Les cafouillages de 3D Secure gênent les courses de Noël

Les cafouillages de 3D Secure gênent les courses de Noël

Micmac en coulisse du Web marchand français

Avatar de l'auteur
Stéphanie Chaptal

Publié dans

Internet

19/12/2014 9 minutes
53

Les cafouillages de 3D Secure gênent les courses de Noël

Si vous avez essayé d’acheter vos cadeaux de Noël sur le Web le mois dernier, vous avez sans doute eu droit à de nombreux messages d’erreurs sur certains sites. La raison vient des ratés rencontrés par le système de validation des paiement 3D Secure.

De fin octobre à fin novembre, faire ses courses sur le Web francophone n’était pas une partie de plaisir pour certains clients. En effet, au moment de passer en caisse, les paiements étaient refusés les uns après les autres alors même que les comptes étaient créditeurs et les cartes valides. Un coup des brigades « anti-gaspillages de Noël » ? Non, tout simplement une série de ratés dans le système 3D Secure mis en place par Visa et MasterCard pour authentifier les paiements en ligne.

Que s’est-il passé ? Officiellement rien du tout : tout va très bien Madame la marquise. Pour Pierre Chassigneux, directeur des projets du GIE Cartes bancaires, les problèmes rencontrés « sont des petits incidents de production limités. Ils ne sont pas de nature à remettre en question les achats sur Internet. » D’ailleurs, MasterCard estime nécessaire de préciser, par le biais de son directeur général Régis Folbaum, que « Les banques n’ont pas remonté d’incident à MasterCard et nos équipes n’ont rien observé d'anormal de leur côté. Il n’y a pas eu de problèmes avec le 3DS directory server de MasterCard. De plus, MasterCard n’a évidemment pas de problème pour gérer la montée en charge au moment des périodes de pics d'activité. À cette période-là, nous prenons des précautions supplémentaires : nous interrompons avant Thanksgiving toutes les opérations de migration et de maintenance lourde. »

Alors que s’est-il passé ? Nous avons posé la question à trois prestataires de paiements différents et ceux-ci, sous couvert d’anonymat, nous ont livré le fruit de leurs constatations.

Billard à trois bandes... et à mille trous

Pour bien comprendre, il faut déjà savoir comment fonctionne 3D Secure. Ce système de vérification est un jeu de billard à trois bandes entre le client, sa banque, le site marchand et sa propre banque. Au moment de valider la transaction, le client donne les informations de sa carte au système de paiement du marchand. Celui-ci est le plus souvent administré pour son compte par un prestataire de paiement en direct, ou via le service souscrit par sa banque.

Les cartes bancaires sont déjà répertoriées dans les serveurs annuaires des grands émetteurs que sont Visa et MasterCard. Sa mise à jour se fait par les banques qui peuvent y ajouter ou non leurs cartes bancaires simples (valables uniquement pour le territoire national). En recevant les informations, le marchand va se connecter à l’annuaire de l’émetteur de la carte et au serveur de la banque du client.

3D Secure

Celle-ci va alors envoyer une requête à l'acheteur afin qu'il prouve son identité via une information complémentaire (date de naissance, code unique à cinq chiffres reçu par SMS ou généré par l’application mobile de la banque). C’est seulement quand cette information est entrée sur la page de paiement que l’achat est validé.

Mais voilà, depuis fin octobre, différents couacs ont affecté cette dernière phase de vérification.

Jour férié et sous-évaluation de la charge de travail

Tout d’abord, il semblerait que si MasterCard évite de faire des mise à jour ou de test durant cette période sensible, ce ne soit pas le cas de l’autre grand émetteur impliqué. Il a ainsi eu la bonne idée de faire ses tests de charge le 31 octobre dernier, faisant tomber la vérification de plusieurs banques.

Ensuite, un réseau de banques mutualistes françaises a décidé de son côté de changer de serveur d’authentification et de passer sur Dictao. Pendant la transition, les authentifications n’étaient pas disponibles et durant trois jours, les clients de ces banques n’ont pu utiliser 3D Secure. D’autre part, Paybox, le prestataire de paiement de Crédit Agricole, a oublié de renouveler une clé d’authentification qui est arrivée à échéance le 11 novembre, en plein jour férié. Le temps que le problème soit identifié, la plupart des porteurs de cartes Crédit Agricole se sont vu refuser leurs achats. Trois jours plus tard, tout rentrait dans l’ordre.

Mais le gros des problèmes rencontrés vient surtout d’un prestataire de paiement, Atos Worldline, dont les serveurs sont tombés durant cette période d’après les constatations d'autres acteurs de la chaînes (prestataires, émetteurs de cartes et banques). Pourquoi ? Contactée, la société n'a pas souhaité faire de commentaires. Il semblerait néanmoins qu’elle ait mal évalué le nombre de transactions, et qu'elle ait rajouté depuis des serveurs afin de répondre à la montée en charge. Ajoutez à cela quelques problèmes au niveau des plateformes d’envoi de SMS, engorgées, et vous pourrez avoir une idée des turbulences qui ont atteint le petit monde du e-commerce français le mois dernier.

