3-D Secure

Un article de Wikipédia, l'encyclopédie libre.
Aller à : navigation, rechercher

3-D Secure est un protocole sécurisé de paiement sur Internet.

Déployé sous les appellations commerciales Verified By Visa et MasterCard SecureCode, 3-D Secure a été développé par Visa et Mastercard pour permettre aux marchands de limiter les risques de fraude sur Internet, liés aux tentatives d’usurpation d’identité. Il consiste à s’assurer, lors de chaque paiement en ligne, que la carte est utilisée par son véritable titulaire.

Dans ce cas où, à la fois le commerçant et la banque du porteur de la carte sont équipés, une étape supplémentaire a lieu au moment du paiement. En plus du numéro de carte bancaire, de la date d'expiration de la carte et des trois chiffres du code de sécurité (imprimés au dos de la carte), l’internaute doit saisir un mot de passe, tel que sa date de naissance (authentification simple) ou un code dynamique à usage unique (authentification forte).

Description[modifier | modifier le code]

Le concept de base de ce protocole (basé sur l'échange de messages XML) est de lier le processus d'autorisation financière avec une authentification en ligne. Cette authentification est basée sur un modèle comportant trois domaines (d'où le nom 3D) qui sont :

  • le commerçant et la banque qui recevra les fonds ((en) Acquirer Domain) ;
  • la banque qui a délivré la carte de paiement ((en) Issuer Domain) ;
  • le système de carte bancaire ((en) Interoperability Domain).

Le protocole utilise des messages XML envoyés via des connexions SSL (qui garantissent l'authentification du serveur et du client par des certificats numériques).

Modalités[modifier | modifier le code]

L'activation du système se fait pour le client lors du 1er achat sur un site web 3D-Secure.

Selon la banque émettrice de la carte, les modalités d'authentification varient :

  • Crédit mutuel et CIC : le client doit au choix, soit indiquer l'un des codes inscrits sur sa « carte de clés personnelles » (une grille de 64 codes à 4 chiffres dans laquelle il faut piocher le bon code en fonction de la ligne et de la colonne demandée par le site web) et un code reçu par e-mail à l'adresse liée à son compte bancaire, soit indiquer un code reçu par SMS sur le n° de téléphone associé à son compte bancaire ;
  • Axa Banque : un code unique est envoyé par SMS
  • Caisse d'épargne : un code est envoyé par SMS. Si le client ne veut pas utiliser ce système il peut utiliser un boitier où il insère sa carte dans un boitier qui ressemble à une calculatrice et entre son code PIN et un code à usage unique apparaît.
  • HSBC : le client doit indiquer sa date de naissance ; depuis juin 2010 un code est envoyé par SMS[1] ;
  • BNP Paribas : le client doit indiquer sa date de naissance ; depuis juillet 2009 un code est envoyé par SMS[2]. Le client peut opter pour un authentifieur matériel Digipass[3] ;
  • Groupe Société générale (dont Boursorama, Crédit du Nord) : le client doit indiquer sa date de naissance, depuis septembre 2009 un code est envoyé par SMS ;
  • Groupe Crédit agricole (dont LCL) : depuis 2010, un code est envoyé par SMS, à défaut le client doit indiquer un mot de passe personnel créé lors de la première utilisation ;
  • BRED Banque populaire : une clé d'authentification Ipab, clé cryptographique format clé USB ;
  • Banques Populaires régionales et filiales (Crédit coopératif[4], Crédit maritime) : le client insère sa carte dans un boitier (préalablement paramétré par le client) qui ressemble à une calculatrice et entre son code PIN. Un code à usage unique apparaît. Si le client ne veut pas utiliser ce système, il peut recevoir un appel via serveur vocal ou un SMS sur son portable.
  • Groupama Banque : le client doit indiquer son nom, le code postal de sa résidence et sa date de naissance ;
  • La Banque postale : un code est envoyé par SMS ou une possibilité d'indiquer les quatre premiers chiffres de son numéro de contrat. La Banque postale appelle ce système le Certicode ;
  • ING Direct : un code est envoyé par SMS.

3D Secure peut aussi être actif sur des cartes de paiement/crédit (débitant au comptant ou à crédit sur un compte courant classique) :

  • cartes PASS (de Carrefour) : le client doit saisir son nom et prénom, sa date de naissance et reçoit un code par SMS sur son téléphone portable (numéro à renseigner la première fois).
  • Cartes ONEY (filiale de Auchan) : le client recoit un code par SMS sur son téléphone portable.

Critiques[modifier | modifier le code]

  • Le label « Vérifié par Visa » a été l'objet de critiques[5],[6] parce qu'il est difficile de faire la différence entre un pop-up authentique et celui qui aurait été généré par un site frauduleux. En effet le pop-up provient d'un domaine qui n'est pas forcément celui du site où a été fait l'achat, ni celui de la banque d'où provient la carte, et pas non plus celui de visa.com. Du fait, le système « Vérifié par Visa » a été lui-même la cible de phishing[7].
  • De même, pour les banques dont la validation 3-D Secure se fait via la date de naissance, le risque de fraude reste fort, car aujourd'hui, grâce aux nombreux réseaux sociaux (de type Facebook par exemple), il est très facile d'obtenir la date de naissance d'un internaute et donc contourner cette protection.
  • Certaines banques proposent, en cas d'impossibilité de recevoir le code par SMS, une méthode alternative souvent via courriel ce qui baisse aussi le niveau de sécurité [8].
  • Une transaction 3D Secure ne doit jamais être modifiée, de facto dès que le commerçant fait du débit partiel ou une duplication de la demande pour un débit supérieur, la protection 3D Secure n'est plus garantie.
  • Il n'est plus possible d'effectuer un achat par Internet pendant un déplacement à l'étranger (ex: réservation d'hôtel ou location de véhicule) si vous n'avez pas l'option Internationale dans votre abonnement mobile.

Baisse des ventes[modifier | modifier le code]

La baisse moyenne de chiffre d'affaires se situe entre 10 % et 15 % sur les commandes des marchands en ligne utilisant 3D Secure[9] éventuellement compensé[citation nécessaire] par le fait que dans le cas de sites 3D-Secure, c'est la banque et non le commerçant qui supporte le poids des fraudes à la carte (transfert des responsabilités voulu par la loi).

Voir aussi[modifier | modifier le code]

Notes et références[modifier | modifier le code]