Si vous avez essayé d’acheter vos cadeaux de Noël sur le Web le mois dernier, vous avez sans doute eu droit à de nombreux messages d’erreurs sur certains sites. La raison vient des ratés rencontrés par le système de validation des paiement 3D Secure.
De fin octobre à fin novembre, faire ses courses sur le Web francophone n’était pas une partie de plaisir pour certains clients. En effet, au moment de passer en caisse, les paiements étaient refusés les uns après les autres alors même que les comptes étaient créditeurs et les cartes valides. Un coup des brigades « anti-gaspillages de Noël » ? Non, tout simplement une série de ratés dans le système 3D Secure mis en place par Visa et MasterCard pour authentifier les paiements en ligne.
Que s’est-il passé ? Officiellement rien du tout : tout va très bien Madame la marquise. Pour Pierre Chassigneux, directeur des projets du GIE Cartes bancaires, les problèmes rencontrés « sont des petits incidents de production limités. Ils ne sont pas de nature à remettre en question les achats sur Internet. » D’ailleurs, MasterCard estime nécessaire de préciser, par le biais de son directeur général Régis Folbaum, que « Les banques n’ont pas remonté d’incident à MasterCard et nos équipes n’ont rien observé d'anormal de leur côté. Il n’y a pas eu de problèmes avec le 3DS directory server de MasterCard. De plus, MasterCard n’a évidemment pas de problème pour gérer la montée en charge au moment des périodes de pics d'activité. À cette période-là, nous prenons des précautions supplémentaires : nous interrompons avant Thanksgiving toutes les opérations de migration et de maintenance lourde. »
Alors que s’est-il passé ? Nous avons posé la question à trois prestataires de paiements différents et ceux-ci, sous couvert d’anonymat, nous ont livré le fruit de leurs constatations.
Billard à trois bandes... et à mille trous
Pour bien comprendre, il faut déjà savoir comment fonctionne 3D Secure. Ce système de vérification est un jeu de billard à trois bandes entre le client, sa banque, le site marchand et sa propre banque. Au moment de valider la transaction, le client donne les informations de sa carte au système de paiement du marchand. Celui-ci est le plus souvent administré pour son compte par un prestataire de paiement en direct, ou via le service souscrit par sa banque.
Les cartes bancaires sont déjà répertoriées dans les serveurs annuaires des grands émetteurs que sont Visa et MasterCard. Sa mise à jour se fait par les banques qui peuvent y ajouter ou non leurs cartes bancaires simples (valables uniquement pour le territoire national). En recevant les informations, le marchand va se connecter à l’annuaire de l’émetteur de la carte et au serveur de la banque du client.
Celle-ci va alors envoyer une requête à l'acheteur afin qu'il prouve son identité via une information complémentaire (date de naissance, code unique à cinq chiffres reçu par SMS ou généré par l’application mobile de la banque). C’est seulement quand cette information est entrée sur la page de paiement que l’achat est validé.
Mais voilà, depuis fin octobre, différents couacs ont affecté cette dernière phase de vérification.
Jour férié et sous-évaluation de la charge de travail
Tout d’abord, il semblerait que si MasterCard évite de faire des mise à jour ou de test durant cette période sensible, ce ne soit pas le cas de l’autre grand émetteur impliqué. Il a ainsi eu la bonne idée de faire ses tests de charge le 31 octobre dernier, faisant tomber la vérification de plusieurs banques.
Ensuite, un réseau de banques mutualistes françaises a décidé de son côté de changer de serveur d’authentification et de passer sur Dictao. Pendant la transition, les authentifications n’étaient pas disponibles et durant trois jours, les clients de ces banques n’ont pu utiliser 3D Secure. D’autre part, Paybox, le prestataire de paiement de Crédit Agricole, a oublié de renouveler une clé d’authentification qui est arrivée à échéance le 11 novembre, en plein jour férié. Le temps que le problème soit identifié, la plupart des porteurs de cartes Crédit Agricole se sont vu refuser leurs achats. Trois jours plus tard, tout rentrait dans l’ordre.
Mais le gros des problèmes rencontrés vient surtout d’un prestataire de paiement, Atos Worldline, dont les serveurs sont tombés durant cette période d’après les constatations d'autres acteurs de la chaînes (prestataires, émetteurs de cartes et banques). Pourquoi ? Contactée, la société n'a pas souhaité faire de commentaires. Il semblerait néanmoins qu’elle ait mal évalué le nombre de transactions, et qu'elle ait rajouté depuis des serveurs afin de répondre à la montée en charge. Ajoutez à cela quelques problèmes au niveau des plateformes d’envoi de SMS, engorgées, et vous pourrez avoir une idée des turbulences qui ont atteint le petit monde du e-commerce français le mois dernier.