Du côté des boutiques en ligne, l'impact a été constaté pendant cette période et celle du fameux Black Friday. Pour autant, nos contacts nous indiquent qu'il a été largement minimisé par le fait que seule une petite partie de leurs transactions passent par 3D Secure. Mais cela « n’incite pas du tout à en passer plus  » nous confiera l'une d'elles. Résultat, certains ont préféré désactiver le système le temps que les choses se tassent, quitte à passer par une vérification plus archaïque en attendant et à irriter quelques clients au passage :

Un 3D pas si Secure, mais en attendant…

Du coup, certains s’interrogent sur l’utilité d’un système tel que 3D Secure. D’autant que les sites marchands français trainent des pieds pour l’adopter et ne le font souvent que parce qu’il est imposé dans les contrats signés avec leurs banques. En 2013, des amendements déposés à l'Assemblée nationale et au Sénat avaient chercher à le faire par la loi, mais ils ont été rejetés ou retirés, notamment du fait de l'opposition de certains acteurs qui y voient une perte d'efficacité lorsqu'il s'agit de finaliser les ventes, et trouvent l'ensemble inadapté et mal conçu par rapport aux besoins actuels.

Au GIE Carte bancaire, on constate qu’« à peu près 60 % des commerçants utilisent le système 3D Secure : environ 45 000 commerçants sur les 68 000 commerçants affiliés au système CB. Cela ne veut pas dire qu’ils mettent en œuvre 3D secure de façon systématique, de nombreux commerçants ont recours à 3D Secure sur la base d'une analyse de risque. » D’ailleurs pour Pierre Chassigneux, le nombre de transactions globales e-commerce qui font l’objet d’une authentification 3D Secure est de l’ordre de 22 % en nombre et de 30 % en montant du total de transactions e-commerce CB en France : « Le nombre de transactions 3D Secure, c'est à dire qui ont fait l'objet d'une authentification forte des clients, est en légère augmentation par rapport au semestre précédent. »

Que faire ? Pour Stéphane Boyera, responsable paiement Web du W3C, « 3D Secure a été une réponse qui a convenu à l’industrie à un moment donné. Aujourd’hui, il y a plein de raison qui font que cela ne convient plus à l’ensemble des acteurs. Les premiers acteurs qui n’en veulent pas sont les marchands, car la façon dont c’est implémenté génère un fort taux d’abandon des paniers. Pour nous, la réponse à ce problème est le porte-monnaie électronique : toujours apporter la même interface à l’utilisateur pour réaliser ses paiements. » Et l’intérêt de plus en plus fort des banques françaises pour des solutions telles que Paylib va dans ce sens.


Mais que fait Laurent si la boutique en ligne ne gère pas Paylib, comme de très nombreuses boutiques en ligne ?

Après BNP Paribas, la Société Générale et la Banque postale, le Crédit Agricole et le Crédit Mutuel Arkéa vont désormais proposer ce portefeuille électronique à leurs clients, mais force est de constater que rares sont les sites qui le proposent actuellement lors d'un achat, contrairement à des concurrents comme PayPal.

Mais personne ne fera disparaître rapidement 3D Secure pour autant : « En toute humilité, le taux de pénétration de 3DS s’améliore d’année en année, et malgré ses limites il apporte des avantages conséquents. On ne va pas lâcher la proie pour l’ombre, » confie Régis Folbaum. Et MasterCard fourmille d’idées pour sécuriser autrement le commerce : tokenisation (où la carte bancaire est remplacée par un jeton permanent valable chez le marchand à la manière du One-click d’Amazon ou d'Apple Pay), utilisation de la biométrie et du Talk-to-pay. Dans ce dernier cas, le client dit une phrase prédéfinie qui fait office de mot de passe et le logiciel analyse sa voix afin de valider son identité (voir la vidéo ci-dessous). Une solution actuellement testée par La Banque postale.

Reste à mettre en place ces infrastructures, et à donner envie aux clients et aux marchands de les utiliser en les rendant assez simples et peu chères. Et pour les soldes à renforcer celles dédiées à 3D Secure si le Web français ne veut plus voir de pannes en cascade !

53

Écrit par Stéphanie Chaptal

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Billard à trois bandes... et à mille trous

Jour férié et sous-évaluation de la charge de travail

Un 3D pas si Secure, mais en attendant…

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (53)


Pour moi, ce plantage s’est traduit par la réception des codes uniques 4H après la demande !



