La technologie 3-D Secure permet de transmettre au serveur d’authentification de la banque du porteur, via les serveurs de VISA et MasterCard, une demande d’authentification du porteur de carte. Il s’agit de s’assurer lors de chaque paiement que la carte est bien utilisée par son titulaire. L’authentification du porteur se fait par la saisie d’un identifiant personnel. Si le porteur de carte est enrôlé, c’est-à-dire qu’il a reçu de sa banque un moyen d’authentification, il est redirigé après la saisie de son numéro de carte vers le site de sa banque qui lui proposera la méthode d’authentification qu’elle a choisi pour ses porteurs. Le serveur d’authentification de la banque transmet alors le résultat de cette authentification au commerçant qui la retransmet à la banque émetteur dans la demande d’autorisation. En cas d’absence ou d’authentification erronée, le paiement sur Internet ne peut avoir lieu. Cette authentification n’est valable que pour la transaction en cours. Elle ne peut être réutilisée pour une autre transaction.

Qu’est-ce qu’une authentification faible ?
Une authentification forte ?

Une authentification faible est dite rejouable : Elle est basée sur un élément statique comme une date de naissance, un code ou une question secrète. Une authentification forte se différencie par l’association de plusieurs éléments en vue d’assurer son inviolabilité : carte matricielle (carte « bataille navale »), mot de passe à usage unique envoyé par SMS, un code unique fourni par une « calculette ou une clé USB (boitier d’authentification), fonctionnant en liaison ou pas avec la carte de paiement. La banque de France a émis la recommandation de généraliser à partir de juin 2010 des solutions d’authentification forte pour l’accès à la banque en ligne et pour le paiement Internet.

Comment s’adapter aux différents moyens d’authentification mis en œuvre par les banques émettrices ?

C’est la solution mise en œuvre par le prestataire de paiement qui dialogue avec les banques émettrices et qui par conséquent s’adapte. C’est une chaîne sécurisée qui n’entraîne aucune complexité supplémentaire pour le commerçant car elle est d’ores et déjà intégrée par les prestataires de paiement.

Qu’en pense la Banque de France ?

La position de la Banque de France est claire et sans ambiguïté : Elle recommande aux banques la mise à disposition pour le 30 juin 2010 d’un moyen technique pour une authentification non-rejouable, donc forte, pour les paiements par carte CB, Visa ou MasterCard sur Internet et également pour l’accès aux portails en ligne des banques.

Les risques & opportunités

La sécurisation des paiements par carte ne pose pas toujours les problèmes auxquels on pense. En effet, on parle généralement de risque pour les titulaires de carte qui hésitent à fournir leur numéro pour une transaction Internet. On oublie cependant qu’en cas de contestation du titulaire, c’est le marchand qui devra rembourser ce dernier sans autre recours dans la majorité des cas. Soulignons que les craintes de détournement de numéros de carte ne sont pas fondées car l’Internet est devenu un des endroits où il est le plus difficile d’intercepter un numéro. C’est le résultat de l’utilisation de techniques de transport sécurisé telles que SSL et les contraintes relatives à la conservation et au chiffrement des numéros de carte.

Le e-commerçant est face à une réelle problématique : la répudiation

Cela signifie que si le titulaire d’une carte bancaire conteste avoir réalisé un achat sur Internet, le Commerçant doit le rembourser sans aucun recours dans la plupart des cas, dans un contexte hors 3-D Secure. Pour répondre à cette problématique le protocole 3-D Secure a été mis en place par VISA sous le label « Verified by Visa » et MASTERCARD avec « Mastercard SecureCode » permettant à la banque du porteur de s’assurer que l’acheteur est bien le titulaire de la carte. Dès lors qu’elle a répondu positivement à une demande d’authentification, elle est sujette au transfert de responsabilité et la banque acquéreur peut donner la garantie de paiement à son commerçant, quelle que soit la méthode d’authentification utilisée. Fin 2008, le transfert de responsabilité a été étendu à l’ensemble des transactions pour un commerçant équipé de 3-D Secure, que le porteur ait été authentifié ou non ; à exception près des authentifications erronées qui devront être stoppées par le commerçant. Pour que la garantie puisse s’appliquer, une demande d’autorisation, contenant le résultat de la mise en œuvre de 3-D Secure, devra être effectuée par le commerçant et acceptée en retour par la banque du porteur.

Est-ce que 3-D Secure éradique toutes les fraudes ?

