Orange Bank

3D Secure, ID Check, Verified by VISA, Mastercard Secure Code

En utilisant votre carte bancaire sur internet, vous avez probablement déjà rencontré un message indiquant que vous êtes redirigé sur le site de votre banque afin de finaliser la transaction.

Vous êtes alors invité soit : à renseigner un code obtenu par SMS, à valider au sein de l’application de votre banque, à communiquer votre date de naissance, à répondre à une question secrète ou tout simplement à patienter pour approuver la transaction.

Ce mécanisme s’appelle 3D Secure et on abrège en 3DS. Il va prendre d’autres dénominations commerciales : Identity Check ou Secure Code chez Mastercard, SafeKey chez American Express et enfin Verified by VISA chez VISA.

Le 3DS dépend de 2 facteurs : votre carte doit être enrôlé sur ce dispositif et le commerçant doit l’invoquer au moment du paiement.

La compatibilité de votre carte

Toutes les banques ont rendues leurs cartes compatibles avec ce mécanisme de protection. La raison principale étant que si le commerçant invoque cette protection et que votre carte ne s’en trouve pas compatible alors la transaction pourra être refusée par le commerçant.

A ce jour, quelques Fintech n’ont pas intégré ce mécanisme. On peut citer Lydia, Revolut, Yeeld ou encore Curve. On s’arrête aux principales du moment.

Du coté des bons élèves, on citera bunq, N26 et TransferWise. Elles sont les premières à avoir intégrer Mastercard Identity Check (la nouvelle évolution de 3DS, on y reviendra plus tard).

D’autres, un peu en retard, sont encore sur l’ancien système (SMS, date de naissance, question secrète) : Max, Morning, Compte Nickel, Orange Bank,… ne les blâmons pas.

Un choix et une décision du commerçant

C’est du côté commerçant que le passage au travers du système 3DS va se décider. Chez certains commerçants, c’est systématique, toutes les transactions doivent passer ce filtre. D’autres vont opter pour un système sélectif, le 3DS sera donc débrayé selon certaines règles (par exemple, vous êtes un client déjà connu, le montant de la transaction est faible, le produit n’est pas à risque,…). Oubliez « IA », « Machine Learning » et tous les autres mots en vogues, ce sont simplement des règles et en fonction du résultat, le 3DS est débrayé.

Le commerçant n’a pas toujours la possibilité de débrayer le 3DS. Certaines banques (coté commerçant), obligent ce dernier à réaliser toutes les transactions en 3DS, généralement après des nombreuses contestations de paiements chez ce dernier.

Paiement refusé, contactez votre banque !

Lorsque le commerçant invoque la sécurisation via le 3DS, il attend un retour de votre banque sur cette authentification. La banque peut répondre de plusieurs manières : Authentification Réussie, Authentification Échouée, Non Compatible,…

Selon la réponse, le commerçant peut décider de refuser la transaction et vous indiquer « Paiement refusé » alors que votre banque indique avoir acceptée la transaction. Chaque commerçant a ses règles. Certains vont tout de même accepter le paiement même si votre émetteur de carte s’annonce comme non compatible avec une authentification complète. D’autres vont simplement refuser.

Lorsque l’authentification 3DS est effectuée avec succès, le risque sur la transaction est transféré du commerçant à votre banque. C’est donc cette dernière qui devra supporter les pertes s’il y a fraude. Le commerçant a l’assurance de conserver les fonds (sauf manquement grave à ses obligations).

C’est pour cette raison que de nombreux commerçants invoquent le 3DS pour votre paiement et refuseront votre transaction si le 3DS n’est pas effectué en intégralité.

Le fonctionnement du 3DS sur le serveur de votre banque

Au moment où vous vous trouvez rediriger sur « le site de votre banque », vous êtes en réalité sur un service qui porte le nom d’ACS (Access Control Server). Vous verrez probablement ces 3 lettres dans l’URL du site sur lequel vous vous trouvez au moment de l’authentification. L’ACS est donc la clef de l’authentification complète du 3DS, c’est elle qui va signer la transaction en vous ayant authentifié.

L’authentification se nomme SCA (Strong Customer Authentication). Elle obligatoire et renforcée au plus tard le 14 septembre 2019 par l’application de la DSP2 (Directive sur les Services de Paiements).

Actuellement, certains ACS tirent déjà un premier profil vous concernant avant de réaliser l’authentification. Pour cela, ils utilisent diverses informations connues sur vous et sur le commerçant. Après cette évaluation, soit vous êtes soumis à l’authentification, soit vous êtes refusé (exemple commerçant à risque, carte bloquée,…), soit l’authentification se réalise automatiquement et vous êtes dirigé vers le site du commerçant (exemple lors d’un paiement avec une e-CB, une P@yweb Card,… car vous vous serez authentifié déjà en amont).

