3D Secure : comment fonctionne la vérification de paiement bancaire ?​​​​​​​

Qu'est-ce-que le 3-D secure

La vérification du paiement lorsqu’on fait des achats en ligne se fait majoritairement grâce à l’authentification 3D Secure, laquelle permet de protéger commerçants, banques et consommateurs. Comment fonctionne-t-elle ? Y a-t-il des différences entre « Verified by Visa » et « MasterCard SecureCode » ? Comparabanques vous dit tout sur le paiement 3D Secure.


Qu’est-ce que le paiement 3D Secure ?

Le système 3D Secure est un protocole de paiement sécurisé pour les transactions financières en ligne réalisées par carte bancaire. L’authentification 3D Secure permet d’éviter les fraudes, puisque la vérification du paiement est nécessaire afin de valider l’opération.

Auparavant, le numéro d’identification de la carte, sa date d’expiration et le cryptogramme visuel constituaient les seules informations requises à la validation d’une transaction. Cela signifiait que sans 3D Secure, toute personne ayant accès à ces informations pouvait payer en ligne avec la carte de quelqu’un d’autre.

Sur un site sans 3D Secure, un fraudeur pouvait donc utiliser n’importe quelle carte bancaire, jusqu’à atteindre son plafond. Avec l'authentification 3D Secure, l’établissement débiteur s’assure que l’identité de l’acheteur correspond à celle du détenteur de la carte.

Lors de ses achats sur Internet, le consommateur devra rester vigilant afin de veiller à bénéficier de la protection du paiement 3D Secure :

  1. Une fois les coordonnées bancaires renseignées pour effectuer ses achats, le particulier bénéficiant du paiement 3D Secure est redirigé vers le site de sa banque ;
  2. Le payeur doit alors confirmer son identité. Il reçoit généralement un code 3D Secure (parfois un mot de passe) par SMS ou par email, qu’il doit saisir pour s’authentifier. Parfois, une information personnelle peut être demandée, comme la date de naissance ;
  3. Une fois le bon code 3D Secure validé, le paiement est autorisé et l’achat finalisé.

Tant pour le cybercommerçant que pour les établissements bancaires et les consommateurs, le paiement 3D Secure est donc incroyablement utile. Il s’agit d’une véritable étape de protection supplémentaire. Si la confirmation du code de validation échoue par trois fois, l’opération bancaire est annulée, mais surtout, le consommateur n’aura plus la possibilité de payer par carte sur tous les sites recourant au protocole. Le 3D Secure est bloqué.

« Verified by Visa » ou « MasterCard SecureCode » : quelles différences, quels avantages ?

Aujourd’hui, la vérification du paiement est nécessaire pour garantir la protection de tous. Le dispositif 3D Secure a été créé de manière collaborative par les entreprises Visa et MasterCard, lesquelles proposent des cartes bancaires à l’international. Le paiement 3D Secure existe en France depuis 2008, mais il n'était pas obligatoire. En plus de dix ans, ce protocole s’est largement démocratisé.

Lors d’un achat en ligne, l’authentification 3D Secure est principalement identifiée sous les noms « Verified by Visa » ou « MasterCard SecureCode », dont les logos sont facilement reconnaissables pour s’assurer que les cybermarchands disposent de ce service.

Il n’y a aucune différence entre le 3D Secure Visa et le MasterCard SecureCode. Par ailleurs, bien que le système 3D Secure ne soit pas proposé par l’ensemble des fournisseurs de cartes, certains ont leur propre service d’authentification, également basé sur ce protocole (par exemple American Express SafeKey et Diners ProtectBuy).

Paiement par carte : 3D Secure, les avantages
Sécurisant Un site sans 3D Secure est perçu comme peu fiable. À l’inverse, un cybercommerçant avec ce protocole établit une confiance préalable avec ses clients.
Gratuit Chez certains fournisseurs de cartes, il est mis en place gratuitement, à l'instar des 3D Secure Visa ou MasterCard.
Efficace Le paiement 3D Secure réduit la fraude à la carte bancaire. Cela est appuyé par les chiffres de l’Observatoire de la Sécurité des Cartes de Paiement (OSCP).
Personnalisable Le cybermarchand peut choisir de l’activer selon des critères de son choix.