La répudiation de paiement pour « motif fraude – usurpation d’identité » n’est plus possible. Cependant, la répudiation pour « litige commercial » reste possible. Seuls les paiements à l’acte effectués sur votre site internet sont protégés. Les transactions Vente A Distance (téléphone, courrier) ne sont donc pas concernés. D’autre part, il existe quelques exceptions à 3-D Secure dans certains cas de porteurs étrangers.. Il est donc recommandé de considérer une politique globale de sécurité appuyée pardes solutions de scoring.

Est-ce que 3-D Secure complexifie les achats de mes clients ? L’authentification introduit une étape nouvelle dans le processus d’achat : Lorsqu’un client souhaitera effectuer un paiement sur votre site, il sera dirigé vers le site de sa banque (après la saisie de son numéro de carte), sur lequel il devra s’authentifier afin de valider le règlement de son achat.

Est-ce que 3-D Secure va permettre de gérer les transactions suivantes ?

• Paiements en « n fois » : OUI mais uniquement la 1ère transaction en garantie,
• Encaissement différé : OUI, à condition de ne pas dépasser le délai indiqué dans le contrat d’acceptation (en général 7 jours)

Quel intérêt à utiliser 3-D Secure si une empreinte de carte bancaire est effectuée à la commande ?

Pour certains secteurs d’activité, le délai de réassortiment est relativement élevé et impose au marchand d’enregistrer à la commande les coordonnées bancaires du client pour le débiter effectivement après un certain temps. 3-D Secure ne s’appliquera qu’à la première transaction de prise d’empreinte (1 à 2 EUR). La transaction véritable ne sera pas protégée d’un risque de répudiation. Néanmoins, le marchand reçoit la preuve de l’authentification de son client et bénéficie ainsi d’une information à valeur ajoutée dans l’évaluation des risques potentiels. Il a ainsi la preuve que celui qui déclenche la commande est le porteur légitime, même si celui-ci peut toujours répudier au final.

Comment mettre en œuvre le dispositif 3-D Secure dans mon site e-commerce ?

Il vous suffit de souscrire un avenant à votre contrat de vente à distance et de demander activation à votre prestataire de paiement pour que le dispositif 3-D Secure soit opérationnel. Si vous utilisez un système de redirection (Atos Worldline Sips Payment, Monext Payline, Paybox System, Ogone e-Commerce), la bascule vers 3-D Secure est transparente. Si vous utilisez une solution interfaçée, il est nécessaire de construire les échanges d’authentification. A cet effet, les équipes techniques des différents prestataires de paiement sont à votre disposition.

Combien de temps est valide une autorisation en 3D-Secure ?

Sa durée de validité est identique à une autorisation classique, soit 7 jours en général.

Contestation du porteur avec authentification ?

Elle ne pourra pas donner lieu à un impayé pour le commerçant. Elle sera réglée entre le porteur et sa banque.

GLOSSAIRE

ACS : Serveur d’authentification de la banque émettrice de la carte

Authentification : Preuve par l’internaute qu’il est le titulaire légitime de la carte. Cette preuve est fournie par la saisie d’un mot de passe sur l’ACS. Authentification faible, le mot de passe est statique. Authentification forte, le mot de passe est dynamique, différent à chaque transaction (p.ex. reçu par SMS)

Directory : Annuaire contenant les cartes déclarées « enrôlées » 3-D Secure et les URL des ACS correspondants.

Enrôlement : procédure consistant à déclarer aux annuaires (Directory) Visa ou MasterCard que le porteur de carte dispose d’un mode d’authentification

Liability Shift : Transfert de la charge des impayés, en cas de fraude, à la banque émettrice de la carte et dont les règles sont fixées par les systèmes cartes (Cartes Bancaires, VISA, MasterCard)

MPI : Merchant Plug-In. Programme intégré à l’application de paiement du commerçant, permettant de gérer les dialogues avec les Directories et les ACS en vue de permettre à l’acheteur de s’authentifier.

PAReq : Payer Authentication Request (demande d’authentification du porteur de carte) Message permettant l’accès à l ’ACS de la banque du porteur et déclenchant la phase d ’authentification.

PARes : Payer Authentication Response. Collecte du résultat de l’authentification

VEReq : Verification Enrollment Request. Message permettant l’accès au Directory Server. Phase de vérification de l’inscription de la carte

VERes : Verification Enrollment Response. Collecte du résultat de l’inscription de la carte au programme 3-D Secure (enrôlement)