L’ACS est parfois intelligent. Il va analyser votre comportement, par exemple le fait de changer d’onglet (pour récupérer une information, le décalage de l’horloge de votre ordinateur, le type de navigateur, sa version ainsi que les plugins installés avec leurs versions, la liste des polices,… Toutes ces informations et bien d’autres que nous ne citerons pas, permettent à l’ACS d’apprécier le risque.

Selon le risque, l’ACS peut réaliser l’authentification à votre place. Il peut également vous authentifier automatiquement  ou passer sur une authentification faible. Il peut faire le choix d’une authentification forte avec l’envoi d’un code, l’approbation dans l’application de la banque, un appel téléphonique,…

En réalité, très peu de banques disposent de leur propre ACS, Crédit Mutuel / CIC fait encore figure d’exception en ayant ce service en interne là où les autres acteurs délèguent ce système à ATOS/Worldline, Monext, Modirum,…
Pour les curieux, vous pouvez trouver une liste des prestataires ici qui font de l’ACS : https://www.mastercard.us/en-us/merchants/safety-security/securecode/securecode-vendors.html

3DS 2.0 et la DSP2

En septembre prochain, l’authentification (SCA) va vivre une évolution majeure. La date limite est le 14 septembre 2019. Depuis le 1er Avril tout est opérationnel chez Mastercard et depuis le 12 Avril chez VISA.

La principale évolution pour vous consommateur, c’est l’automatisation de votre authentification. Certains ACS font déjà preuve d’une forme d’intelligence mais avec 3DS 2.0 cela deviendra la norme.

Les commerçants devront passer toutes leurs transactions au travers du 3DS 2.0. Sauf quelques exceptions, comme par exemple les paiements itératifs qui n’auront besoin de ne passer qu’une fois la SCA. Les montants suivants étant réguliers et récurrents, cela ne sera plus nécessaire.

Lorsque votre authentification sera nécessaire, alors l’ACS de votre banque, ou son partenaire, devra vous authentifier au travers d’un mobile de confiance. C’est déjà le cas chez Société Générale et Crédit Mutuel/CIC, bunq, N26 par exemple. Elle sera également possible grace à un moyen tiers : citons Talk To Pay de La Banque Postale qui utilise la biométrie vocale pour authentifier son client.

Côté porteur, c’est à dire vous, les émetteurs devraient commencer à intégrer des listes blanches pour la partie « frictionless authentication », c’est à dire sans validation de votre part. American Express invite déjà ses porteurs depuis quelques semaines à valider les commerçants pour lesquels les transactions doivent se faire en « frictionless authentication », par exemple PayPal, Amazon,… Ne vous étonnez pas si lors de votre prochaine transaction 3DS vous êtes invité à approuver une liste de commerçants.

En 3DS 2.0, VISA suppose que 95 % des transactions seront traitées de manière automatisée. Les 5 % restants nécessiteront une authentification forte et donc une action de votre part pour finaliser le paiement.

Côté commerçant, le 3DS 1.0 sera progressivement désactivé afin que seul 3DS 2.0 subsiste. La rétrocompatibilité vers la version 1.0 de 3DS est assurée jusqu’en fin 2020, laissant le temps à l’ensemble des pays de migrer vers la 2.0 sans pour autant bloquer les pays non compatibles au début.

La CNIL a d’ailleurs revue sa position en matière de collecte des numéros de cartes. Il sera interdit par défaut de conserver un numéro pour une utilisation future. Les commerçants devront explicitement demander l’accord pour la conservation en vous faisant cocher une case (l’acceptation d’un contrat ne vaudra pas accord pour information).
Les exceptions concerneront donc les abonnements, les services à volonté, les paiements étalés,…

3DS 2.0 étant un changement majeur, nous aurons l’occasion de revenir sur les détails en septembre, lorsque la mesure sera devenue obligatoire et que les différents émetteurs (ex Revolut) proposeront le service à leurs clients. C’est d’ailleurs une bonne nouvelle, car les émetteurs de carte ne pourront plus proposer une carte démunie de ce dispositif. Les situations de refus par les commerçants seront drastiquement réduites également.

3DS mon amour…

Beaucoup de commerçants n’aiment pas le 3DS. La raison est très simple, c’est le risque d’abandon de la commande. Le dispositif casse l’achat impulsif. Les commerçants préfèrent donc prendre un risque d’impayé, que de perdre la vente car le client n’a pas son mobile avec lui, ou qu’il voit de manière plus claire le montant à payer…

Certains clients n’apprécient guère non plus ce système, il est pourtant un des maillons essentiels pour effectuer des achats en ligne en toute sérénité