La majorité des transactions commerciales s’effectue aujourd’hui de façon virtuelle, c’est-à-dire par le biais d’internet. Ainsi il est plus aisée d’effectuer des paiements via internet sur un site ou grâce à une application mobile. Mais, ces transactions nécessitent le respect de certaines mesures de sécurité afin de vous éviter d’être victime de piratage. D’où la création de la 3D secure. Vous vous demandez :
- Qu’est-ce que la 3D secure ?
- A quoi sert exactement la 3D secure ?
- Comment fonctionne -t-elle ?
- Quels sont les utilisateurs de la 3D secure ?
En lisant cet article, vous trouverez les réponses à vos questions.
La définition exacte du 3D secure
Définition
La 3D secure se définit comme un protocole qui vous permet de sécuriser vos paiements en ligne. Ce protocole a vu le jour en 2008 grâce aux entreprises américaines Mastercard et Visa spécialisées dans les systèmes de paiement/retrait. Fondamentalement, ce protocole se nomme « 3 Domain Secure authentification ». Traduit en français, il signifie authentification sécurisée à trois domaines, communément connue sous certains noms commerciaux comme « verified by visa » et « Mastercard Securecode ».
Historique
Le protocole a été initialement déployé par VISA pour améliorer la sécurité des transactions en ligne. Mais, d’autres systèmes de cartes se sont rapidement joints pour développer leurs propres produits pour les transactions 3D Secure. Il est aussi important de connaître les différents paramètres qui ont conduit au développement de 3D Secure. Traditionnellement, un paiement qui s’effectue dans l’atelier web d’un commerçant (une société vendant des biens ou des services en ligne) se vérifie en utilisant uniquement le processus d’autorisation.
L’autorisation est le processus par lequel :
Les coordonnées de la carte d’un titulaire de carte se vérifient pour être validées par la banque émettrice. Le compte lié à la carte se vérifie pour voir si elle a suffisamment de fonds. On peut penser que l’autorisation en elle-même pourrait manquer quelque chose. Fondamentalement, n’importe qui pourrait faire des achats en utilisant une carte tant qu’il connaît les détails de la carte et s’il y a assez d’argent dans le compte. Cela peut devenir un problème si ces détails finissent entre de mauvaises mains.
Le problème est la fraude de paiement : un paiement effectué au nom du titulaire de la carte par quelqu’un qui n’a pas reçu la permission de le faire.
Les réseaux de cartes ont mis en œuvre la première version de la 3D Secure en 2001. Elle a fourni une meilleure solution de sécurité, et a été utile à plusieurs banques.
Le protocole dans sa version initiale proposait plusieurs codes et les émetteurs n’avaient qu’à choisir le bon code pour vérifier l’identité d’un titulaire de carte. Cependant, au fil des années, elle montra son insuffisance. Une décennie plus tard, en 2016, EMV Co, détenue conjointement par American Express, Discover, JCB International, Mastercard, China UnionPay et Visa a publié la version 2.0. Cela fut dans le but d’accroître la sécurité des commerçants et des clients.
Peu de temps après, EMV Co a également publié la version 3D Secure 2.2 dont le support test est disponible depuis la mi-2019.
A quoi sert la 3D secure ?
Description
La 3D Secure est un protocole de sécurité qui ajoute un processus de vérification à la couche de paiement en redirigeant les clients vers une page tierce où ils doivent entrer un code SMS ou mot de passe pour compléter leur achat en ligne. Trois domaines s’impliquent dans le processus d’achèvement d’une transaction qui s’effectue avec le protocole 3D Secure :
- la banque habilitée à recevoir les fonds et le commerçant (Acquirer Domain) ;
- la banque ayant octroyé la carte de paiement (Issuer Domain) ;
- le système utilisé sur la carte en question (Interoperability Domain).
D’où l’appellation 3D Secure.
Dans sa description, ce protocole se constitue d’un ensemble d’étapes qui permet de vérifier si l’acheteur qui effectue la transaction est le véritable possesseur de la carte en question. En d’autres termes, il s’agit d’une procédure d’authentification pour un renforcement de la sécurité de votre carte en plus de votre code PIN initial.
Avantages
Avec le développement de la technologie, le protocole de sécurité 3D Secure à connu des améliorations qui ont augmenté le nombre de ses avantages.
Parmi ces avantages, on peut noter une sécurité accrue de toutes les authentifications en 3D Secure.
Comment ça marche ?
