Qu’est-ce que le protocole 3D Secure et pourquoi est-il important pour les marchands ?


Post Image

Avec le développement du e-commerce, la fraude à la carte bancaire n’a cessé d’augmenter au fil des ans. En 2019, l’UE a enregistré des fraudes à la carte bancaire à hauteur de 1,55 milliard d’euros, la France affichant des pertes stupéfiantes de 440,9 millions d’euros, juste derrière le Royaume-Uni. 

Et bien que l’essor du e-commerce remonte à plusieurs années déjà, la pandémie a considérablement accéléré les achats en ligne. Selon une étude des Nations unies, certains pays ont enregistré une hausse de 7 % de leurs ventes au détail en ligne. 

Depuis la popularisation du e-commerce à la fin des années 1990 et au début des années 2000, l’Union européenne, les États-Unis, le Japon et de nombreux autres pays ont mis en place des solutions pour lutter contre la fraude en ligne. Car une chose est sûre : si les ventes en ligne augmentent, les fraudes à la carte bancaire aussi. 

L’histoire du protocole 3D Secure

En 2001, suite à la montée en flèche du e-commerce, Visa a mis en place le dispositif « Verified by Visa » (aujourd’hui appelé Visa Secure) pour lutter contre l’augmentation de la fraude liée aux transactions en ligne. Il consistait à vérifier numériquement l’identité des clients au moment du paiement. Ceci était important pour les marchands comme pour les émetteurs de cartes, car la fraude représentait pour eux une perte de revenus. 

Cette technologie a été adoptée par la suite par d’autres grandes sociétés de cartes de crédit et a contribué à standardiser la première version de ce qu’allait devenir 3D Secure. Mastercard et American Express ont ainsi créé leurs propres versions de ce système, appelées respectivement Identity Check and SafeKey.

Qu’est-ce que 3D Secure ? 

3D Secure (3DS) est un protocole standard de vérification de l’identité numérique auquel se conforment les organismes émetteurs de cartes. Il renforce la sécurité des consommateurs qui font des achats en ligne avec leur carte bancaire ou leur carte de crédit. 

L’objectif du protocole 3D Secure est de garantir que tout paiement en ligne par carte bancaire a bien été effectué par le véritable titulaire du compte. Il protège également les marchands contre les transactions frauduleuses et les pertes de revenus qui en découlent. En 2020, près de 9 marchands sur 10 ont déclaré avoir subi une perte de revenus en raison de la fraude. 

3D désigne les 3 Domaines impliqués dans le protocole :

  • L’émetteur de la carte, par exemple Visa ou Mastercard ;
  • Le marchand qui reçoit le paiement en échange de ses biens ou services ;
  • La plateforme 3DS qui fonctionne comme une plateforme sécurisée entre le consommateur et le marchand.

Deux versions de 3DS

Actuellement, deux versions du protocole 3D Secure coexistent et répondent aux exigences européennes en matière d’authentification forte du client (Strong Customer Authentication ou SCA).

3DS1 – début des années 2000

La première version de 3DS permettait de s’authentifier grâce à un mot de passe à usage unique envoyé par SMS ou par mail. Mais pour les utilisateurs de téléphones portables qui souhaitaient effectuer la vérification depuis leur téléphone, la page d’authentification était rarement conviviale et nécessitait de zoomer pour trouver l’endroit où saisir le code.

En plus des difficultés de navigation pour les consommateurs, cette situation engendrait beaucoup de frustrations. Les cyberconsommateurs sont rarement patients, et ces complications supplémentaires poussaient un grand nombre d’entre eux à renoncer à leur achat, ce qui impactait les revenus des marchands. Les marchands ont également mis du temps à d’adopter cette technologie, car ils savaient qu’elle pouvait augmenter leur taux d’abandon de panier. 

Bien que la première version de 3DS ait contribué à réduire la fraude, elle n’était pas adaptée au téléphone mobile. Personne alors n’aurait pu imaginer que, moins de 20 ans plus tard, nous nous promènerions tous avec des ordinateurs de poche qui nous permettraient d’effectuer nos achats en ligne !