Autant dire que les transactions sont expirées… Bon c’est pas bien grave, c’est pas la fin du monde.



Sinon GG le test de charge le 31 Octobre, on voit que les mecs de l’IT et le reste du monde sont en phase…


Le truc de 3DS c’est aussi que c’est pas réfléchi par les banques… genre moi je ne pouvais plus me servir de ma VISA en ligne parce que 3DS voulait m’envoyer un SMS, mais l’interface de la banque n’acceptait pas les numéros à l’étranger <img data-src=" />



Maintenant c’est configuré sur ma date de naissance…

Et de toute façon ca n’a pas empêcher de me retrouver avec des transactions frauduleuses sur ma carte <img data-src=" /> , ce qui ne m’était jamais arrivé avant 3DS d’ailleurs <img data-src=" />


Pour moi la CB, c’est totalement obsolète sur internet. On tape un code à partir d’une carte et le client en fait ce qu’il veut derrière. Un système comme paypal est déjà beaucoup plus cohérent (même si je n’aime pas l’idée d’ajouter un intermédiaire qui ponctionne de l’argent au passage).



3D Secure, c’est bien mais il faudrait le rendre obligatoire. Enfin, à condition que ça marche mieux car j’ai déjà des soucis avec.

Un soucis pas trop fréquent c’est d’attendre le code par SMS… j’ai déjà eu le code si tard que la page pour le taper avait expiré et ma commande sur le site client avec.

Un autre plus fréquent (mais peut-être pas lié à 3D Secure) c’est la case “nom prénom” souvent associée au code. Je sais jamais si je dois mettre M. avant ou MR… et des fois, la validation se bloque à ce niveau avec un message du genre “votre nom ne corresponds pas au nom fourni par votre banque”.


3ds est un système pensé pour la protection du commerçant, pas du consommateur.

Ça garantie au commerçant de se faire payer, et ça a un coût.



Si vous vous faits voler votre carte, le voleur n’aura qu’a aller sur un site n’activant pas le 3DS… (ex : Amazon qui s’est rendu compte que le 3ds entrainait des abandons de commandes et a préféré simplifier le parcours client, quitte à prendre en charge le cout d’éventuelles fraudes)








Cacao a écrit :



Pour moi la CB, c’est totalement obsolète sur internet. On tape un code à partir d’une carte et le client en fait ce qu’il veut derrière. Un système comme paypal est déjà beaucoup plus cohérent (même si je n’aime pas l’idée d’ajouter un intermédiaire qui ponctionne de l’argent au passage).







Tu refiles le numéro de ta cb a Paypal aussi, d’un point de vue confiance c’est pareil. Ensuite beaucoup de cyber-marchant utilise les services d’une banque pour les transactions CB, le code tu le donnes directement à une page sécurisé de la banque et non au marchant, c’est pas mal non plus.



Donc si j’ai bien compris le problème:




  • il faut être chez Visa qui a fait des tests de charge à un moment stupide

  • Il faut être chez des banques qui ont utilisées un prestataire qui a mal estimé la charge potentielle

  • Il faut être chez un opérateur mobile chez qui tu peux avoir des problèmes de réception de SMS



    Perso: sur les quelques paiements 3DS que j’ai pu faire sur la période: aucun problème.

    Ensuite l’abandon de panier ? <img data-src=" /> c’est sur que rentrer un code que tu reçois par SMS 3s après validation de ta CB c’est super relou…



    En gros, je ne vois pas en quoi le problème ici est le 3DS.

    Le problème est surtout l’enchainement d’incompétence de bras cassés tout au long de la filière…


Je suis un peu fatigué, en lisant le titre j’ai cru qu’il y avait un problème avec Nintendo <img data-src=" />








Cacao a écrit :



…Un autre plus fréquent (mais peut-être pas lié à 3D Secure) c’est la case “nom prénom” souvent associée au code. Je sais jamais si je dois mettre M. avant ou MR… et des fois, la validation se bloque à ce niveau avec un message du genre “votre nom ne corresponds pas au nom fourni par votre banque”.





Perso je met seulement mon nom, en prenant soin de retirer les accents.

Je sais pas si c’est ma banque (ou les sites) qui merde(nt) mais le tréma passe jamais.



Pour nom/prénom, MR, M. etc., met l’identité complète telle qu’elle est embossée sur ta carte.




Et MasterCard fourmille d’idées pour sécuriser autrement le commerce :




  • tokenisation (où la carte bancaire est remplacée par un jeton permanent valable chez le marchand à la manière du One-click d’Amazon ou d’Apple Pay)

  • utilisation de la biométrie et du Talk-to-pay. Dans ce dernier cas, le client dit une phrase prédéfinie qui fait office de mot de passe et le logiciel analyse sa voix afin de valider son identité



    C’est sur qu’avoir un jeton permanent chez un commerçant qui du coup n’identifiera que via un compte c’est beaucoup plus sur…

    Et je ne parle même du fait de laisser des données biométriques sur le net… <img data-src=" /> c’est vachement mieux que de taper un code reçu par SMS…








Cacao a écrit :



Pour moi la CB, c’est totalement obsolète sur internet.





