3D Secure : nombreux refus à cause d’un nom de domaine non renouvelé, la situation s’améliore

3D Secure est une solution permettant de sécuriser les transactions sur Internet. Problème, depuis hier les rejets de paiements se multiplient chez de nombreux commerçants. Cette fois-ci, une erreur humaine en est la cause : un nom de domaine n'a pas été renouvelé par Atos Worldline.

Depuis hier matin, il est parfois difficile de valider un paiement par carte bancaire chez certains revendeurs en ligne. Une fois de plus, le problème se situe au niveau de la validation 3D Secure. Pour rappel, celle-ci avait déjà causé des soucis fin 2014, en pleine période de course de Noël.

Les causes ne sont pas les mêmes, même si on retrouve au moins une similitude dans les deux cas : Atos Worldline. Si les serveurs étaient tombés en 2014, cette fois-ci, c'est une erreur humaine qui a fait s'effondrer le système d'authentification des paiements tel un château de cartes : un nom de domaine n'a pas été renouvelé à temps (pour wlp-acs.com). D'une facture de 12 euros, on passe ainsi à des milliers, voire des millions d'euros pour les revendeurs impactés.

3D Secure : une chaine de sécurité aux multiples maillons...

Avant d'entrer dans le vif du sujet, commençons par un rappel du fonctionnement de 3D Secure, une vérification supplémentaire qui prend également le nom de « Verified by Visa » ou « MasterCard SecureCode » suivant les cas. Pour résumer, lors d'un achat, le client doit saisir un code de confirmation en plus du numéro de la carte bancaire, de sa date de validité et de son code CVV (cryptogramme visuel au dos de la carte). Il peut être envoyé par SMS, provenir d'une carte de validation, etc. Parfois, il est même possible de valider via l'application mobile de sa banque, sur son smartphone.

Lorsqu'un client valide un paiement, l'ecommerçant (ou son prestataire le cas échéant) interroge MasterCard ou Visa suivant le type de carte. Ces derniers interrogent alors le serveur d’authentification (Access Control Server, ou ACS) de l'émetteur de la carte pour savoir si 3D Secure est activé ou non. Plusieurs banques françaises utilisent les services d'Atos Worldline pour cette étape.

Si 3D Secure est en place pour la carte concernée, une URL vers le site de la banque est renvoyée afin de mettre en place l'étape de validation supplémentaire. Dans le cas contraire, le serveur précise que la carte n'est pas « enrôlée », le paiement suit son cours sans 3D Secure.

... quand l'un tombe, c'est l'effet boule de neige

Problème depuis hier matin aux alentours de 10h30, le serveur ACS d'Atos Worldline répondait que la carte n'était pas « enrôlée », même si c'était le cas. La cause ? Le nom de domaine wlp-acs.com utilisé par Atos est arrivé à expiration le 12 juin... et n'a été renouvelé que le 14 juin. Trop tard puisque les nouveaux DNS étaient déjà en place et ne redirigeaient plus vers Atos.

Non-renouvellement du domaine https://t.co/fBk4RmgzUo, utilisé par ce service. Données ici : https://t.co/csBLj3vSEm #DNS

— [Mastodon]Bortzmeyer (@bortzmeyer) 15 juin 2017

La conséquence ne s'est pas fait attendre : des échecs de routage ont bloqué le trafic 3D Secure vers le serveur ACS. Un de nos contacts nous explique alors qu'Atos répondait que la carte n'était pas « enrôlée », même si c'était le cas. La demande de paiement suit alors sa route avant d'être refusée par l'émetteur de carte qui ne comprend pas : pour lui la carte est enrôlée, alors que le prestataire précise que non. Bref, une information erronée sur 3D Secure qui met un terme à la procédure d'achat.

Un déroulement des faits également confirmé par Nicolas Milano, directeur général de l'hébergeur Mengine sur ce billet d'alerte, ainsi que par la boutique Les Dessous Chics sur sa page Facebook.