Les modalités de vérification du système 3D Secure peuvent varier en fonction des banques. D’après une étude Statista publiée en juillet 2019, en France, environ 43 % du montant des transactions en ligne bénéficiaient de 3D Secure.

Quand la vérification du paiement est-elle nécessaire ?

Afin de protéger encore davantage les paiements en ligne, des changements ont été mis en place en septembre 2019. Une nouvelle directive européenne sur les services de paiement, appelée DSP2, vise à renforcer l’authentification 3D Secure et à améliorer la sécurité des paiements en ligne et sans contact. Dans le futur, la vérification du paiement sera nécessaire de manière systématique.

La directive DSP2 est l’évolution logique de celle de 2008. L’usage seul du code 3D Secure pour valider sa transaction en ligne a été jugé insuffisant. Les pratiques évoluent et un numéro de téléphone peut facilement être piraté, affaiblissant la protection offerte par le 3D Secure classique.

La deuxième directive européenne sur les services de paiement exige donc un renforcement de la validation grâce au code 3D Secure, soit en procédant à une authentification à deux facteurs, soit en complétant ou remplaçant ce système par d’autres solutions plus robustes. On parle alors d’authentification forte :

  • Connexion obligatoire à son espace personnel via l’application mobile (notification push et code secret) ou le site Internet de la banque (code secret) ;
  • Reconnaissance biométrique (faciale ou vocale, empreinte digitale) ;
  • Envoi d’un code personnel dédié par courrier.

À terme, l’ensemble des terminaux de paiement seront contraints d’activer le système 3D Secure 2.0 afin de garantir la sécurité des transactions en ligne. Cependant, le deuxième niveau d’authentification 3D Secure fait l'objet de quelques exceptions pour les paiements considérés comme étant peu risqués : faibles montants, opérations réalisées à l’initiative du commerçant, transactions récurrentes mises en place avec un mandat, etc.

Paiements par carte : 3D Secure et sans contactPour les paiements sans contact, le directive DSP2 n’est appliquée que dans deux cas : 150 euros de paiement cumulés sur une période limitée ou après cinq transactions consécutives depuis la dernière authentification forte.

3D Secure ne fonctionne pas, que faire ?

Lorsque le consommateur bénéficiant du 3D Secure Visa ou du MasterCard SecureCode est redirigé vers le serveur de sa banque pour procéder à l’authentification grâce à la saisie du code à usage unique, il peut parfois arriver que le 3D Secure ne fonctionne pas :

  • SMS non reçu : le consommateur ne reçoit pas le code 3D Secure ce qui l’empêche de valider son achat. Cela peut notamment se produire lors d’un changement d’opérateur. Il faudra contacter sa banque et demander à changer le numéro téléphone 3D Secure ;
  • Fonds insuffisants : bien que le code 3D Secure soit correct, impossible de valider le paiement. Généralement, cela est lié au plafond disponible, lequel peut être insuffisant ou déjà atteint, ce qui bloque la transaction.

Plusieurs questions doivent être posées si le 3D Secure ne fonctionne pas : les fonds nécessaires sont-ils disponibles ? Le plafond de la carte permet-il le paiement ? La banque ou le service bancaire a-t-il procédé à un blocage de précaution ? Enfin, le 3D Secure est-il bloqué ? En cas de problème, la meilleure initiative à prendre est toujours de contacter sa banque afin de vérifier auprès d’elle.

3D Secure : quelles banques le proposent ?

Désormais, la grande majorité des banques proposent l’authentification 3D Secure. Progressivement, elles sont de plus en plus nombreuses à mettre en place l’authentification forte, notamment via l'espace personnel des clients sur l'application mobile dédiée.