Du côté des boutiques en ligne, l'impact a été constaté pendant cette période et celle du fameux Black Friday. Pour autant, nos contacts nous indiquent qu'il a été largement minimisé par le fait que seule une petite partie de leurs transactions passent par 3D Secure. Mais cela « n’incite pas du tout à en passer plus » nous confiera l'une d'elles. Résultat, certains ont préféré désactiver le système le temps que les choses se tassent, quitte à passer par une vérification plus archaïque en attendant et à irriter quelques clients au passage :
@Polo_Seo @rueducommerce 3d secure est planté de partout... Faut bien assurer quand même...
— Yannick Simon (@ysimonx) 1 Décembre 2014
Un 3D pas si Secure, mais en attendant…
Du coup, certains s’interrogent sur l’utilité d’un système tel que 3D Secure. D’autant que les sites marchands français trainent des pieds pour l’adopter et ne le font souvent que parce qu’il est imposé dans les contrats signés avec leurs banques. En 2013, des amendements déposés à l'Assemblée nationale et au Sénat avaient chercher à le faire par la loi, mais ils ont été rejetés ou retirés, notamment du fait de l'opposition de certains acteurs qui y voient une perte d'efficacité lorsqu'il s'agit de finaliser les ventes, et trouvent l'ensemble inadapté et mal conçu par rapport aux besoins actuels.
Au GIE Carte bancaire, on constate qu’« à peu près 60 % des commerçants utilisent le système 3D Secure : environ 45 000 commerçants sur les 68 000 commerçants affiliés au système CB. Cela ne veut pas dire qu’ils mettent en œuvre 3D secure de façon systématique, de nombreux commerçants ont recours à 3D Secure sur la base d'une analyse de risque. » D’ailleurs pour Pierre Chassigneux, le nombre de transactions globales e-commerce qui font l’objet d’une authentification 3D Secure est de l’ordre de 22 % en nombre et de 30 % en montant du total de transactions e-commerce CB en France : « Le nombre de transactions 3D Secure, c'est à dire qui ont fait l'objet d'une authentification forte des clients, est en légère augmentation par rapport au semestre précédent. »
Que faire ? Pour Stéphane Boyera, responsable paiement Web du W3C, « 3D Secure a été une réponse qui a convenu à l’industrie à un moment donné. Aujourd’hui, il y a plein de raison qui font que cela ne convient plus à l’ensemble des acteurs. Les premiers acteurs qui n’en veulent pas sont les marchands, car la façon dont c’est implémenté génère un fort taux d’abandon des paniers. Pour nous, la réponse à ce problème est le porte-monnaie électronique : toujours apporter la même interface à l’utilisateur pour réaliser ses paiements. » Et l’intérêt de plus en plus fort des banques françaises pour des solutions telles que Paylib va dans ce sens.
Mais que fait Laurent si la boutique en ligne ne gère pas Paylib, comme de très nombreuses boutiques en ligne ?
Après BNP Paribas, la Société Générale et la Banque postale, le Crédit Agricole et le Crédit Mutuel Arkéa vont désormais proposer ce portefeuille électronique à leurs clients, mais force est de constater que rares sont les sites qui le proposent actuellement lors d'un achat, contrairement à des concurrents comme PayPal.
Mais personne ne fera disparaître rapidement 3D Secure pour autant : « En toute humilité, le taux de pénétration de 3DS s’améliore d’année en année, et malgré ses limites il apporte des avantages conséquents. On ne va pas lâcher la proie pour l’ombre, » confie Régis Folbaum. Et MasterCard fourmille d’idées pour sécuriser autrement le commerce : tokenisation (où la carte bancaire est remplacée par un jeton permanent valable chez le marchand à la manière du One-click d’Amazon ou d'Apple Pay), utilisation de la biométrie et du Talk-to-pay. Dans ce dernier cas, le client dit une phrase prédéfinie qui fait office de mot de passe et le logiciel analyse sa voix afin de valider son identité (voir la vidéo ci-dessous). Une solution actuellement testée par La Banque postale.
Reste à mettre en place ces infrastructures, et à donner envie aux clients et aux marchands de les utiliser en les rendant assez simples et peu chères. Et pour les soldes à renforcer celles dédiées à 3D Secure si le Web français ne veut plus voir de pannes en cascade !