Obsolète ou pas, les clients que nous sommes ne devraient en avoir rien à faire: en France, en cas d’utilisation frauduleuse d’un moyen de paiement, la banque doit obligatoirement rembourser intégralement son client. C’est la loi.



&nbsp;









brazomyna a écrit :



Obsolète ou pas, les clients que nous sommes ne devraient en avoir rien à faire: en France, en cas d’utilisation frauduleuse d’un moyen de paiement, la banque doit obligatoirement rembourser intégralement son client. C’est la loi.



&nbsp;



&nbsp;

D’ailleurs, il n’y a&nbsp;pas besoin de porter plainte, de souscrire à tel ou tel assurance pour se faire rembourser. La banque doit prendre intégralement en charge le paiement présumé frauduleux. En suite c’est à la banque de se débrouiller. Article 133-18 du code monétaire et financier. S’il y a utilisation de la carte avec le code dans ce cas il y a une franchise de 150€.



3DS, c’est le truc hyper chiant quand je commande en ligne et que mon téléphone n’est pas à côté de moi….. <img data-src=" />








linkin623 a écrit :



Sinon GG le test de charge le 31 Octobre, on voit que les mecs de l’IT et le reste du monde sont en phase…



Il faut bien les faire à un moment, on ne peut pas les faire le 32 <img data-src=" />



Bien d’accord.



Mais le faire un 31, c’est déjà pas top (fin de mois, achats plus nombreux tout ça, gens qui touchent leurs salaires…)



Et le 31 octobre cette année, c’était (pour les commerçant) un évènement particulier. Donc tu fais ton test de charge un mardi ou jeudi, au milieu du mois, et si possible pas avant ou après un jour férié.








A-D a écrit :



3DS, c’est le truc hyper chiant quand je commande en ligne et que mon téléphone n’est pas à côté de moi….. <img data-src=" />





C’est bien ce qui est dit dans l’article: c’est une raison d’abandon du panier.



Et je m’y reconnais bien: j’utilise très peu mon portable, et encore moins à la maison. Il n’est jamais avec moi à la maison. donc si je fais des achats tard sur internet, j’ai pas envie de traverser le domicile en risquant de réveiller les bambins.

Donc je laisse tomber le panier.



Je favorise énormément les paiement Paypal, surtout que je déteste donner mon code de carte à tout le monde et certains ont du mal avec le code de carte “temporaire” des services e-CB.









psn00ps a écrit :



Il faut bien les faire à un moment, on ne peut pas les faire le 32 <img data-src=" />





Ça y est !&nbsp; On a retrouvé le gars de l’IT&nbsp; <img data-src=" />



Une double vérification via une appli mobile genre Google authenticatoraura au moins l’avantage de ne pas avoir besoin du SMS (ce qui simplifie les questions de changement de numéro de tel ou voyage çà l’étranger.)

&nbsp;








carbier a écrit :



C’est sur qu’avoir un jeton permanent chez un commerçant qui du coup n’identifiera que via un compte c’est beaucoup plus sur…

Et je ne parle même du fait de laisser des données biométriques sur le net… <img data-src=" /> c’est vachement mieux que de taper un code reçu par SMS…





Non, ce que le webmarchand obtient c’est un token d’autorisation correspondant à une opération précise. Ca peut être du one shot (principe de paypal one click checkout), un montant fixe à échéance, un montant fixe réparti en plusieurs mensualités, un montant maximum récurrent, etc…



Dans tous les cas le client sait ce qu’il donne comme autorisation. Il y a 2 avantages à ce système : hacker le marchand ne sert à rien (le token n’est utilisable que pour la transaction établie au préalable et est lié au compte du marchand), les token sont facilement traçables et révocables par les banques… Et un troisième si tu fais confiance au site marchand et que tu lui laisses libre accès à ton compte c’est plus simple pour tout le monde.



3D secure c’était juste une réponse pourrie et pondue à la va vite par les banques pour se dégager de la responsabilité des hacks de CB (qui, rappelons le, sont normalement pris en charge par les banques) en pondant un système qui sera peu adopté par les commerçants (et ainsi reporter sur eux le cout des fraudes). C’est un énorme frein commercial : beaucoup de gens ne reçoivent jamais le sms, ou n’ont pas leur téléphone sous la main ou n’ont pas leur numéro de mobile enregistré auprès de leur banque, ou un ancien…









wanou2 a écrit :



&nbsp; D’ailleurs, il n’y a&nbsp;pas besoin de porter plainte, de souscrire à tel ou tel assurance pour se faire rembourser. La banque doit prendre intégralement en charge le paiement présumé frauduleux. En suite c’est à la banque de se débrouiller. Article 133-18 du code monétaire et financier. S’il y a utilisation de la carte avec le code dans ce cas il y a une franchise de 150€.