 
Banques Système 3D Secure Modes d’authentification 3D Secure proposés
Boursorama
  • Verified by Visa
  • MasterCard SecureCode
Code à usage unique envoyé par SMS. Mise en place progressive de l’authentification depuis l’espace client.
Fortuneo
  • MasterCard SecureCode
Code à usage unique envoyé par SMS.
Monabanq
  • Verified by Visa
Code à usage unique envoyé par SMS progressivement abandonné par Monabanq. Celui-ci est remplacé par une confirmation mobile via notification sur l’application, depuis son espace client.
Hello Bank!
  • Verified by Visa
Code à usage unique envoyé par SMS ou clé digitale préalablement activée, c’est-à-dire un code secret identique à celui permettant l’authentification sur son espace personnel.
Bforbank
  • Verified by Visa
Code à usage unique envoyé par SMS.
Orange Bank
  • MasterCard SecureCode
Système d’authentification forte avec validation de la transaction depuis son espace client sur l’application Orange Bank.
ING
  • MasterCard SecureCode
Système d’authentification forte avec double vérification : validation de son code secret et du code 3D Secure envoyé par SMS.
HSBC
  • Verified by Visa
Dès fin avril 2021 : validation du code personnel permanent dédié aux paiements en ligne requise, en plus du code à usage unique communiqué par SMS.
Société Générale
  • Verified by Visa
  • MasterCard ID Check
Code à usage unique reçu par SMS ou validation 3D Secure avec le « Pass Sécurité » dans l’application mobile Société Générale.
BNP
  • Verified by Visa
  • MasterCard SecureCode
Authentification 3D Secure forte avec validation de sa clé digitale et du code à usage unique reçu par SMS.
N26
  • MasterCard SecureCode
Finalisation de l’achat grâce à une notification push avec connexion à son espace personnel sur l’application mobile.
Revolut
  • Verified by Visa
  • MasterCard SecureCode
Le 3D Secure de Revolut a évolué : notification push au moment du paiement pour validation depuis l’espace personnel, sur l’application mobile.
Nickel
  • MasterCard SecureCode
Code à usage unique envoyé par SMS.
Crédit Agricole
  • Verified by Visa
  • MasterCard SecureCode
Le 3D Secure du Crédit Agricole est classique : validation d’un code à usage unique envoyé par SMS.

3D Secure Banque postale : Certicode Plus, à quoi ça sert ?C'est quoi le Certicode de la Banque Postale ? Tout simplement le système de vérification de cet établissement permettant de sécuriser les transactions en ligne. Au moment de payer, une notification push est envoyée afin de procéder à l’authentification sur son espace personnel grâce à a son code secret, et ainsi de valider son paiement. Ce service peut être activé gratuitement.

Authentification 3D Secure : F.A.Q

La sécurisation du paiement 3D Secure est-elle obligatoire ?

Oui et non. La démocratisation du 3D Secure l’a clairement rendu incontournable. Depuis l’entrée en vigueur du dispositif DPS2, l’authentification forte devient obligatoire et celle-ci passe majoritairement par le système 3D Secure.

Comment activer le système 3D Secure ?

Lors du premier achat effectué sur un site adhérant au protocole 3D Secure, celui-ci est activé automatiquement sur la carte de paiement.

A-t-on l'option de désactiver 3D Secure ?

Pour le consommateur, désactiver 3D Secure n’est pas possible quand le cybercommerçant le requiert pour l’authentification forte. En revanche, pour avoir un meilleur taux de conversion, le professionnel peut choisir de désactiver 3D Secure selon les types de transactions.

Est-il possible de contourner 3D Secure ?

Se demander comment contourner 3D Secure sous-entend vouloir échapper à l’authentification sécurisée obligatoire, et donc exploiter une vulnérabilité afin d’effectuer des opérations frauduleuses.

Peut-on contester un paiement 3D Secure ?

Oui, mais il faut agir vite (maximum treize mois après le débit). Lorsque le paiement 3D Secure non désiré est prouvé, la responsabilité du détenteur de la carte n’est pas engagée. Il peut ainsi contester le paiement 3D Secure auprès de sa banque, laquelle sera obligée de rembourser les sommes non autorisées.

Updated on