ces questions et vise à améliorer la sécurité. Les nouvelles fonctionnalités sont de plus conformes aux nouvelles directives de l’UE sur les services de paiement. En outre, les établissements de crédit s’adaptent aux évolutions techniques avec la nouvelle version. Aujourd’hui, des appareils (comme les smartphones) proposent notamment l’authentification par données biométriques : par empreinte digitale ou en analysant les traits du visage.

3D Secure 2.0 est conçu de sorte que les commerçants puissent intégrer la procédure dans leur processus de paiement. Il en résulte une expérience d’achat plus agréable pour le client. En outre, la méthode d’authentification doit constituer un système intelligent capable de s’adapter au risque. Cela signifie que les exigences en matière de garantie sont moins strictes pour les petits montants que pour les grands. De plus, 3DS2 peut également être utilisé pour les paiements mobiles et fonctionne avec les applications des banques.

Déroulement de la procédure 3D-Secure.
3D Secure fonctionne avec des techniques d’authentification modernes pour relier les consommateurs, commerçants et banques en toute sécurité.

Avantages et inconvénients de 3D Secure

Le processus 3D Secure présente des avantages pour les commerçants et les consommateurs, mais aussi des inconvénients.

Avantages Inconvénients
Plus de sécurité pour les clients Demande plus d’efforts de la part des clients
Les fournisseurs de cartes de crédit prennent en charge les coûts s’il y a fraude malgré le 3D Secure (inversion de responsabilité) Les vendeurs peuvent perdre des conversions
Procédure gratuite pour les clients et les vendeurs Une sécurité à 100% ne peut être garantie

À quoi les clients doivent-ils s’attendre ?

Pour les consommateurs, le processus 3D Secure devrait leur offrir une meilleure expérience utilisateurs pendant leur paiement. Plutôt que de s’acharner sur un processus désuet ou de devoir faire des concessions en termes de sécurité, les utilisateurs peuvent maintenant bénéficier d’un processus sécurisé et moderne. Quelques points à retenir pour l’utilisateur :

  • Inscription : pour utiliser 3D Secure, vous devez vous enregistrer auprès de votre banque. La banque qui émet votre carte de crédit est responsable.
  • Installation : on peut supposer que les banques utiliseront à l’avenir des applications pour envoyer le code 3D Secure ou demander des données biométriques.
  • Se tenir prêt : lors du paiement, la carte de crédit et le smartphone doivent être disponibles.
Remarque

Même avec 3D Secure, les utilisateurs doivent être vigilants lorsqu’ils paient avec leur carte de crédit sur Internet. Les données sensibles ne doivent être saisies que si vous êtes sûr d’être sur le bon site Web. Un certificat SSL valide est une indication que vous pouvez faire confiance au site.

Implications pour le commerce en ligne

La Directive européenne sur les services de paiement 2 (DSP2) stipule qu’à partir du 14 septembre 2019, les paiements en ligne devront répondre à des normes de sécurité particulières. Le 3D Secure répond à ces nouvelles exigences. Afin de pouvoir utiliser la nouvelle procédure, les commerçants en ligne doivent contacter leur fournisseur de services de paiement (PSP - Payment Service Provider). Le PSP doit alors pouvoir proposer une solution technique que les commerçants n’auront plus qu’à mettre en œuvre dans leur boutique en ligne.

  • Contacter votre fournisseur de services de paiement : dans un premier temps, les commerçants en ligne doivent communiquer avec leurs fournisseurs de services de paiement. Une grande partie de ces derniers affichent déjà sur leur site Web des informations destinées aux vendeurs.
  • Mettre en œuvre le 3DS2 : comme le nouveau processus 3D Secure ne s’effectue plus sur un site Web tiers mais directement sur le site marchand, la technologie doit être intégrée à la boutique en ligne.

Avec le DSP2 et l’Authentification Forte du Client (SCA pour Strong Customer Authentication) qui y est liée, tous les paiements n’ont pas besoin d’être vérifiés selon les standards les plus élevés de 3D Secure. Par exemple, les paiements inférieurs à 30 euros ne nécessitent pas un niveau de sécurité maximal. Mais attention : ces évaluations des risques ne sont pas laissées à la discrétion du commerçant, mais sont effectuées par la banque.

Même au-delà des exigences légales, il est intéressant pour les commerçants d’intégrer le 3D Secure dans leurs boutiques en ligne : le nouveau système est beaucoup plus convivial, il se déroule entièrement sur le site Web du commerçant et renforce ainsi la confiance des consommateurs. Cela conduit à son tour à plus de conversions et donc à plus de ventes.