3DS1 est la méthode qui a été utilisée dès le début des années 2000, et elle fonctionne encore aujourd’hui comme méthode d’authentification. Elle fait actuellement office de sauvegarde pour 3DS2, le nouveau protocole, mais elle sera progressivement abandonnée au sein de l’Union européenne d’ici la fin de l’année 2022.

3DS2 – 2019

Cette méthode améliorée du protocole 3D Secure a été largement perfectionnée et tient compte des usagers mobiles qui utilisent désormais des applications bancaires sécurisées pour authentifier leurs achats, alors qu’auparavant, cette procédure se faisait par SMS ou par mail. Aujourd’hui, plus de 50 % des transactions sont effectuées à partir d’un téléphone mobile. Les marchands ont donc tout intérêt à optimiser leurs procédures de paiement pour qu’elles soient aussi fluides que possible. En outre, la législation européenne exige que les marchands mettent à jour leurs flux de paiement pour ajouter cette authentification supplémentaire. 

Une transaction 3DS2 peut désormais être réalisée depuis un navigateur web, une application mobile ou un appareil connecté. Elle a été conçue spécifiquement pour prendre en charge les expériences mobiles natives, en particulier les méthodes d’authentification biométriques comme les empreintes digitales ou la reconnaissance faciale. 

L’une des caractéristiques de 3DS2 est qu’il intègre beaucoup plus de données qu’auparavant dans sa prise de décision. Désormais, 150 points de données sont collectés pour chaque transaction, contre à peine 15 auparavant. À la manière d’un garde-barrière, cette technologie décide d’approuver ou non une transaction. Parmi les points de données collectés pesant dans la prise de décision figurent entre autres l’adresse IP du navigateur, la langue du navigateur et le code postal d’expédition. 

La grande majorité des transactions jugées à faible risque sont approuvées sans qu’aucune vérification supplémentaire ne soit demandée au consommateur. C’est ce qu’on appelle une « approbation fluide ». Cela réduit les frustrations et améliore l’expérience utilisateur, tout en garantissant la sécurité des transactions. Pour les autres transactions plus risquées, le consommateur peut être invité à s’authentifier par le biais d’un mot de passe ou d’une identification biométrique. Enfin, certaines transactions peuvent finalement être considérées frauduleuses, ce qui signifie que cette technologie remplit bien sa mission !

Avantages

Utiliser la nouvelle version de 3DS présente de nombreux avantages. Mais soulignons tout d’abord que pour les transactions entre pays de l’UE, les marchands n’ont pas le choix : c’est une législation européenne à laquelle ils doivent se conformer. En tant que prestataire de services de paiement, SlimPay veille heureusement à ce que ses clients bénéficient d’un niveau de protection plus élevé contre la fraude et soient conformes à la directive européenne. 

Plus de données pour de meilleures évaluations — avec des données 10 fois plus nombreuses, comme indiqué ci-dessus, les émetteurs de cartes peuvent améliorer leur évaluation du risque et authentifier directement un paiement, ou demander une authentification supplémentaire si nécessaire. Pour les transactions présentant un risque faible, soit plus de 90 % de l’ensemble des transactions, le consommateur est dirigé vers un système de paiement fluide, qui ne nécessite pas de mot de passe à usage unique, de données biométriques ou d’autres méthodes d’authentification. 

Une expérience utilisateur améliorée— Les consommateurs ont un parcours de paiement simplifié et, bien souvent, ils n’ont pas besoin de fournir une authentification supplémentaire si la transaction est fiable. Pour tout paiement considéré comme plus risqué, les consommateurs seront invités à s’authentifier au moyen de données biométriques (reconnaissance des empreintes digitales ou du visage) ou d’un mot de passe à usage unique. En tirant parti de ces données, les émetteurs de cartes affichent des taux d’acceptation plus élevés et proposent un parcours de paiement fluide pour la majorité des transactions. 