L’authentification teste l’identité de la personne qui effectue un paiement. À la caisse, après la saisie des détails de la carte pour un achat, la personne devra vérifier l’identité du titulaire de la carte dans une fenêtre contextuelle ou un cadre en ligne. Cela se fait à l’aide d’une méthode d’authentification :
- Mot de passe statique (c’est-à-dire un mot de passe permanent inchangé) ;
- Mot de passe dynamique (un mot de passe unique envoyé au titulaire de la carte par sms/e-mail) ;
- Fonction biométrique (une empreinte digitale liée à l’appareil mobile enregistré du titulaire de la carte) ;
- Code QR numérisé (un code QR à l’écran qui se scanne par l’appareil mobile enregistré).
La méthode d’authentification se définit par la banque émettrice.
Si la procédure d’authentification est réussie, le paiement se voit approuver (authentifié), sinon le paiement est refusé. Étant donné que les essais comptent toujours, les essais d’authentification tentés s’enregistrent. Cette option permet de bloquer le processus de transaction au cas où ce n’est pas vous qui l’effectuez. Ces essais sont la preuve qu’un commerçant qui implémente la fonction 3-D Secure a tenté d’authentifier le titulaire de la carte, mais a été confronté à :
- un émetteur qui n’a pas adopté 3-D Secure ;
- un émetteur dont le serveur de traitement est en panne.
Changement de responsabilité
Sans 3-D Secure, lorsqu’un titulaire de carte conteste une transaction frauduleuse :
- le commerçant est responsable de la transaction ;
- le commerçant doit rembourser l’argent sous la forme d’un remboursement.
Mais, si le commerçant met en œuvre la 3-D Secure, la responsabilité pour les transactions frauduleuses se déplace vers l’émetteur. Ce changement s’applique aussi longtemps que :
- une transaction est authentifiée ;
- tentative d’authentification a lieu.
Sécurité conditionnelle 3-D Secure
Une autre grande chose à propos de la 3-D Secure est que vous n’avez pas nécessairement besoin de l’utiliser au cours de toutes vos transactions. En effet, on peut personnaliser son utilisation.
Qu’est-ce que ça veut dire ?
Vous pouvez demander que la sécurité 3-D soit activée pour les transactions à haut risque ou pour les transactions de montants spécifiques. C’est ce qu’on appelle le « Conditionnel 3-D Secure », une personnalisation de la 3-D Secure.
L’activation de la 3-D Secure se coordonne généralement entre le commerçant, la passerelle de paiement et l’acquéreur. La sécurité conditionnelle 3-D Secure s’est avérée très utile pour augmenter le nombre de clients retenus.
Avec la version 2.0, seulement 5 % des authentifications se contestent pour vous permettre un usage optimal. Le protocole introduit également l’authentification basée sur le risque (RBA). Il évalue aussi la transaction du client et l’historique des comptes du côté marchand.
Par ailleurs, la version 2.0 partage 10 fois plus de données. C’est-à-dire qu’il y a plus de 50 éléments supplémentaires vérifiés au cours du processus d’authentification. Cela peut être un ensemble de questions relatives aux préférences du possesseur de la carte.
Pour les commerçants, le principal avantage du protocole est qu’il protège leurs clients contre la menace de fraudes de paiement. Ce qui installe une confiance entre le commerçant et le client. Par conséquent, les titulaires de cartes seront plus susceptibles de s’engager dans des valeurs de transactions plus élevées vue que leur niveau de confiance à augmenter.
Un autre avantage est que les commerçants ne sont plus responsables de certaines refacturations frauduleuses lorsqu’un client nie avoir effectué l’achat.
3D Secure rend-il vraiment les achats en ligne plus sûrs ?
Pour les cartes non roulées, la première personne à l’utiliser en ligne obtient la permission de définir le mot de passe. Les voleurs d’identité connaissent souvent la date de naissance d’une victime ou les derniers chiffres d’un numéro de sécurité sociale requis pour l’activation auprès de la banque émettrice. Les cyber criminels sont également conscients de la facilité liée à la réinitialisation d’un mot de passe 3D Secure. Par exemple, Vérifié par Visa suggère que « notre mot de passe devrait être facile à mémoriser », ce qui le rend finalement moins sûr.
Autre problème bien médiatisé, 3D Secure a été sujet au phishing. Pour accroître la confiance lors de l’inscription Vérifiée par Visa demande au titulaire de la carte de choisir une phrase qui apparaîtra dans la fenêtre, comme « joyeux anniversaire ».
