Accueil🇫🇷Chercher

3-D Secure

3-D Secure est un protocole sécurisé de paiement sur Internet. Déployé sous les appellations commerciales « Verified By Visa » et « MasterCard SecureCode », 3-D Secure a été développé par Visa et MasterCard pour limiter les risques de fraude sur Internet, liés à l'utilisation frauduleuse de numéros de carte de paiement. Il a pour but de s’assurer, lors de chaque paiement en ligne, que la carte est utilisée par son véritable titulaire.

Image illustrant 3-D Secure (Schéma Anglais)

Dans le cas où, à la fois le commerçant et la banque du porteur de la carte sont équipés, une étape supplémentaire a lieu au moment du paiement. En plus du numéro de carte bancaire, de la date d'expiration de la carte et des trois chiffres du code de sécurité (imprimés au dos de la carte), l'internaute peut devoir saisir un mot de passe, sa date de naissance ou un code dynamique à usage unique[1].

Description

Le concept de base de ce protocole (basé sur l'échange de messages XML) est de lier le processus d'autorisation financière avec une authentification en ligne. Cette authentification est basée sur un modèle comportant trois domaines (d'où la mention « 3D ») qui sont :

  1. Le commerçant et la banque qui recevra les fonds (en anglais : Acquirer Domain) ;
  2. La banque qui a délivré la carte de paiement (en anglais : Issuer Domain) ;
  3. Le système de carte bancaire (en anglais : Interoperability Domain).

Le protocole utilise des messages XML envoyés via des connexions SSL (qui garantissent le chiffrement des requêtes ainsi que l'authentification du serveur et du client par des certificats numériques).

Modalités

Selon la banque émettrice de la carte, les modalités d'authentification varient.

Quelques exemples de banques françaises (le protocole est applicable en France depuis le [2]) :

  • CrĂ©dit mutuel et CIC : le client doit au choix, soit indiquer l'un des codes inscrits sur sa « carte de clĂ©s personnelles » (une grille de 64 codes Ă  quatre chiffres dans laquelle il faut piocher le bon code en fonction de la ligne et de la colonne demandĂ©e par le site web) et un code reçu par e-mail Ă  l'adresse liĂ©e Ă  son compte bancaire, soit directement via l'application installĂ©e sur son smartphone, qui lui envoie une alerte lorsqu'il y a besoin de valider ; S'agissant de la CIC et depuis 2021 pour mise en conformitĂ© avec la DSP2, le client doit nĂ©cessairement saisir un code donnĂ© par l'application spĂ©cifique installĂ© sur son smartphone ou un code fourni par le Digipass qui est un boitier fourni par la banque.
  • Barclays, ING, HSBC et Axa Banque : un code Ă  usage unique est envoyĂ© par SMS
  • Caisse d'Ă©pargne : un code est envoyĂ© par SMS. Si le client ne veut pas utiliser ce système il peut utiliser un boitier oĂą il insère sa carte dans un boitier qui ressemble Ă  une calculatrice et entre son code PIN et un code Ă  usage unique apparaĂ®t.
  • BNP Paribas : le client doit indiquer sa date de naissance ; depuis un code est envoyĂ© par SMS. Le client peut opter pour un authentifieur matĂ©riel Digipass ;
  • Groupe SociĂ©tĂ© gĂ©nĂ©rale (dont Boursorama, CrĂ©dit du Nord) : Un code est envoyĂ© par SMS. De plus, avec l'application pour smartphone spĂ©cifique, il peut valider l'opĂ©ration en se connectant avec son application ;
  • Groupe CrĂ©dit agricole (dont LCL) : depuis 2010, un code est envoyĂ© par SMS, Ă  dĂ©faut le client doit indiquer un mot de passe personnel crĂ©Ă© lors de la première utilisation ;
  • BRED Banque populaire : une clĂ© d'authentification Ipab, clĂ© cryptographique format clĂ© USB ;
  • Banques Populaires rĂ©gionales et filiales (CrĂ©dit coopĂ©ratif, CrĂ©dit maritime) : le client insère sa carte dans un boitier (prĂ©alablement paramĂ©trĂ© par le client) qui ressemble Ă  une calculatrice et entre son code PIN. Un code Ă  usage unique apparaĂ®t. Si le client ne veut pas utiliser ce système, il peut recevoir un appel via serveur vocal ou un SMS sur son portable.
  • Groupama Banque : le client doit indiquer son nom, le code postal de sa rĂ©sidence et sa date de naissance ;
  • La Banque postale : un code est envoyĂ© par SMS uniquement (système « Certicode » ), ou bien un code a Ă©tĂ© prĂ©alablement dĂ©fini par l’utilisateur (système « Certicode Plus »);
  • Compte-Nickel (Financière des Paiements Electroniques) : un code Ă  usage unique est envoyĂ© par SMS au client lors de son achat.