Ca je savais pas…. Ca explique le peu de réaction face à l’utilisation massive de CB volées : la banque facture 150€ au client (la franchise) et reprélève de toutes façons l’argent au commerçant, donc elle gagne de l’argent sur les fraudes <img data-src=" />



C’est pas du recel ça ?

&nbsp;









Fuinril a écrit :



Ca je savais pas…. Ca explique le peu de réaction face à l’utilisation massive de CB volées : la banque facture 150€ au client (la franchise) et reprélève de toutes façons l’argent au commerçant, donc elle gagne de l’argent sur les fraudes <img data-src=" />



C’est pas du recel ça ?

&nbsp;





La banque ne facture pas 150€ hein ! Elle ne rembourse&nbsp;pas dans la limite de 150€ donc pour plusieurs&nbsp;centaines d’euros de manque&nbsp;à gagner la banque est marrons pour la différence (avec un plafond de 2000€ ça leur faire un gap de 1850€…). Et le commerçant à la garantie d’être payé&nbsp;c’est pour ça qu’ils acceptent aussi facilement&nbsp;la CB (parfois un plafond necessitant la vérification de l’identité peut être demandé mais je ne sais pas si ça se pratique encore souvent…). Et je rappel que c’est uniquement pour les paiement avec utilisation du code de la CB donc cassage de gueule en prime pour avoir le code…









Fuinril a écrit :



&nbsp;&nbsp;

Dans tous les cas le client sait ce qu’il donne comme autorisation. Il y a 2 avantages à ce système : hacker le marchand ne sert à rien (le token n’est utilisable que pour la transaction établie au préalable et est lié au compte du marchand), les token sont facilement traçables et révocables par les banques… Et un troisième si tu fais confiance au site marchand et que tu lui laisses libre accès à ton compte c’est plus simple pour tout le monde.&nbsp;





Ce qui est marrant c’est que beaucoup de monde pratiquent déjà comme ça aujourd’hui sans le savoir : le prélèvement&nbsp;automatique. Parce qu’il faut savoir qu’un règlement par CB n’est ni plus ni moins qu’un mandat donné pour une opération précise à un commerçant pour taper sur le compte !









wanou2 a écrit :



La banque ne facture pas 150€ hein ! Elle ne rembourse&nbsp;pas dans la limite de 150€ donc pour plusieurs&nbsp;centaines d’euros de manque&nbsp;à gagner la banque est marrons pour la différence (avec un plafond de 2000€ ça leur faire un gap de 1850€…). Et le commerçant à la garantie d’être payé&nbsp;c’est pour ça qu’ils acceptent aussi facilement&nbsp;la CB (parfois un plafond necessitant la vérification de l’identité peut être demandé mais je ne sais pas si ça se pratique encore souvent…). Et je rappel que c’est uniquement pour les paiement avec utilisation du code de la CB donc cassage de gueule en prime pour avoir le code…





Dans le monde physique je ne sais pas, mais en ligne je peux te certifier que c’est faux. Le commerçant a la garantie d’être payé si et seulement si le paiement a été protégé par 3DSecure (un petit cadeau de plus fait aux banques), sinon c’est pour sa pomme.

Pour le reste ça dépend du contrat que tu as avec le fournisseur de paiement, mais à ma connaissance, hors paypal, un paiement frauduleux sans 3DSecure n’est pas assuré pour le vendeur (pour l’acheteur oui).



Source : des paiements frauduleux sur le site de ma boîte et quelques heures (et milliers d’euros) de perdues avec la banque.



Idem pour moi… Paypal le + possible et je trouve ça beaucoup plus pratique et rapide que 3DS, ça ne me sécurise pas du tout de recevoir un SMS mais me fait perdre du temps.


Je vois que je ne suis pas le seul à abandonner mon téléphone une fois rentré chez moi. Par contre je ne vais pas jusqu’à abandonner le panier, j’essaye d’abord d’atteindre le téléphone


J’ai jamais eu de mail / sms avec 3D Secure, et les paiements sont toujours passés… C’est parce que je paie toujours avec une eCB ? (à usage unique, donc).


On peut parler aussi des solutions 3DS à base de SMS dans les DOM-TOM, c’est assez…. cocasse <img data-src=" />


J’ai eu le soucis sur une commande, mais la commande a été validée quand même.

Un peu gênant pour la réputation du système quand même…


Les infos de cet article NEXT INPACT me désolent : le réseau GIE Cartes Bancaires n’a toujours pas compris que la transparence allait de paire avec la sécurisation des moyens de paiement. La culture du secret du secteur bancaire me déçoit encore une fois.



