Besoin d'un devis ou d'un conseil sur Shopify ? 📞 Appelez nous au 01 84 25 92 21

Comment fonctionne les paiements 3-D Secure ?

En tant qu’acheteur ou e-commerçant, vous êtes probablement passé un jour par le système de sécurité 3D Secure (3DS) pour valider votre paiement en ligne. Ce protocole de sécurité est spécialement prévu pour garantir la sécurité des achats par carte bancaire sur Internet. Face à un monde de plus en plus numérique - régie par les nouvelles normes européennes (DSP2) et l’uniformisation des opérations de paiement - le 3DS est même voué à évoluer pour devenir encore plus performant contre la fraude. On vous explique tout dans les moindres détails.

Protocole sécurisé de double authentification

Une fraude toujours omniprésente

Avec la pandémie, le e-commerce s’est vu propulsé dans les nouveaux moyens de consommation des individus. Les usages digitaux se sont multipliés, tout comme la fraude bancaire, qui a suivi la même expansion.

Un constat sans appel

Avec les progrès numériques et l’instauration de nouveaux modèles intégrant cet aspect, de nouvelles menaces ont fait leurs apparitions. Sournoises et considérables, ces fraudes peuvent avoir des répercussions dramatiques dans la vie des acheteurs, souvent peu méfiants.

Prenons l’exemple des banques : les agences sont aujourd’hui plus responsables, accordent moins de rendez-vous en physique et privilégient les canaux digitaux pour les échanges. Ainsi, cela génère moins de consommation de papier et beaucoup plus d’usage numérique. Problème ? Cela génère un nombre conséquent de partage de données - considérées comme sensible - et in fine, augmente les risques d’attaques et de fraudes.

Cybercriminalité

En parallèle, les informations des cartes de crédit sont de plus en plus recherchées par les fraudeurs sur le Dark Web, ce qui nourrit ce marché parallèle et occasionne toujours plus de victimes. L’impact d’une cyberattaque sur les services bancaires peut être dévastatrice pour eux. Et pour cause, 18 millions de personnes ont été victimes de la cybercriminalité en France en 2020 (d’après une étude Norton). Les plateforme et moyens de paiements devaient donc réagir pour lutter contre cette fraude ! 

Un contexte propice à l’explosion de la cybercriminalité

En 2020, avec la pandémie mondiale, les usages des consommateurs ont évolué. Entre télétravail, achats et commandes des courses en ligne, cours en visio, jeux vidéo, plateformes collaboratives pour toujours rester en contact, et téléchargement d’outils de communication, le nombre d’heures passées devant les écrans (ordinateur et smartphone confondus) en 2020 a explosé, avec une augmentation de 46 % par rapport à 2019 (source Médiamétrie). Parallèlement, le nombre de cyberattaque a, lui aussi, explosé avec une hausse de + 255 % en 2020 (chiffres de l’ANSSI), avec une augmentation exponentielle pour le phishing (hameçonnage), avec 67 000 transactions frauduleuses (source Febelfin).

3-D Secure, quésaco ?

Déployé sous les appellations commerciales « Verified By Visa » et « MasterCard SecureCode », ce système de sécurisation et d'authentification des paiements par carte bancaire sur Internet a été lancé en 2008 <par Visa et Mastercard. Il a pour objectif de limiter les risques de fraude sur Internet, notamment lors de piratage avec l'utilisation frauduleuse de numéros de carte de paiement. Il vérifie lors de chaque paiement en ligne que la carte est bien utilisée à instant T par son propriétaire.

3D Secure version 1

Une histoire d’intérêt commun

En ce qui concerne l'acronyme 3-D, il correspond aux 3 entités qu'il met en relation : le commerçant ou la banque créditée, la banque émettrice de la carte de paiement et le système de carte bancaire (Visa ou Mastercard).

Dans la mise en pratique

Lors d'un achat garanti par 3-D Secure, vous devrez renseigner vos informations de carte bancaire : les 20 chiffres de votre carte, la date de validité et le cryptogramme à 3 chiffres au dos de la carte. Vous serez ensuite redirigé sur une page reliée à votre banque pour donner les informations complémentaires requises pour votre authentification. Vous obtiendrez ce renseignement au moyen d'un code reçu par SMS sur votre numéro de téléphone (relié préalablement à votre banque), ou encore via votre application bancaire, qui vous demandera une validation. Votre authentification est enfin terminée et votre achat finalisé en toute sécurité.

Ecran d'authentification 3D Secure

Le 3-D Secure 2.0

Cette version plus poussée du protocole de sécurité 3-D Secure a toujours pour objectif de limiter les risques de fraude et de protéger les informations bancaires des acheteurs sur Internet. C’est une version améliorée du 3D Secure qui permet une authentification plus fluide. Par exemple, l’authentification pourra se faire directement via un pop-up sur la même fenêtre d’achat au lieu de vous ouvrir une nouvelle fenêtre.