Enfin, 3D Secure vise à accroître la confiance des consommateurs à l’égard des achats en ligne en protégeant les cartes inscrites contre l’utilisation non déclarée. 3D Secure ne peut pas non plus protéger le titulaire de la carte contre une violation de données (numéro de carte compromis par les dossiers du détaillant). Ce qui est une préoccupation majeure parmi les achats en ligne « hold-outs ».
Qu’est-ce que le transfert de responsabilité en matière de refacturation ?
La 3D Secure n’a pas le pouvoir d’éradiquer 100 % de toutes les fraudes et les refacturations lorsqu’un paiement 3D Secure en ligne se termine. Cependant, elle fournit une étape d’authentification supplémentaire. Cela permet de rassurer le titulaire de la carte et de réduire la proportion de litiges, de récupérations et de refacturations pour le commerçant. Un commerçant peut généralement s’attendre à réduire de 80 % le remboursement et la fraude ainsi que les plaintes des clients.
Qui sont les utilisateurs de 3D Secure ?
RSA (Revenu de Solidarité Active) a récemment commandé des recherches pour en apprendre davantage sur les taux d’adoption 3D Secure parmi la communauté marchande. Les résultats montrent que 76 % des commerçants interrogés utilisent actuellement la 3DS et que plus de la moitié des répondants prévoient adopter la 3DS 2.0. Pour 55 % des non-utilisateurs de 3DS, l’expérience client est le principal obstacle à l’adoption. Ces préoccupations peuvent toutefois être sans fondement, puisque 87 % des utilisateurs actuels déclarent avoir une bonne expérience client. 82 % signalent une réduction de la fraude et 71 % d’entre eux signalent une réduction de l’abandon des chariots.
Cependant, il reste un manque de sensibilisation parmi les adoptants actuels, en ce qui concerne les fonctionnalités améliorées fournies par 3D Secure 2.0. L’un des facteurs les plus courants ici est par rapport au marché cible du commerçant. On rappelle constamment aux commerçants que l’adoption de la 3D Secure n’est pas cohérente d’un pays à l’autre. C’est dû au fait que certaines banques ne soutiennent tout simplement pas cette mise en œuvre.
Aujourd’hui, les taux mondiaux d’adoption des commerçants de 3D Secure varient encore selon les régions. Dans l’ensemble, 35 % du volume mondial du commerce électronique passe par 3D Secure et ce taux devrait augmenter avec une plus grande adoption du protocole mis à jour.
Où est-ce que 3D Secure est requis ?
MasterCard le rend obligatoire pour les commerçants qui souhaitent accepter des cartes Maestro au Royaume-Uni, et sa vérification par Visa est nécessaire en Italie. En plus de cela, il est fortement encouragé dans d’autres pays. En l’occurrence, ceux qui présentent un risque élevé de fraude. Les commerçants qui refusent de participer s’exposent à des amendes et à d’autres pénalités.
Le Royaume-Uni a la plus forte pénétration de carte de crédit en Europe. Il est souvent le « bac à sable » pour les nouveaux produits de sécurité comme AVS, 3D Secure, paiement sans contact et l’autorisation inversée. Selon Cyber source, 73 % des détaillants en ligne britanniques utilisent actuellement la 3D Secure, et 10 % prévoient l’adopter cette année.
Néanmoins, certains commerçants choisissent de tenir aussi longtemps qu’ils le peuvent. Soit en choisissant de ne pas accepter les cartes Maestro au Royaume-Uni, soit en prenant le risque de payer une amende.
Le holdout Amazon
Amazon.co.uk est un exemple remarquable d’un site de commerce électronique qui ignore les « règles » pour les cartes Maestro. Il y a plusieurs raisons pour lesquelles Amazon peut s’en tirer avec cela.
Amazon dispose également d’une équipe sophistiquée de prévention et de résolution de fraude en interne. Cela implique des outils, des personnes et des processus de pointe. Amazon peut également être moins vulnérable à la fraude que les autres commerçants parce qu’il n’est pas axé sur l’acquisition de nouveaux clients. Les informations de carte de crédit se conservent dans les comptes des utilisateurs et se mettent à jour rarement.
Il est probable qu’Amazon préfère payer des amendes et accepter des refacturations plutôt que de sacrifier le volume des ventes qui pourraient se perdre avec la couche supplémentaire de friction à la caisse. Amazon a également le luxe de transférer la responsabilité à des marchands tiers et les vendeurs de marchés. Ce qui représente 30 % du chiffre d’affaires.
Les petites et moyennes entreprises sont moins susceptibles d’avoir un service de fraude et peuvent présenter un risque plus élevé pour les banques émettrices. Ainsi, la pression sur les PME est plus forte que dans les grandes entreprises.