&nbsp;3D Secure et la carte de paiement à autorisation systématique sont les moyens de paiement en ligne que je préfère (je teste actuellement les cartes bancaires rechargeable : TransCash Neteller).



Dans le réseau BPCE il y a un boîtier (à la place du SMS sur mobile) qui permet de donner un code 3D Secure. C’est la solution la plus fiable actuellement.



&nbsp;


Ca me l’a fait en me relisant. ;)


Le problème est justement l’accumulation des problèmes à une période importante de vente. Et les ventes qui se passent mal se voient plus et font plus de publicités négatives aux sites, que les ventes qui se passent bien.


Oui. La eCarte Bleue rend inutile le 3D Secure.



Accessoirement c’est pas les banques qui l’ont pondu mais Visa et MasterCard, les banques ont autant râlé que les commerçants pour se l’imposer et&nbsp; l’imposer aux marchands. Mais comme le grand chef GIE a dit on prend ça, elles n’ont pas eu le choix.


Tu as essayé la dernière appli BRED ? Attention à ne pas planter ton accès la première fois. Oui je parle des solutions avec génération de code sur les applis, mais si ça on repars sur du classique SMS ou de la date de naissance.

Sinon, désolée, mais je ne suis pas responsable de la transparence ou non du GIE. Au moins on a essayé de savoir pourquoi ça buggait et on ne va pas inventer à leur place une réponse ou des chiffres.


Clairement pour moi la e-carte bleue à usage unique est bien plus sécurisée que le 3DS qui ne s’applique qu’aux sites qui veulent (ou peuvent) bien le mettre en place.

C’est plutôt ce système qui devrait être simplifié et poussé par les banques mais peut être que ça les fait ch*er que dans ce cas ça leur coûte de l’argent au lieu de leur en rapporter…


3DSecure en tout cas avec l’envoi de SMS n’est pas donné non plus.

Pourquoi la e-carte bleue n’est pas plus mise en avant ? Simplement parce que c’était très franco-français comme solution et que les grands émetteurs de cartes (américains) ont voulu une solution globale.

La logique et la sécurité financière sont deux choses bien différentes…








Fuinril a écrit :



Dans le monde physique je ne sais pas, mais en ligne je peux te certifier que c’est faux. Le commerçant a la garantie d’être payé si et seulement si le paiement a été protégé par 3DSecure (un petit cadeau de plus fait aux banques), sinon c’est pour sa pomme.

Pour le reste ça dépend du contrat que tu as avec le fournisseur de paiement, mais à ma connaissance, hors paypal, un paiement frauduleux sans 3DSecure n’est pas assuré pour le vendeur (pour l’acheteur oui).



Source : des paiements frauduleux sur le site de ma boîte et quelques heures (et milliers d’euros) de perdues avec la banque.





J’étais dans la situation de la vente physique. Sur internet, effectivement le vendeur ne peut se voir garantir les sommes contractuellement que si un moyen de protection sécurisé complémentaire est mis en place mais la banque a dû rembourser intégralement les porteurs des cartes utilisées frauduleusement. Mais les gros sites d’e-commerce peuvent se permettre de négocier les contrats monétique à leur avantage.



E-carte bleue n’est pas à usage unique: tu peux l’utiliser dans un Wallet par exemple: tu y mets une e-carte bleue de 500€, à la première utilisation, par exemple 30€, l’e-carte bleue ne peut être utilisée que par le même prestataire( en fait le premier) et à concurrence de 120% de la somme que tu as défini. Par défaut, la durée de validité de la carte est de 3 mois mais tu peux l’augmenter jusqu’à 2 ans. C’est dans les conditions du contrat e-carte bleue. Par contre, il ne faut pas se faire pirater ses identifiants et mots de passe. C’est aussi valable pour PayPal.

C’est le point faible de ces 2 services.

Une double authentification serait bien utile comme le fait Google et Microsoft.


Je fais partie de ceux qui annule leur panier s’il y a une vérification 3D Sécure. Je ne vois pas l’interret de ce système qui me fait perdre du temps et me considère comme un voleur. Et chaque fois que j’annule je prend le temps de me fendre d’un mail au vendeur pour lui expliqué que je n’ai pas le 3D Sécure et que s’il ne met pas un autre moyen de paiement je n’achèterai pas chez lui. Après tout est une question d’équilibre et de confiance. Je fait confiance au vendeur je lui donne mon numéro de carte bancaire. Il a confiance en moi et finalise la transaction si ce n’est pas le cas, je n’ai rien à faire chez ce vendeur.

Après chacun le voit comme il veut mais c’est comme cela que je le vois.


