3-D Secure est déployé sous les appellations commerciales « Verified By Visa » et « MasterCard SecureCode ». Il s’agit d’un service de sécurisation des paiements par carte bancaire sur internet lancé en 2008 par Visa et Mastercard.
On l’appelle « 3-D » car le modèle d’autorisation met 3 domaines en relation : celui du commerçant ou de la banque créditée, celui de la banque ayant émis la carte de paiement et le système de carte bancaire (Visa ou Mastercard). Le point maintenant.
Fonctionnement du 3-D Secure
Le 3-D Secure est une procédure d’authentification permettant de vérifier que le paiement est bien réalisé par le porteur de la carte bancaire.
Concrètement, lors d’un achat, le système 3D Secure demande à l’acheteur des informations complémentaires avant de valider son paiement. Si ces informations ne sont pas fournies, le paiement est refusé.
Pour activer ce service, il suffit de réaliser un premier achat en ligne sur un site marchand affichant les logos « Verified by Visa » ou « MasterCard SecureCode ».
Une fois le bon de commande rempli, vous serez dirigé vers le site de la banque auprès de laquelle vous êtes domicilié. Elle vous demandera des renseignements personnels supplémentaires permettant de vous identifier en tant que titulaire de la carte.
Remarque : les modalités d’authentification varient d’une banque à l’autre. Il peut s’agir d’une simple date associée au code postal de votre lieu de résidence, d’une question dont vous êtes le seul à connaître la réponse, d’un mot de passe, etc.
3-D Secure : déroulement d'un achat
Lors d’un achat en 3-D Secure :
- On vous demandera la traditionnelle saisie de vos informations bancaires (numéro de votre carte, limite de validité, cryptogramme visuel à 3 chiffres inscrit au dos de votre carte).
- Vous serez ensuite redirigé vers le site de votre banque qui vous demandera d’entrer les informations complémentaires permettant votre identification. Vous pourrez, par exemple, recevoir par SMS un code à usage unique qu’il faudra ensuite saisir sur le site de paiement.
- Une fois l’authentification validée, le paiement sera autorisé et la transaction finalisée.
3-D Secure : avantages et inconvénients
Pour : une sécurité supplémentaire
Gratuit et non obligatoire, le 3-D Secure apporte une sécurité supplémentaire aux internautes. Les commerçants, tout comme des tiers malveillants, ne sont pas en possession des informations supplémentaires identifiant le porteur : elles sont archivées dans le serveur de sa banque et n’en sortent pas. Théoriquement, il est donc impossible de pirater la carte.
Contre : des incidents bloquant les transactions
Les incidents liés au système 3-D Secure et aboutissant au blocage des transactions ont été nombreux, par exemple fin 2014, qu’il s’agisse du réseau Visa ou de Mastercard.
Sur un plan juridique, 3-D Secure entraîne un transfert de responsabilité de l’e-commerçant vers la banque qui a émis la carte et, au final, sur le porteur.
En cas de fraude, un paiement effectué en 3-D Secure est difficile à contester du fait de l’authentification, censée être infaillible. Si le système de vérification utilisé par la banque n’est pas à la hauteur, c’est le client qui s’en trouvera pénalisé.
Bon à savoir : si la transaction est bouclée malgré un échec de l'authentification, le débit peut être contesté. Il sera possible d’obtenir un remboursement, aucun élément n’attestant que c’est le porteur qui a réellement effectué le paiement.
Conformément à la deuxième directive européenne sur les services de paiement (DSP2), la sécurité des opérations de paiement en ligne supérieurs à 30 € doit être renforcée et faire l'objet d'une authentification forte ou renforcée. La validation de ces paiements par un code envoyé par SMS (3-D Secure) doit ainsi être renforcée ou remplacée par d'autres solutions.
Depuis le 15 mai 2021, tous les achats en ligne de plus de 30 € doivent répondre aux exigences de sécurité via l’authentification forte du payeur. Ce dispositif consiste à vérifier que le porteur de la carte bancaire est bien à l’origine du paiement par internet grâce à la mise en place d’au moins 2 des 3 éléments suivants :
- une information que seul le titulaire de la carte connait : mot de passe, code secret, question secrète ;
- l’utilisation d’un appareil qui n’appartient qu’au titulaire de la carte : téléphone portable, carte à puce, montre connectée ;
- une caractéristique personnelle : reconnaissance faciale, vocale, empreinte digitale.
Si l’un de ces éléments est faux, l’achat par carte bancaire sur le site internet ne sera pas autorisé.
Pour en savoir plus :
- Aujourd’hui, le temps est à la fraude à distance : les malfaiteurs piratent les numéros de carte. Mais, en cas de fraude à la carte bancaire sur internet, vous êtes remboursé.
- Au dos de votre carte bancaire, votre signature est requise. Pourquoi cette démarche est-elle nécessaire ? On vous dit tout.
- Voici de précieux conseils pour éviter la fraude à la carte bancaire.