Transfert de responsabilité— En cas de fraude, les marchands évitent d’être responsables des chargebacks. Si un client s’authentifie à l’aide de 3DS et que des frais frauduleux surviennent, la responsabilité est transférée du marchand à la banque émettrice de la carte. Cela évite aux marchands les problèmes liés aux chargebacks qui renvoient aux consommateurs une image négative du marchand dans 27 % des cas, et ce quel que soit le dénouement. 

Une réduction du risque de fraude— L’un des principaux avantages de 3DS est qu’il réduit le risque de fraude. En fournissant un niveau supplémentaire de sécurité, les marchands acceptent les paiements provenant de clients qui correspondent réellement au nom du titulaire de la carte et qui sont légitimes. Même en cas de vol des données de la carte, les fraudeurs auraient également besoin d’accéder à l’application bancaire et/ou aux SMS du consommateur dans un court laps de temps. Bien que la fraude à la carte bancaire soit toujours possible, le système 3DS en réduit considérablement le risque. 

Des marchands plus satisfaits— Avec la réduction des cas de fraude, les marchands peuvent accroître leurs ventes et réduire les transactions litigieuses.

Exceptions au protocole 3D Secure

Pour les paiements ponctuels uniquement, la DSP2 prévoit un certain nombre de cas où le payeur est dispensé de procéder à une authentification forte.

Les paiements inférieurs à 30 €

Tous les paiements inférieurs à 30 € sont soumis à cette exemption, ce qui correspond à environ 50 % des transactions en ligne. Toutefois, ces exemptions ne sont pas valables si le montant total débité sur la carte depuis la dernière authentification excède 100 €, ou si plus de cinq transactions ont été effectuées sur la carte depuis la dernière authentification.

Abonnements à montant fixe

Lorsqu’un payeur effectue une série de paiements récurrents du même montant au même marchand, l’authentification forte ne sera requise que pour le premier paiement : il n’y aura pas d’authentification pour les paiements suivants. C’est le cas notamment des abonnements dont le paiement se fait par carte, au lieu d’un prélèvement automatique. 

Bénéficiaires de confiance

Un payeur peut choisir d’ajouter un marchand à sa liste de bénéficiaires de confiance afin de ne plus avoir à s’authentifier pour les paiements futurs.

Paiements à faible risque / Analyse du risque

Exemption à l’initiative de la banque émettrice : l’émetteur de la carte peut appliquer une exemption TRA (Transaction Risk Analysis), même si le marchand n’en a pas fait la demande. 

Exemption à l’initiative du PSP : Les prestataires de services de paiement (SlimPay est un PSP) peuvent dans certaines circonstances demander à ne pas appliquer d’authentification forte pour une transaction, si leurs taux de fraude ne dépassent pas certains seuils prédéfinis.

Transactions hors du champ d’application

Les transactions initiées par le marchand (y compris les abonnements variables)

  • Paiements dont le montant n’est pas connu au départ. Il s’agit de paiements effectués en l’absence du titulaire de la carte, à l’aide des informations de carte mémorisées.
  • Pour bénéficier de cette exemption, le stockage des données de la carte doit être authentifié.
  • Le commerçant doit également obtenir l’accord du payeur (mandat) pour être autorisé à débiter sa carte ultérieurement.

Les transactions hors Espace économique européen (ou one-leg payments)

  • Lorsque la banque du payeur ou celle du marchand se trouve en dehors de l’UE, aucune authentification ne sera effectuée.

Les commandes par mail ou téléphone (MOTO)

  • Les paiements par mail et par téléphone ne sont pas considérés comme des paiements électroniques. Par conséquent, il n’est pas nécessaire d’utiliser le protocole 3DS2 pour autoriser le paiement.

Le protocole sécurisé 3DS a été mis en place pour protéger les consommateurs, mais aussi les marchands et les émetteurs de cartes. Au cours des deux dernières décennies, la technologie du protocole 3D Secure a évolué pour s’adapter aux habitudes de consommation modernes et lutter contre la hausse du nombre de fraudes.

Les cyberconsommateurs étant de plus en plus nombreux, la vigilance des commerçants s’impose, car les fraudeurs cherchent en permanence des moyens d’exploiter les failles de sécurité pour effectuer des transactions illicites.