 

Système vérification 3-D Secure

 

Mais cette fois-ci, la Strong Customer Authentification (SCA ou double authentification en français) n’est plus recommandée, mais imposée aux internautes qui effectuent leurs achats en ligne. En septembre 2019, les Regulatory Technical Standards (RTS), encadrées par l’Autorité Bancaire Européenne, ont défini cette Strong Customer Authentification par la combinaison d’au moins deux facteurs d’authentification parmi les suivants : le facteur connaissance (mot de passe, question secrète, code secret, etc.),  le facteur de possession (téléphone mobile, appareil connecté, carte à puce, etc.) et le facteur d’inhérence (reconnaissance faciale, vocale ou empreinte digitale). Tout ce processus de validation et d’authentification s’est construit avec les banques institutionnelles, qui font office lien dans ce processus de vérification.

Transaction 3D Secure avec authentification forte

Dès lors, nous sommes passés d’une validation par envoi de code de vérification par SMS à une double authentification via plusieurs canaux.

Ce premier système d’authentification par SMS devrait disparaître en octobre 2021 pour être remplacé par le 3-DS 2.0. Cependant, la directive DSP2 prévoit quelques exceptions à la règle, pour des cas très précis.

Les dérogations à la double authentification

Vous l’aurez compris, cette nouvelle norme concerne tous les acteurs qui souhaitent interagir au sein de l’Europe. Ainsi, tous les paiements en ligne par carte sont soumis à cette double authentification lors d’un achat en ligne. Mais comme toute réglementation, elle comporte quelques exceptions pour lesquelles l’authentification par 3-D Secure n’est pas requise :

  • les opérations à faibles montants comme les paiements inférieurs à 30 euros, pour lesquelles les risques de fraude sont faibles aux vues du montant limité.
  • les opérations récurrentes et les abonnements : la DSP2 permet aux opérations récurrentes d’un même montant de ne plus s’authentifier à partir de la seconde opération. Une seule authentification est donc nécessaire, à moins que le montant de la transaction évolue. Dans ce cas, une nouvelle authentification sera demandée,
  • les listes blanches : chaque usager a la possibilité de se créer sa propre liste blanche, comprenez liste de confiance. Cette liste est conservée par votre banque et exempte ses bénéficiaires de l’authentification 3-D Secure,
  • les transactions de ventes à distance Mail Order Telephone Orders (MOTO) : ces transactions  ne sont pas considérées comme des paiements électroniques, puisque passées par e-mail ou par téléphone. Elles sont  donc exemptées de toute authentification,
  • les transactions inter-régionales, pour tous les acheteurs ou marchands basés hors de l’Union européenne,
  • les paiements par carte professionnelle.

 

Maintenant que tous est plus clair pour vous, vous n’avez plus qu’à passer aux normes. Et si vous êtes encore indécis, nos experts Pikka peuvent prendre le relais et vous accompagner dans cette mise à jour de votre e-boutique.

 

Agence Pikka

 

📚 A lire aussi 👇

  • Interview d'Alexandre Bogunovic, fondateur de Fitena

    Pikka : Bonjour Alexandre, racontez-nous l’histoire de votre entreprise. Dans quel secteur évoluez-vous ? Alexandre de Fitena : Tout d'abord, Fitena, c'est une entreprise et une marque. Et plus pré...

  • Comment revendiquer ou créer votre fiche d'établissement Google ?

    Vous l’aurez sans doute compris, Google est un incontournable pour vous faire connaître auprès du public. Si vous y avez prêté attention, beaucoup d’établissements sont référencés sur Google lorsqu...

  • 10 sites e-commerce avec Shopify que vous ne soupçonniez pas

    Avec l’explosion du e-commerce ces dernières années, Shopify est sans doute le CMS E-commerce qui fait le plus parler de lui. Avec sa facilité de prise en main, son efficacité et les performances q...

  • La psychologie des couleurs

    En tant qu’entrepreneur, vous allez devoir promouvoir votre marque et assembler une multitude d’éléments cohérents et plaisants pour que tout ceci ne face plus qu’un et séduise vos prospects. Peu i...

  • Brexit : quelles sont les nouvelles règles ?

    Suite à la sortie du Royaume-Uni de l’Union européenne, les échanges commerciaux ont changé entre ces deux entités. Malgré ce coup de tonnerre, le 24 décembre 2020, un accord de commerce et de coop...

Laisser un commentaire

Veuillez noter que les commentaires doivent être approuvés avant d'être publiés