Que se passe-t-il avec le système d’authentification 3D Secure en France ? Le protocole dédié au paiement sécurisé sur Internet, développé par Visa puis adopté par Mastercard, rencontre des soucis techniques depuis un mois.
« Des pannes à répétition avant Noël ! », s’étouffe René Cotton, co-fondateur de WiziShop (création de boutiques en ligne), dans une contribution blog diffusée le 28 novembre. Celui-ci s’appuie sur une série de tweets inquiétants de professionnels de l’Internet marchand qui remontent vers lui.
Dans les grandes lignes, 3D Secure est un système d’authentification permettant de renforcer la sécurité lors des achats effectués par les cyber-consommateurs. Au moment de l’e-paiement, les banques vérifient l’identité des porteurs de cartes (Carte Bleue, Visa et Mastercard) avant de valider la transaction.
Depuis 2008, elles poussent les sites marchands à accepter 3D Secure au nom de la lutte contre la fraude. Les réseaux bancaires disposent d’un levier pour inciter les gérants de boutiques en ligne à franchir le pas. Comment ? Ils mettent en avant les atouts de 3D-Secure via les packs de paiement électronique commercialisés auprès de ce segment de clientèle Internet marchand.
La jonction avec les intermédiaires stratégiques baptisés Prestataires de services de paiement ou PSP* est ainsi assurée.
Depuis début novembre, René Cotton recense donc des anomalies avec le système 3D Secure. « Le 7 novembre, une panne touche le réseau 3D Secure et principalement ceux qui souhaitent payer avec un carte Visa du Crédit Agricole », observe le manager de WiziShop.
En alimentant sa contribution blog d’une série de tweets qui constituent autant de signaux d’alarme, René Cotton considère que « la cause évoquée du dysfonctionnement est un certificat non mis à jour par le Crédit Agricole ».
« Tous les PSP ont désactivé au plus vite la vérification de ce certificat pour que les commandes puissent fonctionner. Il a fallu parfois 5 jours pour que cela soit fait (…) Il n’y a eu aucune communication officielle autour de cet incident et je serais très curieux de connaitre le manque à gagner total que cela a pu provoquer. »
On peut se pencher ici sur cette question importante pour les sites marchands au regard du poids que pèse 3D-Secure sur le marché du commerce électronique. Selon un baromètre Ogone (service de paiement en ligne, désormais propriété d’Ingenico) publié au printemps dernier, 19,4% des paiements par carte sont réalisés par la solution d’authentification 3-D Secure en France.
Mais près de 50% des commerçants ont choisi d’utiliser ce processus qui permet de vérifier que celui qui fait la transaction derrière son ordinateur est bien le porteur de la carte bancaire. Le niveau d’usage 3-D Secure varie vraiment en fonction des pays : ainsi, la majorité des paiements par carte passent par 3-D Secure au Royaume-Uni (52,5%), aux Pays-Bas (60,1%), en Belgique (81,8%) ou encore en Suisse (74,6%).
Les malheurs 3D-Secure s’accumulent. Un nouveau dysfonctionnement est repéré fin novembre. « Cette fois-ci, c’est le réseau BPCE (Banque Populaire – Caisse d’Epargne) qui est touché par le problème. Et là, malheureusement, les PSP n’ont aucun moyen de contourner le souci. Les serveurs ne répondant pas (sûrement un problème de charge), ils ne peuvent qu’attendre que Groupe BPCE réussisse à rétablir son service », relate le « lanceur d’alerte » René Cotton.
« Encore une fois, aucune communication officielle et aucun détail sur l’impact (qui, à mon avis, doit être beaucoup plus élevé que début novembre). »
C’est regrettable que le système 3D-Secure plante en pleine période de fièvre e-commerce en raison des effets Cyber Monday et Noël qui arrive à grand pas.
Selon le JDN qui a mené une enquête approfondie sur la série récente d’incidents, il est difficile de trouver des causes communes car les anomalies ont été recensées sur des réseaux bancaires différents et le nombre d’acteurs impliqués dans la chaîne 3D Secure rend la compréhension encore plus ardue.
Nous avons contacté MasterCard qui devrait nous fournir prochainement des précisions sur le sujet.
Pour complément, voici une série de tweets signalant des soucis de paiement via 3D-Secure et compilée par WiziShop :
Depuis son implantation sur marché français en 2008, les sites marchands regardent avec un certain intérêt la solution 3D Secure. Ils reconnaissent que ce n’est pas la panacée. Notamment en termes d’usage avec des risques d’abandon d’achats en raison d’une certaine complexité qui peut dérouter le cyber-consommateur.
Par exemple, pour boucler une transaction en ligne via 3D Secure, les clients du Crédit Mutuel se souviennent de la méthodologie indigeste. Wikipedia la rappelle : il fallait indiquer l’un des codes inscrits sur sa « carte de clés personnelles » (en fait, une grille de 64 codes à 4 chiffres dans laquelle il faut piocher le bon code en fonction de la ligne et de la colonne demandée par le site web) et un code reçu par e-mail à l’adresse liée à son compte bancaire.
Maintenant, le Crédit Mutuel privilégie un système d’authentification plus simple par envoi d’un SMS sur le téléphone mobile du client.
Malgré ces défauts, du côté de certains portails marchands importants comme Voyages-SNCF.com, on admet que 3D Secure constitue un outil pertinent pour endiguer la fraude sur Internet.
« Si les bénéfices de cette solution [3D Secure] sont indéniables, des freins à son déploiement existent », soulignait la FEVAD (principal club e-commerce en France) dans un rapport sur les moyens de paiement publié en octobre 2013.
A travers un tableau, elle recensait les atouts et les limites de cette solution. « Notamment le taux d’échec d’authentification qui reste anormalement élevé. »
Bientôt la prochaine génération 3D-Secure ou la succession ? En 2015, Mastercard et Visa compte remodeler le système 3D-Secure (connu aussi sous les noms de Verified by Visa et MasterCard SecureCode) selon un communiqué.
Du côté des cyber-consommateurs, les deux grands émetteurs de paiement électronique écarteraient le recours au mot de passe statique pour favoriser des systèmes de vérification par biométrie ou de token (jetons).
*Prestataires de services de paiement ou PSP : plateformes d’intermédiation chargées d’encaisser l’argent réglé par les cyber-consommateurs pour le compte des sites marchands. En France, on en recense quatre principaux PSP : Worldline (Atos), Paybox (Verifone), Ogone (Ingénico) et Monext (Crédit Mutuel Arkéa).
(Crédit photo : Shutterstock.com)
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…