Whatsapp
Créé par Visa et MasterCard et instauré depuis 2008 en France, le 3-D Secure concerne les paiements en ligne. Ce protocole vise à sécuriser les transactions effectuées par carte bancaire sur un site e-commerce ou boutique en ligne.
Qu’est-ce que le paiement par 3-D Secure ?
Le 3-D Secure est un système d’authentification forte utilisé lors des paiements sur Internet. Plus connu via les logos “Verified by Visa” ou “MasterCard SecureCode”, ce dispositif permet de renforcer la sécurité des transactions en confirmant que l’acheteur est bien le propriétaire de la carte bancaire.
Comment se déroule une transaction via le 3-D Secure ?
Pour tout paiement réalisé via le 3-D Secure la procédure est la suivante :
- L’internaute valide sa commande et arrive sur une page de paiement sécurisée
- Il est invité à renseigner les coordonnées de sa carte bancaire (numéro, cryptogramme, date de validité, etc.)
- Étape supplémentaire liée au 3-D Secure : il est ensuite redirigé vers le site de sa banque via une nouvelle fenêtre. Sur cette dernière il est invité à s’authentifier pour confirmer l’achat, selon la procédure mise en place par sa banque.
- La commande est validée une fois l’authentification confirmée.
Quelles sont les modalités d’authentification pour le 3-D Secure ?
Cette procédure d’authentification du porteur de carte est propre à chaque établissement bancaire. Cependant elle tend à se formaliser pour faciliter son utilisation. Désormais en France, le porteur doit généralement utiliser un code à un usage unique qui lui est envoyé par mail, SMS ou généré via un boitier additionnel.
Quels sont les avantages du 3-D Secure ?
Le 3-D Secure a été instauré afin de lutter contre le piratage et réduire la fraude sur les paiements en ligne. Concrètement, cela apporte aux internautes une protection renforcée contre l’usage frauduleux de leur carte bancaire.
Côté commerçants, cela à pour objectif de diminuer le risque de paiements frauduleux et donc le montant des impayés. En cas de contestation du paiement, la responsabilité est en effet transféré sur l’internaute. Le 3-D Secure est particulièrement utile pour la vente de produits où le risque d’impayés est élevé.
Le 3-D Secure et le e-commerce
Le nombre de sites e-commerce qui proposent le paiement 3-D Secure a augmenté de 25% en deux ans, passant de 18,6% en 2011 à 22,2% en 2013 (Source Baromètre 3-D Secure). Toutefois, le 3-D Secure est encore loin de faire l’unanimité dans le e-commerce, puisque 3/4 des transactions sont encore réalisées en protocole standard SSL. En effet, certains inconvénients comme le fait de rendre le paiement plus long ou encore de ne pas pouvoir modifier les paramètres sont reprochés par certains commerçants.
La France est donc encore loin de ces homologues Européens en termes d’utilisation (40% des marchands l’ont adopté en Allemagne). Un retard qui devrait certainement se combler dans les prochains mois, grâce à une meilleure compréhension par les consommateurs et une souplesse d’utilisation pour les commerçants via de nouveaux services 3-D Secure paramétrables comme le 3-D Secure Dynamique qui vous est gratuitement proposé par Paysite-cash.
Modalités
Selon la banque émettrice de la carte, les modalités d'authentification varient.
Quelques exemples de banques françaises (le protocole est applicable en France depuis le 1er octobre 2008) :
- Crédit mutuel et CIC : le client doit au choix, soit indiquer l'un des codes inscrits sur sa « carte de clés personnelles » (une grille de 64 codes à quatre chiffres dans laquelle il faut piocher le bon code en fonction de la ligne et de la colonne demandée par le site web) et un code reçu par e-mail à l'adresse liée à son compte bancaire, soit indiquer un code reçu par SMS sur le numéro de téléphone associé à son compte bancaire soit enfin directement via l'application installée sur son smartphone, qui lui envoie une alerte lorsqu'il y a besoin de valider ;
- Barclays, ING Direct, HSBC et Axa Banque : un code à usage unique est envoyé par SMS
- Caisse d'épargne : un code est envoyé par SMS. Si le client ne veut pas utiliser ce système il peut utiliser un boitier où il insère sa carte dans un boitier qui ressemble à une calculatrice et entre son code PIN et un code à usage unique apparaît.
- BNP Paribas : le client doit indiquer sa date de naissance ; depuis juillet 2009 un code est envoyé par SMS. Le client peut opter pour un authentifieur matériel Digipass ;
- Groupe Société générale (dont Boursorama, Crédit du Nord) : Un code est envoyé par SMS. De plus, avec l'application pour smartphone spécifique, il peut valider l'opération en se connectant avec son application ;
- Groupe Crédit agricole (dont LCL) : depuis 2010, un code est envoyé par SMS, à défaut le client doit indiquer un mot de passe personnel créé lors de la première utilisation ;
- BRED Banque populaire : une clé d'authentification Ipab, clé cryptographique format clé USB ;
- Banques Populaires régionales et filiales (Crédit coopératif, Crédit maritime) : le client insère sa carte dans un boitier (préalablement paramétré par le client) qui ressemble à une calculatrice et entre son code PIN. Un code à usage unique apparaît. Si le client ne veut pas utiliser ce système, il peut recevoir un appel via serveur vocal ou un SMS sur son portable.
- Groupama Banque : le client doit indiquer son nom, le code postal de sa résidence et sa date de naissance ;
- La Banque postale : un code est envoyé par SMS uniquement. La Banque postale appelle ce système « Certicode » ;
- Compte-Nickel (Financière des Paiements Electroniques) : un code à usage unique est envoyé par SMS au client lors de son achat.
3-D Secure peut aussi être actif sur des cartes de paiement/crédit (débitant au comptant ou à crédit sur un compte courant classique) :
- Cartes PASS (de Groupe Carrefour) : le client doit saisir son nom et prénom, sa date de naissance et reçoit un code par SMS sur son téléphone portable (numéro à indiquer la première fois).
- Cartes ONEY (filiale de Auchan Holding) : le client reçoit un code par SMS sur son téléphone portable.
