En tant qu’acheteur ou e-commerçant, vous êtes probablement passé un jour par le système de sécurité 3D Secure (3DS) pour valider votre paiement en ligne. Ce protocole de sécurité est spécialement prévu pour garantir la sécurité des achats par carte bancaire sur Internet. Face à un monde de plus en plus numérique - régie par les nouvelles normes européennes (DSP2) et l’uniformisation des opérations de paiement - le 3DS est même voué à évoluer pour devenir encore plus performant contre la fraude. On vous explique tout dans les moindres détails.
Une fraude toujours omniprésente
Avec la pandémie, le e-commerce s’est vu propulsé dans les nouveaux moyens de consommation des individus. Les usages digitaux se sont multipliés, tout comme la fraude bancaire, qui a suivi la même expansion.
Un constat sans appel
Avec les progrès numériques et l’instauration de nouveaux modèles intégrant cet aspect, de nouvelles menaces ont fait leurs apparitions. Sournoises et considérables, ces fraudes peuvent avoir des répercussions dramatiques dans la vie des acheteurs, souvent peu méfiants.
Prenons l’exemple des banques : les agences sont aujourd’hui plus responsables, accordent moins de rendez-vous en physique et privilégient les canaux digitaux pour les échanges. Ainsi, cela génère moins de consommation de papier et beaucoup plus d’usage numérique. Problème ? Cela génère un nombre conséquent de partage de données - considérées comme sensible - et in fine, augmente les risques d’attaques et de fraudes.
En parallèle, les informations des cartes de crédit sont de plus en plus recherchées par les fraudeurs sur le Dark Web, ce qui nourrit ce marché parallèle et occasionne toujours plus de victimes. L’impact d’une cyberattaque sur les services bancaires peut être dévastatrice pour eux. Et pour cause, 18 millions de personnes ont été victimes de la cybercriminalité en France en 2020 (d’après une étude Norton). Les plateforme et moyens de paiements devaient donc réagir pour lutter contre cette fraude !
Un contexte propice à l’explosion de la cybercriminalité
En 2020, avec la pandémie mondiale, les usages des consommateurs ont évolué. Entre télétravail, achats et commandes des courses en ligne, cours en visio, jeux vidéo, plateformes collaboratives pour toujours rester en contact, et téléchargement d’outils de communication, le nombre d’heures passées devant les écrans (ordinateur et smartphone confondus) en 2020 a explosé, avec une augmentation de 46 % par rapport à 2019 (source Médiamétrie). Parallèlement, le nombre de cyberattaque a, lui aussi, explosé avec une hausse de + 255 % en 2020 (chiffres de l’ANSSI), avec une augmentation exponentielle pour le phishing (hameçonnage), avec 67 000 transactions frauduleuses (source Febelfin).
3-D Secure, quésaco ?
Déployé sous les appellations commerciales « Verified By Visa » et « MasterCard SecureCode », ce système de sécurisation et d'authentification des paiements par carte bancaire sur Internet a été lancé en 2008 <par Visa et Mastercard. Il a pour objectif de limiter les risques de fraude sur Internet, notamment lors de piratage avec l'utilisation frauduleuse de numéros de carte de paiement. Il vérifie lors de chaque paiement en ligne que la carte est bien utilisée à instant T par son propriétaire.
Une histoire d’intérêt commun
En ce qui concerne l'acronyme 3-D, il correspond aux 3 entités qu'il met en relation : le commerçant ou la banque créditée, la banque émettrice de la carte de paiement et le système de carte bancaire (Visa ou Mastercard).
Dans la mise en pratique
Lors d'un achat garanti par 3-D Secure, vous devrez renseigner vos informations de carte bancaire : les 20 chiffres de votre carte, la date de validité et le cryptogramme à 3 chiffres au dos de la carte. Vous serez ensuite redirigé sur une page reliée à votre banque pour donner les informations complémentaires requises pour votre authentification. Vous obtiendrez ce renseignement au moyen d'un code reçu par SMS sur votre numéro de téléphone (relié préalablement à votre banque), ou encore via votre application bancaire, qui vous demandera une validation. Votre authentification est enfin terminée et votre achat finalisé en toute sécurité.
Le 3-D Secure 2.0
Cette version plus poussée du protocole de sécurité 3-D Secure a toujours pour objectif de limiter les risques de fraude et de protéger les informations bancaires des acheteurs sur Internet. C’est une version améliorée du 3D Secure qui permet une authentification plus fluide. Par exemple, l’authentification pourra se faire directement via un pop-up sur la même fenêtre d’achat au lieu de vous ouvrir une nouvelle fenêtre.
Mais cette fois-ci, la Strong Customer Authentification (SCA ou double authentification en français) n’est plus recommandée, mais imposée aux internautes qui effectuent leurs achats en ligne. En septembre 2019, les Regulatory Technical Standards (RTS), encadrées par l’Autorité Bancaire Européenne, ont défini cette Strong Customer Authentification par la combinaison d’au moins deux facteurs d’authentification parmi les suivants : le facteur connaissance (mot de passe, question secrète, code secret, etc.), le facteur de possession (téléphone mobile, appareil connecté, carte à puce, etc.) et le facteur d’inhérence (reconnaissance faciale, vocale ou empreinte digitale). Tout ce processus de validation et d’authentification s’est construit avec les banques institutionnelles, qui font office lien dans ce processus de vérification.
Dès lors, nous sommes passés d’une validation par envoi de code de vérification par SMS à une double authentification via plusieurs canaux.
Ce premier système d’authentification par SMS devrait disparaître en octobre 2021 pour être remplacé par le 3-DS 2.0. Cependant, la directive DSP2 prévoit quelques exceptions à la règle, pour des cas très précis.
Les dérogations à la double authentification
Vous l’aurez compris, cette nouvelle norme concerne tous les acteurs qui souhaitent interagir au sein de l’Europe. Ainsi, tous les paiements en ligne par carte sont soumis à cette double authentification lors d’un achat en ligne. Mais comme toute réglementation, elle comporte quelques exceptions pour lesquelles l’authentification par 3-D Secure n’est pas requise :
- les opérations à faibles montants comme les paiements inférieurs à 30 euros, pour lesquelles les risques de fraude sont faibles aux vues du montant limité.
- les opérations récurrentes et les abonnements : la DSP2 permet aux opérations récurrentes d’un même montant de ne plus s’authentifier à partir de la seconde opération. Une seule authentification est donc nécessaire, à moins que le montant de la transaction évolue. Dans ce cas, une nouvelle authentification sera demandée,
- les listes blanches : chaque usager a la possibilité de se créer sa propre liste blanche, comprenez liste de confiance. Cette liste est conservée par votre banque et exempte ses bénéficiaires de l’authentification 3-D Secure,
- les transactions de ventes à distance Mail Order Telephone Orders (MOTO) : ces transactions ne sont pas considérées comme des paiements électroniques, puisque passées par e-mail ou par téléphone. Elles sont donc exemptées de toute authentification,
- les transactions inter-régionales, pour tous les acheteurs ou marchands basés hors de l’Union européenne,
- les paiements par carte professionnelle.
Maintenant que tous est plus clair pour vous, vous n’avez plus qu’à passer aux normes. Et si vous êtes encore indécis, nos experts Pikka peuvent prendre le relais et vous accompagner dans cette mise à jour de votre e-boutique.