3-D Secure peut aussi être actif sur des cartes de paiement/crédit (débitant au comptant ou à crédit sur un compte courant classique) :

  • Cartes PASS (de Groupe Carrefour) : le client doit saisir son nom et prĂ©nom, sa date de naissance et reçoit un code par SMS sur son tĂ©lĂ©phone portable (numĂ©ro Ă  indiquer la première fois).
  • Cartes ONEY (filiale de Auchan Holding) : le client reçoit un code par SMS sur son tĂ©lĂ©phone portable.
  • Cartes Banque Casino : le client reçoit un code par SMS sur son tĂ©lĂ©phone portable

Critiques

Le label « Vérifié par Visa » a été l'objet de critiques[3] parce qu'il est difficile de faire la différence entre un pop-up authentique et celui qui aurait été généré par un site frauduleux. En effet, le pop-up provient d'un domaine qui n'est pas forcément celui du site où a été fait l'achat, ni celui de la banque d'où provient la carte, et pas non plus celui de visa.com. De ce fait, le système « Vérifié par Visa » a été lui-même la cible d'hameçonnage[1] - [4].

La réception de SMS peut poser problème à l'étranger. Il est également impossible d'effectuer un achat à distance lorsque le client se trouve dans une zone non couverte par le réseau de téléphonie portable (campagne, montagne, voire dans certains lieux de grandes villes). Certaines banques proposent, en cas d'impossibilité de recevoir le code par SMS, une méthode alternative[5], souvent via courriel, ce qui présente toutefois un degré de sécurité inférieur[6].

Une transaction 3-D Secure ne doit jamais être modifiée, de facto dès que le commerçant fait du débit partiel ou une duplication de la demande pour un débit supérieur, la protection 3-D Secure n'est plus garantie.

Le nombre d'échecs de transaction avec 3D Secure est relativement élevé: SMS non reçu, connexion au site impossible...

Baisse des ventes

La baisse moyenne de chiffre d'affaires se situe entre 10 % et 15 % sur les commandes des marchands en ligne utilisant 3-D Secure, éventuellement compensé par le fait que dans le cas de sites 3-D Secure avec utilisation d'une carte associée ou non à 3-D Secure, c'est la banque émettrice de la carte et non le commerçant qui supporte le poids des fraudes à la carte (transfert des responsabilités).

3D Secure 2.0

À l’origine, les paiements en ligne étaient basés sur l’utilisation d’ordinateurs et de navigateurs. Mais ils peuvent aussi, à présent, être effectués en utilisant des sites et applications mobiles disponibles sur des terminaux Android, iOS et Windows. Le cahier des charges de 3D Secure 2.0 a été écrit pour fournir un support aux paiements mobiles, une intégration aux navigateurs et applications mobiles, une sécurisation axée sur le risque, une authentification multifactorielle et aux porte-monnaies électroniques. La procédure d’authentification 3D Secure est aussi complétée par l’utilisation de jetons d’authentification ou “tokens” : numéros de cartes de crédit à usage unique. Bien qu’ils ne fassent pas officiellement partie du standard, ils fournissent une protection plus efficace aux détenteurs de cartes bancaires contre les contrefaçons, utilisations frauduleuses des comptes et autres formes de fraudes[7].

L’un des atouts majeurs de 3DS 2.0 est la possibilité d’activation de l’authentification sur une plus large gamme de terminaux incluant les téléphones portables, consoles de jeux, montres et télévisions connectées[7]. Cela permet une authentification depuis l’application fournie par le vendeur lorsque la transaction est initiée sur un appareil mobile, depuis le navigateur lorsque la transaction est initiée sur un site web ou depuis la console pour les consoles de jeux qui ne sont basées ni sur un navigateur ni sur une application. De cette manière, l’authentification est possible sur pratiquement tous les appareils connectés sur lesquels des achats peuvent être effectués. Cette approche indépendante du type d’appareil utilisé permet aux vendeurs d’offrir une plateforme de vente étendue tout en assurant une procédure d’achat sécurisée sur les appareils et systèmes connectés.

Notes et références

(en) Cet article est partiellement ou en totalité issu de l’article de Wikipédia en anglais intitulé « 3-D Secure » (voir la liste des auteurs).

Articles connexes

Cet article est issu de wikipedia. Text licence: CC BY-SA 4.0, Des conditions supplémentaires peuvent s’appliquer aux fichiers multimédias.