RessourcesBlogLes protocoles de sécurité 3D Secure pour la protection des achats en ligne

Les protocoles de sécurité 3D Secure pour la protection des achats en ligne

Date de publication: 18 Decembre 2023Temps de lecture: 4 minutes
image

Les protocoles de sécurité 3D Secure (3DS) pour la protection des achats en ligne sont un système de protection des paiements conçu et développé par les principaux réseaux internationaux tels que Visa et Mastercard, pour augmenter le niveau de sécurité des transactions en ligne par carte de crédit et de débit.

Les protocoles sont appliqués en activant Verified by Visa et Mastercard Identity Check (évolution récente de Mastercard Securecode, 2020) sur les cartes de paiement, qui nécessitent une authentification de l’acheteur pour conclure les paiements en ligne, en réduisant au minimum le risque d’utilisation de l’instrument par des tiers.

Fonctionnement et évolution des protocoles

Grâce à l’introduction du protocole 3D Secure, qui remonte au début des années 2000¹, l’écosystème Ecommerce a vu augmenter le niveau de sécurité des paiements en ligne et, par conséquent, la confiance des consommateurs dans un monde qui n’était encore que l’apanage d’un petit nombre de premiers.

Les services de sécurité ont introduit le concept d’authentification dans le processus : pour conclure un paiement, il ne suffisait plus de saisir uniquement les données de la carte - généralement le prénom et le nom, le PAN, la date d’expiration et le CVV - mais il était devenu nécessaire de saisir un mot de passe que l’acheteur avait choisi lors de l’activation du service ou un code temporaire reçu par sms ou généré par un appareil livré par la banque.

Au fil des ans, les évolutions ont été minimes et surtout liées aux solutions d’authentification avec une convergence sur le sms, notamment grâce à l’augmentation constante de l’adoption de téléphones mobiles. En 2018, cependant, la réglementation européenne PSD2 en matière de paiement a introduit le concept de Strong Customer Authentication et d’importantes nouveautés sur les protocoles 3DS, avec l’objectif de rendre encore plus sûrs les paiements en ligne, notamment par un processus d’authentification plus structuré.

Avec le nouveau protocole username et password ne suffisent plus du point de vue de la sécurité, mais il faut s’authentifier avec au moins deux de ces types d’éléments :

  • Informations que seul le client connaît (KNOWLEDGE)
  • PIN
  • Password
  • Questions de sécurité
  • Quelque chose possédé seulement par le client (POSSESSION)
  • Carte
  • Téléphone
  • Token
  • Dispositif portable
  • Quelque chose qui distingue le client (INHERENCE)
  • Empreinte digitale
  • Reconnaissance faciale
  • Reconnaissance de la voix ou balayage de l’iris

La nouveauté la plus importante est l’introduction d’éléments biométriques pour l’identification des acheteurs, une technologie désormais très répandue sur la plupart des smartphones du commerce et qui a amélioré à la fois la sécurité d’accès au dispositif et celle de nombreuses actions disponibles, comme les achats dans les magasins d’applications.

L’introduction de l’authentification 3DS a considérablement réduit le risque d’utilisation frauduleuse de cartes par des tiers en insérant un élément connu uniquement par le titulaire de la carte. La nouvelle réglementation européenne, avec la deuxième version des protocoles dont la mise en œuvre a eu lieu au début de 2021, a diminué encore les risques de fraude en rendant obligatoires les protocoles dont la gestion par les marchands, jusqu’à aujourd’hui, a été de fait facultative.

Activation des systèmes 3D Secure pour le commerçant

L’activation des services 3DS des circuits sur les cartes de crédit et de débit par les Issuer (qui ont émis la carte de paiement), ce sont eux qui activent la fonctionnalité sur les cartes des acheteurs, tandis que pour le marchand, l’interlocuteur est l’acquéreur qui, avant l’avènement de la PSD2, pouvait accorder à l’exploitant la désactivation des protocoles qui augmentent la sécurité mais peuvent réduire le taux de conversion.

En effet, le commerçant a toujours eu la possibilité de demander à l’acquéreur de désactiver les protocoles, en acceptant de facto de faire payer ses clients sans entrer le code d’authentification, au détriment de la sécurité mais en faveur d’une plus grande probabilité de réussite du paiement, étant donné que sans entrer le code d’authentification, le client a une étape en moins à franchir. Les nouveaux protocoles 3DS2 ont transféré la décision d’appliquer ou non l’authentification à deux ou plusieurs facteurs à chaque transaction sur l’Issuer, de sorte que les acquéreurs et les marchands deviennent des sujets "passifs" dans l’application de l’authentification, partie intégrante du parcours client en phase de paiement.

Les nouveaux protocoles exigent en particulier que davantage d’informations liées à la transaction et à l’acheteur soient incluses dans les demandes de paiement, ce qui permettra à l’Issuer d’effectuer une analyse plus rapide des risques de fraude et, par conséquent, il est moins probable que l’authentification soit requise pour les transactions effectivement introduites par le titulaire de l’instrument de paiement.

Bien qu’il existe des exceptions et des exemptions à l’application de la Strong Customer Authentication, la gestion des nouveaux protocoles 3DS2 devient essentielle pour le marchand qui ne serait pas conforme à la réglementation et se verrait refuser les demandes de paiement en cas de non-exécution.

Comment gérer les nouveaux protocoles de sécurité

Les protocoles 2.0 offrent au marchand la possibilité de saisir des champs supplémentaires optionnels pour fournir un ensemble de données supplémentaires à l’Issuer et aider à réduire la probabilité que la SCA soit appliquée aux transactions. Pour ce faire, il peut être nécessaire de revoir le parcours client du site, en intégrant des champs instrumentaux à la collecte des données, et donc peut augmenter la complexité de l’intégration.

Nos articles

image

5 mesures clés de prévention de la fraude dans le secteur touristique et des voyages

Réduire le risque de fraude et d'escroquerie est un défi essentiel pour les entreprises du secteur touristique. Découvrez cinq stratégies clés pour y faire face efficacement, créant un environnement sécurisé pour les clients ainsi que pour les flux de paiements des entreprises.
15 Novembre 2024
image

Rapprochement bancaire à l'ère numérique : l'impact de l'Open Banking

Les opérations de rapprochement bancaire nécessitent à la fois du temps et de la précision. Avec l'introduction de la PSD2, des solutions innovantes ont vu le jour, permettant d'automatiser ces tâches et de réduire ainsi les coûts et les risques opérationnels.
04 Novembre 2024
image

Paiements dans l’hôtellerie et le secteur du voyage : nouvelles tendances de l’orchestration des paiements

Le secteur dynamique et international de l’hôtellerie et des voyages ne peut sous-estimer l'importance d'une infrastructure de paiement optimisée et sécurisée pour ses activités.
31 Octobre 2024