Les protocoles de sécurité 3D Secure (3DS) pour la protection des achats en ligne sont un système de protection des paiements conçu et développé par les principaux réseaux internationaux tels que Visa et Mastercard, pour augmenter le niveau de sécurité des transactions en ligne par carte de crédit et de débit.
Les protocoles sont appliqués en activant Verified by Visa et Mastercard Identity Check (évolution récente de Mastercard Securecode, 2020) sur les cartes de paiement, qui nécessitent une authentification de l’acheteur pour conclure les paiements en ligne, en réduisant au minimum le risque d’utilisation de l’instrument par des tiers.
Grâce à l’introduction du protocole 3D Secure, qui remonte au début des années 2000¹, l’écosystème Ecommerce a vu augmenter le niveau de sécurité des paiements en ligne et, par conséquent, la confiance des consommateurs dans un monde qui n’était encore que l’apanage d’un petit nombre de premiers.
Les services de sécurité ont introduit le concept d’authentification dans le processus : pour conclure un paiement, il ne suffisait plus de saisir uniquement les données de la carte - généralement le prénom et le nom, le PAN, la date d’expiration et le CVV - mais il était devenu nécessaire de saisir un mot de passe que l’acheteur avait choisi lors de l’activation du service ou un code temporaire reçu par sms ou généré par un appareil livré par la banque.
Au fil des ans, les évolutions ont été minimes et surtout liées aux solutions d’authentification avec une convergence sur le sms, notamment grâce à l’augmentation constante de l’adoption de téléphones mobiles. En 2018, cependant, la réglementation européenne PSD2 en matière de paiement a introduit le concept de Strong Customer Authentication et d’importantes nouveautés sur les protocoles 3DS, avec l’objectif de rendre encore plus sûrs les paiements en ligne, notamment par un processus d’authentification plus structuré.
Avec le nouveau protocole username et password ne suffisent plus du point de vue de la sécurité, mais il faut s’authentifier avec au moins deux de ces types d’éléments :
La nouveauté la plus importante est l’introduction d’éléments biométriques pour l’identification des acheteurs, une technologie désormais très répandue sur la plupart des smartphones du commerce et qui a amélioré à la fois la sécurité d’accès au dispositif et celle de nombreuses actions disponibles, comme les achats dans les magasins d’applications.
L’introduction de l’authentification 3DS a considérablement réduit le risque d’utilisation frauduleuse de cartes par des tiers en insérant un élément connu uniquement par le titulaire de la carte. La nouvelle réglementation européenne, avec la deuxième version des protocoles dont la mise en œuvre a eu lieu au début de 2021, a diminué encore les risques de fraude en rendant obligatoires les protocoles dont la gestion par les marchands, jusqu’à aujourd’hui, a été de fait facultative.
L’activation des services 3DS des circuits sur les cartes de crédit et de débit par les Issuer (qui ont émis la carte de paiement), ce sont eux qui activent la fonctionnalité sur les cartes des acheteurs, tandis que pour le marchand, l’interlocuteur est l’acquéreur qui, avant l’avènement de la PSD2, pouvait accorder à l’exploitant la désactivation des protocoles qui augmentent la sécurité mais peuvent réduire le taux de conversion.
En effet, le commerçant a toujours eu la possibilité de demander à l’acquéreur de désactiver les protocoles, en acceptant de facto de faire payer ses clients sans entrer le code d’authentification, au détriment de la sécurité mais en faveur d’une plus grande probabilité de réussite du paiement, étant donné que sans entrer le code d’authentification, le client a une étape en moins à franchir. Les nouveaux protocoles 3DS2 ont transféré la décision d’appliquer ou non l’authentification à deux ou plusieurs facteurs à chaque transaction sur l’Issuer, de sorte que les acquéreurs et les marchands deviennent des sujets "passifs" dans l’application de l’authentification, partie intégrante du parcours client en phase de paiement.
Les nouveaux protocoles exigent en particulier que davantage d’informations liées à la transaction et à l’acheteur soient incluses dans les demandes de paiement, ce qui permettra à l’Issuer d’effectuer une analyse plus rapide des risques de fraude et, par conséquent, il est moins probable que l’authentification soit requise pour les transactions effectivement introduites par le titulaire de l’instrument de paiement.
Bien qu’il existe des exceptions et des exemptions à l’application de la Strong Customer Authentication, la gestion des nouveaux protocoles 3DS2 devient essentielle pour le marchand qui ne serait pas conforme à la réglementation et se verrait refuser les demandes de paiement en cas de non-exécution.
Les protocoles 2.0 offrent au marchand la possibilité de saisir des champs supplémentaires optionnels pour fournir un ensemble de données supplémentaires à l’Issuer et aider à réduire la probabilité que la SCA soit appliquée aux transactions. Pour ce faire, il peut être nécessaire de revoir le parcours client du site, en intégrant des champs instrumentaux à la collecte des données, et donc peut augmenter la complexité de l’intégration.