« Sinon, désolée, mais je ne suis pas responsable de la transparence ou non du GIE. »



Moi j’aime bien être responsable de mon paiement et si j’ai besoin d’une banque pour payer, j’aime bien que la banque me donne les moyens de sécuriser la transaction. Payer sur internet n’est pas anodin et sans danger. Trop de banques affirment que la CB est sécurisée (dans le discours des banques : quand tout va bien, c’est grâce à la banque - en cas de fraude c’est la faute du client) alors qu’elles remboursent à leurs clients en France plus de 100 Millions d’euros de fraude sur internet par an (quand elles ne rechignent pas à rembourser leurs clients) avec 650 000 clients victimes en 2012 - source : Afub - vidéo








Rufh a écrit :



Je fais partie de ceux qui annule leur panier s’il y a une vérification 3D Sécure. Je ne vois pas l’interret de ce système qui me fait perdre du temps et me considère comme un voleur. Et chaque fois que j’annule je prend le temps de me fendre d’un mail au vendeur pour lui expliqué que je n’ai pas le 3D Sécure et que s’il ne met pas un autre moyen de paiement je n’achèterai pas chez lui. Après tout est une question d’équilibre et de confiance. Je fait confiance au vendeur je lui donne mon numéro de carte bancaire. Il a confiance en moi et finalise la transaction si ce n’est pas le cas, je n’ai rien à faire chez ce vendeur.

Après chacun le voit comme il veut mais c’est comme cela que je le vois.





C’est pour ta sécurité, pas pour te considérer comme un voleur. Sans cela, si ton numéro de carte est volé sur un site, n’importe qui peut s’en servir.&nbsp;









Cacao a écrit :



Pour moi la CB, c’est totalement obsolète sur internet. On tape un code à partir d’une carte et le client en fait ce qu’il veut derrière. Un système comme paypal est déjà beaucoup plus cohérent (même si je n’aime pas l’idée d’ajouter un intermédiaire qui ponctionne de l’argent au passage).





Décidément, bien peu de gens savent que quand ils payent avec leur CB, la banque prélève un pourcentage de la somme payée (en général autour de 1 à 2%). Donc l’intermédiaire qui ponctionne au passage, il est là et bien là.



Ça leur rapporte tellement que la fraude, bof…



En Belgique le 3D secure nécessite d’avoir son lecteur de carte à portée de main pour générer un code unique basé sur le montant de la transaction. À la maison ça va mais au boulot ou dans le train c’est une vraie plaie lorsque tu veux passer une commande rapidos et que tu tombes sur la foutue fenêtre. Un sms ça m’arrangerait bien :)


Non pas du tout, le client n’y gagne absolument rien en sécurité puisque les paiement frauduleux sont remboursés. Tout juste il y gagne un peu en étant moins embêté (démarches + compte éventuellement et temporairement à découvert) puisque ça arrive moins souvent.



Par contre, si un paiement frauduleux a été fait avec 3D Secure (téléphone et CB volée), ben là il l’a dans l’os autant que pour un paiement frauduleux physique avec code (voire plus peut-être, à vérifier). Donc il y perd même un peu en sécurité.



3D Secure n’a pas été fait pour les clients, mais pour les banques, et éventuellement un peu les marchands mais qui doivent quand même payer pour l’utiliser. Les seuls vrais bénéficiaires sont les banques et les émetteurs de carte de crédit.








Rufh a écrit :



Je fais partie de ceux qui annule leur panier s’il y a une vérification 3D Sécure. Je ne vois pas l’interret de ce système qui me fait perdre du temps et me considère comme un voleur.





<img data-src=" /> C’est sur qu’un numero de carte ne peut jamais être récupéré et utilisé à ton insu…

Je serai toi, je signerai une décharge à ta banque et aux sites internet, disant qu’en cas d’utilisation frauduleuse de ta carte, tu en es le seul responsable… <img data-src=" />









Fuinril a écrit :



C’est un énorme frein commercial : beaucoup de gens ne reçoivent jamais le sms, ou n’ont pas leur téléphone sous la main ou n’ont pas leur numéro de mobile enregistré auprès de leur banque, ou un ancien…





Problème entre la chaise et le clavier… je ne vois pas en quoi cela remet le système en cause…



De plus, je ne vois pas en quoi un jeton permanent établi avec un marchand est plus sur… Se faire hacker n’est pas impossible: donc désolé mais pour moi une autorisation à chaque fois que tu effectue un paiement est bien mieux… (3DS ou eCB)



« Non pas du tout, le client n’y gagne absolument rien en sécurité puisque les paiement frauduleux sont remboursés. Tout juste il y gagne un peu en étant moins embêté (démarches + compte éventuellement et temporairement à découvert) puisque ça arrive moins souvent. »




  La "sécurité" ou l'efficacité d'un moyen de paiement électronique est un problème différent du remboursement de la fraude par la banque (Ordonnance du 15 juillet 2009 Code monétaire et financier). Le rôle d'un prestataire de moyen de paiement, ce n'est pas d'assurer le risque de fraude. Son rôle est plutôt de renforcer la confiance dont l'acheteur et le marchand en ligne ont besoin pour consommer/faire du commerce.        






