En savoir plus sur le 3D Secure

• Qu'est-ce que c'est ?
• Pourquoi le cryptogramme visuel ne suffit pas
• 3D Secure ou non
• Dans la pratique
• En quoi consiste l'authentification ?
• Légalement
• 3D Secure, bien ou mal ?

3D Secure est appelé "Verified by Visa" chez Visa et "SecureCode" chez Mastercard.

(Les logos ne sont pas recopiés ici pour des raisons légales).

Ce système a été inventé pour éviter les fraudes de type CNP (Card No Present), c'est-à-dire les paiements faurduleux par carte bancaire sans présence réelle de la carte (numéros de carte volés, par exemple).

Depuis octobre 2008, les banques et commerçants en ligne ont commencé à adopter le système 3DSecure pour les paiements sur Internet.

Le but est de:

• réduire la fraude pour les commerçants.
• sécuriser les paiements des clients.

Un paiement par carte sur internet nécessite généralement:

• le numéro de la carte.
• la date d'expiration.
• le cryptogramme visuel.

Le cryptogramme visuel, ce sont les 3 nombres au dos de votre carte qu'on vous demande généralement de saisir lors d'un achat sur internet.

Or, ces informations peuvent être lues visuellement sur la carte et recopiées, permettant ainsi le paiement sans présence de la carte, et donc la fraude.

Avec 3D Secure, des informations complémentaires vous seront demandés pour valider le paiement.

Quelqu'un qui recopierait les informations de votre carte ou même qui vous la volerait ne pourrait pas faire d'achats ches les marchands utilisants 3D Secure, car il ne connaît pas ces informations complémentaires.

Pour qu'un paiement soit en mode 3D Secure, il faut que votre carte soit 3D Secure et que le commerçant supporte 3D Secure.

• la quasi-totalité des cartes bancaires nouvellement fabriquées sont désormais 3D Secure.
• pour les anciennes, selon les banques, le basculement 3D Secure sera automatique, ou on vous demandera de signer un avanent à votre contrat. Dans tous les cas, cela ne nécessite aucun changement de carte ni de modification de votre carte existante.
• le passage à 3D Secure ne doit normalement rien vous coûter.

Notez qu'avec une carte 3D Secure, vous pouvez très bien continuer à faire des achats en mode non 3D Secure chez les commerçants qui ne supportent pas 3D Secure. Ces achats ne seront pas sécurisés 3D Secure.

Si votre carte n'est pas 3D Secure, vous pourrez ou non faire des achats chez les commerçants qui sont 3D Secure (les commerçants 3D Secure sont libres d'accepter ou non de continuer à accepter les paiements avec des cartes non 3D Secure).

Dans la pratique, vous effectuerez vos achats sur internet comme d'habitude.

Vous entrerez toujours votre numéro de carte, la date d'expiration et le cryptogramme, mais après avoir entré ces informations, vous serez redirigé vers le site de votre banque qui vous demandera ces informations complémentaires.

Une fois les informations fournies, vous reviendrez sur le site du commerçant qui vous confirmera le paiement.

Dans ce scénario, le serveur de votre banque va confirmer au commerçant que vous vous êtes bien le propriétaire de la carte.

Pendant un paiement 3D Secure, lorsque vous serez sur le site de votre banque, cette dernière vous demandera des informations que vous êtes seul censé connaître, prouvant que vous êtes bien le propriétaire de la carte.

Chaque banque est libre de choisir son moyen d'authentification.

Parmi ceux-ci, on trouve:

• un classique mot de passe (qu'il est possible de changer)
• un système par carte de clé (feuille papier) que votre banque vous a envoyée (style bataille navale: saisissez le nombre à la colonne 4, ligne 2).
• un système par boitier électronique (vous saisissez un code affiché par un boitier électronique).
• votre date de naissance.
• et bien d'autres encore ...

Notez qu'il est particulièrement lamentable que certaines banques se contentent de votre date de naissance, car cette information est rarement vraiment privée et parfois facile à trouver. Si votre banque est dans ce cas, je vous invite à protester vigoureusement auprès de votre banque pour qu'elle adopte un système d'authentification plus solide.

Lors de tout achat internet normal (non 3D Secure), à aucun moment votre identité n'est prouvée (code PIN ou signature). Cela veut dire qu'il suffit de contester un paiement pour que votre banque vous rembourse.

La responsabilité est du côté de la banque du commerçant, auprès de laquelle votre banque réclamera la somme.

Lors d'un achat en mode 3D Secure, si l'authentification est un succès, il y a un trnasfert de responsabilités vers votre banque. Puisqu'elle a affirmé que c'était bien vous qui étiez en train de payer, elle ne peut plus contester et doit transférer l'argent à la banque du commerçant.

Et bien entendu, votre banque transférera cette responsabilité vers vous, et vous ne pourrez plus contester un paiement 3D Secure et vous faire rembourser.

C'est pour cela qu'il est important que votre banque adopte une méthode d'authentification solide.

Notez que si l'authentification est un échec et que la banque du commerçant réclame le recouvrement de la somme, votre banque est censée refuser. Si elle l'accepte malgré tout, vous pourrez contester ce débit et vous faire rembourser puisque rien n'aura prouvé que c'est vous qui avez effectué le paiement.

Dans la théorie, c'est bien:

• cela réduit les fraudes chez les commerçants.
• cela réduit la fraude pour les internautes.
• l'adoption grandissante de 3D Secure chez les marchands en ligne rendra la fraude en ligne de plus en plus difficile.
• les sites marchands adoptant 3D Secure pourront éviter de recourir à des entreprises comme FIA-NET (particulièrement pénible pour les clients).
• à aucun moment, le commerçant n'est en possession de ces informations complémentaires, et ne peut dons pas se les faire pirater. Vous ne saisissez ces informations que sur le site de votre banque.

Dans la pratique, les systèmes d'authentification faibles mettent l'internaute dans une mauvaise situation en cas de fraude.