3D Secure est un protocole de paiement sécurisé sur Internet développé par Visa pour augmenter le niveau de sécurité des e-transactions, puis adopté par Mastercard. Le principe de base consiste à demander au cyberacheteur,en plus de son numéro de carte bancaire,une information indépendante de ladite carte. Sa date de naissance, par exemple, ou un autre élément personnel. Les sites acceptant ce type d'authentification peuvent alors apposer sur leurs pages les logos "Verified by Visa" ou "MasterCard SecureCode". La mise en oeuvre de ce protocole va de paire avec l’activation à compter du 1er octobre 2008 de ce qu’on appelle le « Liability Shift », autrement dit le transfert de responsabilité du marchand vers la banque du commerçant en cas d’utilisation frauduleuse de la carte bancaire d'un client…

Ce qui change pour le cybermarchand

Un commerçant est 3D Secure lorsqu'il procède à l'authentification de ses acheteurs et qu'il a un contrat VADs. L’adoption de ce nouveau contrat (avenant) est un principe gratuite. Si le commerçant n’est pas obligé de basculer immédiatement en 3D secure, il en va à court terme de son intérêt :d’une part le « Liability Shift » (opérationnel pour tout marchand 3D Secure même en cas de porteur non 3D) le dégage des risques de paiements contestés : le commerçant 3D Secure ne reçoit plus d’impayés non seulement pour fraude mais aussi pour les contestations du type « ce n’est pas moi qui ait fait la transaction », qui représentent 80% des impayés actuels et 0,70% du volume total des paiements sur Internet. D’autre part cela le dispense en partie des audits de sécurité de plus en plus draconiens imposés par Visa et Mastercard.

Attention cependant !
Le transfert de responsabilité ne protège pas contre les litiges commerciaux (mauvaises livraisons, produits nonconformes…). De plus, 3D Secure ne remplace pas les outils de scoring qui permettent souvent en amont de détecter les fraudeurs,il vient en complément.

Ce qui change pour les cyberacheteurs

L’impact sur le processus d’achat n’est cependant pas neutre avec la demande d’un nouveau code au cyber-acheteur. Cette demande peut le dérouter et même le voir interrompre l’achat. C’est pourquoi de nombreux commerçants ont préféré reporter après les fêtes de fin d’année la mise en oeuvre de 3D Secure sur leurs sites. Une information claire et compréhensive reste à faire pour que le cyber-acheteur ne soit pas dérouté lors de ses prochains achats. Les banques adoptent deux approches différentes en direction de leurs porteurs. Certaines envoient systématiquement une demande d'inscription, par exemple en même temps que le relevé de compte. Le taux de retour est dans ce cas assez faible. D'autres intègrent la démarche d'enregistrement au premier achat effectué en 3D Secure. Quant à la transaction proprement dite, si le 3D Secure ne doit pas être confondu avec le code de sécurité de la puce incluse dans la carte bancaire,il fonctionne sur le même principe : les utilisateurs ont trois essais pour s'identifier. En cas d'échec, leur carte risque de ne peut plus pouvoir être utilisée pour effectuer des achats sur les sites affiliés au programme mis en place par Visa/MasterCard. Et pour la débloquer, il leur faut prendre contact avec leur banque.

Les améliorations en vue :
Les méthodes d’authentification

Plusieurs banques ont choisi dans un premier temps de proposer à leurs clients un code extrêmement simple pour la mise en place d’un paiement 3D Secure : l’authentification se fait par la demande complémentaire de la date de naissance. Ce code est loin de faire l’unanimité mais permet aux internautes de se familiariser avec le paiement 3D. Cette méthode d’authentification devrait évoluer rapidement. Certaines banques font preuve de plus d’imagination : - le client LCL répond à une question secrète parmi celles dontil a paramétré les questions et les réponses,à l'avance,sur le site LCL. - Au Crédit Mutuel,le client doit s'authentifier avec son identifiant et son mot de passe de banque en ligne,puis indiquer un des codes inscrits sur sa "carte de clés personnelles" (une grille de 64 codes à 4 chiffres dans laquelle il faut piocher le bon code en fonction de la ligne et de la colonne demandées par le site web). 2.

La communication

Nombre d’e-commerçants déplorent le manque de communication des banques tant auprès d’eux que des cyberacheteurs. Certains précisent même n’avoir appris que par hasard – à l’occasion du paiement d’un client ! – la mise en place du 3D Secure pour leur site. La plupart des organismes bancaires se sont contentés, dans un premier temps, de quelques lignes sur leur propre site web ou d’un imprimé diffusé en autoasilage à l’occasion de l’envoi d’un relevé de compte. Elles sont aujourd’hui en train de rectifier le tir,tant en communication que pour ce qui concerne des méthodes d’authentification plus sérieuses que la date de naissance. Elles seront à même de communiquer pleinement courant 2009 quand elles auront chacune choisi leur meilleure solution. Les cybermarchands peuvent également jouer un rôle important en informant leurs clients par emailings et/ou par une rapide explication sur leur site, juste avant le basculement vers les pages de transaction sécurisée.

Les habitudes

Certains cybermarchands se sontfaitl’écho de difficultés en cas de commande par téléphone. Ces craintes sont sans fondement, car il n’y a pas d’obligation 3D Secure pour ce canal de prise de commande. D’autres VADistes évoquent une hausse des abandons en cours de transaction.Il est clair que le manque de communication évoqué plus haut a pu déstabiliser plus d’un acheteur, de même que l’ergonomie débouchant selon certains sur une expérience utilisateur plus qu’améliorable. Mais nul doute que, le premier effet de surprise passé et l’habitude aidant, 3D Secure jouera à court terme son rôle de rassurance auprès des cyberacheteurs… tout en aidant les organismes bancaires à assumer leurs nouvelles responsabilités vis-à-vis des e-commerçants.


3DS en Europe
Fin avril 2008,329 banques émettrices (des clients) et 180 banques acquéreuses (des marchands) avaient migré en faveur du 3D Secure, et 209 000 marchands s'étaient enregistrés au répertoire européen de Mastercard SecureCode. A ce jour, Visa Europe recense pour sa part 75 000 commerçants qui bénéficient du système Verified by Visa.

Les exceptions
L’e-Carte bleue n’est pas concernée, puisqu’un nouveau numéro, unique et temporaire, servant à régler les achats,est émis à chaque tentative de paiement. Quant aux cartes commerciales, elles font exception au transfert de responsabilité. Pour les cartes bancaires de sociétés,elles sont de toute façon affecté à un porteur :si le code 3D de cette banque est la date de naissance, ce sera celle de ce porteur qui sera retenue. Les cartes étrangères non garanties 3D Secure ne sont pas couvertes. Il n’est en effet pas possible de soumettre à une mesure franco-française une banque étrangère qui reste libre d’adhérer ou non à un système optionnel dans son pays d’origine. Vigilance, donc, sur le pays d’origine de la carte en cas de livraison en France avec une transaction non garantie.

Sources et informations complémentaires :

• wikipedia
• Vnunet (Anne Confolant)
• JDN
• blog de Daniel Broche
• blog d’Olivier Bernasson (oliverblog)
• Sélection Fevad d’articles sur le sujet