  Le fait d'avoir été victime (du point de vue de l'acheteur ou du commerçant) d'une fraude est une entorse à la confiance nécessaire qui doit s'établir entre l'acheteur et le commerçant. Dire que ce n'est pas un problème parce que c'est le problème de la banque (qui rembourse) est complètement faux.

oops

&nbsp;&nbsp;

&nbsp;

&nbsp;


En ce qui me concerne, je PREFERE un site qui permet de payer avec 3D secure. Ce qui est le cas de quasiment tous mes fournisseurs à l’étranger (Japon et Grande-Bretagne, mais pas aux USA, curieux… <img data-src=" /> )



Les sites français ne s’y mettent qu’à reculons, seul Matériel dans mes fournisseurs habituels propose le paiement avec 3D secure…


Tiens, RDC avait fini par abandonner son système de photocopie carte d’identité et carte bleue? Perso ça m’avait incité à ne jamais acheter chez eux, d’autant plus qu’il fallait envoyer ça par mail avec dans les conditions “Les informations demandées sont nécessaires à Rue du Commerce et à ses prestataires situés dans et hors de l’Union européenne”. Je préfère largement un site qui propose 3D Secure à ce type de système D…








carbier a écrit :



Problème entre la chaise et le clavier… je ne vois pas en quoi cela remet le système en cause…



De plus, je ne vois pas en quoi un jeton permanent établi avec un marchand est plus sur… Se faire hacker n’est pas impossible: donc désolé mais pour moi une autorisation à chaque fois que tu effectue un paiement est bien mieux… (3DS ou eCB)





Problème entre la chaise et le clavier ? Et si je ne veux pas de téléphone portable ? Et si je ne veux pas filer mon numéro de portable à ma banque pour raison X ou Y ? Et si je me fais piquer mon sac dans lequel il y a mon portable et ma CB ? Ou, plus simplement, comme déjà dit ici, si mon portable est dans le salon et moi dans la cuisine ?



Ce que tu ne sembles pas comprendre c’est que le token d’auth est valable pour une transaction prédéfinie, pas 50, et que si le marchand se fait hack et que le token est utilisé l’argent est viré sur le compte du marchand (qui pourra donc remboursé) pas sur n’importe lequel…



Visiblement c’est un domaine dans lequel tu as peu d’xp, pour bosser pour une boite d’ecommerce, à l’époque où on avait 3D secure dis toi simplement qu’on avait une personne à temps plein dédié à rappeler les clients qui abandonnaient une transaction à 3D secure (et on est pas 80). Tout le monde n’est pas technophile…



ATOS… quelle bande de pro des fois ^^



A se demander pourquoi certains les ont gentillement écartés de leurs SI dans le milieu du paiement.








Fuinril a écrit :



Problème entre la chaise et le clavier ? Et si je ne veux pas de téléphone portable ? Et si je ne veux pas filer mon numéro de portable à ma banque pour raison X ou Y ? Et si je me fais piquer mon sac dans lequel il y a mon portable et ma CB ? Ou, plus simplement, comme déjà dit ici, si mon portable est dans le salon et moi dans la cuisine ?



Tu bouges ton cul pour aller commander ta 8e pizza, rogntudjuuuuu.

Quelle tuile! Il faudra encore te lever pour aller répondre au livreur.









psn00ps a écrit :



Tu bouges ton cul pour aller commander ta 8e pizza, rogntudjuuuuu.

Quelle tuile! Il faudra encore te lever pour aller répondre au livreur.





La question n’est pas là, mais de simplifier au maximum l’expérience utilisateur pour augmenter le plus possible le taux de conversion. 3D secure est un frein, que ce soit par ce que l’utilisateur est feignant ou pour toute autre raison.&nbsp;



Le client potentiel n’a pas 10km à faire pour aller voir un concurrent sur le net, tout ce qui va le contrarier conduira presque systématiquement à un abandon de panier, et avec 3D secure des raisons il y en a des tas (cas classique du changement de numéro non transmis à la banque par exemple).



C’est un système pensé à la va vite en terme fonctionnel et qui avantage outrageusement les banques puisque les commerçants ont plein de raisons de ne pas l’utiliser. Des sociétés fournissent une garantie de paiement aux commerçants sans 3D secure (paypal, par exemple) via d’autres moyens de sécurité transparents et non contraignants et les banques n’en sont pas capables ?





Bref de toutes façons l’équation est simple : combien coute 3D secure en CA perdu contre combien coute la fraude