Nom de domaine renouvellé, mais les serveurs DNS ne sont pas tous à jour

D'après nos sources, l'incident aurait été identifié jeudi vers 10h40, avec une correction déployée vers 11h (renouvellement du nom de domaine). Il faut maintenant attendre que la « propagation » – ou plutôt la réjuvénation pour le spécialiste du sujet Stéphane Bortzmeyer – des DNS se fasse, ce qui peut prendre jusqu'à 24 et 48 heures.

Toujours selon nos sources, des mises à jour ont été mises en place sur certains serveurs DNS afin de forcer la mise à jour au plus vite. C'est notamment le cas d'Orange, de Google et d'OpenDNS (Cisco) depuis hier, ainsi que SFR depuis ce matin. Dans tous les cas, la situation devrait rentrer dans l'ordre d'elle-même au cours des prochaines heures, avec une mise à jour automatique des serveurs DNS.

Selon PayZen, qui s'appuie sur une communication de Visa, « le réseau ACS de Worldline (permettant la bonne réalisation du système de sécurité 3D Secure) connait toujours des perturbations, mais une nette amélioration des traitements est observée. Un retour à la normal est espéré pour la fin de la journée » :

#3Dsecure : Un retour à la normal est espéré pour la fin de la journée. Enfin ! pic.twitter.com/RUt4X0cGQV

— BigXof (@christophevidal) 15 juin 2017

Nous avons tenté de contacter Atos Worldline afin d'avoir des précisions et savoir si des mesures avaient été prises pour éviter qu'un tel incident ne se reproduise à l'avenir, sans réponse pour le moment. Le groupe ne semble d'ailleurs pas spécialement prompt à réagir puisqu'il avait déjà refusé de nous commenter la situation fin 2014, et qu'il ne donne pas plus de détails sur les réseaux sociaux.

Un problème ? Quel problème ?

Sur les réseaux sociaux et leurs blogs, plusieurs professionnels font part de leur mécontentement face au manque d'information de la part des banques. « Aucune communication » regrette ainsi Nicolas Milano. Agacement également du côté de Stéphane Alligne (Dotnet) : « Monético (solution de paiement du Crédit Mutuel) n'a même pas envoyé un mail pour prévenir les Ecommerçants ! Un simple message dans l'interface annonce le problème ».

Ce douloureux épisode pour les e-commerçants – un des acteurs du secteur évoque un taux de rejet d'environ 30 % sur les commandes, alors que pour un autre il est question de 40 % – n'est une nouvelle fois pas sans soulever la délicate question de la concentration. Lorsqu'un des acteurs tombe, c'est ensuite l'effet domino pour tous ceux qui utilisent ses services. Une situation que nous avons évoquée à plusieurs reprises dans le cas des hebergeurs Cedexis et Oxalide, mais aussi avec l'épisode du prestataire GLI par exemple.

La question de la concentration revient encore une fois

Dans le cas présent, « la société qui gère l’ensemble du processus 3D Secure connait un incident majeur. Cet incident impacte toutes les banques sauf les porteurs de carte du groupe Crédit Mutuel », et donc du CIC qui fait partie du même groupe, explique Les Dessous Chics sur son compte Facebook. Une information qui nous a d'ailleurs été confirmée.

Les boutiques en ligne ont tout de même une possibilité de contournement : désactiver 3D Secure (lorsque c'est possible)... mais en prenant alors le risque de devoir supporter elle-même le coût des paiements frauduleux. Un choix qui a été fait par certains pour tenter de boucher l'hémorragie. En effet, si certains clients peuvent reporter leur achat à plus tard, dans d'autres cas il est facile de trouver un autre revendeur qui propose le même objet, sensiblement au même prix, mais sans 3D Secure. C'est par exemple le cas d'un mastodonte du secteur, Amazon.

Une autre solution est de proposer un paiement par PayPal à la place de la carte bancaire. Ce changement n'est pas anodin selon un spécialiste du secteur, qui nous précise que cela à un coût pour le client. Alors que les taux de commissions sont aux alentours de 0,5 à 0,7 % avec une carte bancaire, ils passent à 3 ou 4 % avec PayPal.

🔴 En raison d'un bug national sur le paiement 3D Secure, nous vous recommandons d'utiliser Paypal dans l'attente d'une résolution 😉 pic.twitter.com/wik6QfkKSI

— Videdressing (@Videdressing) 14 juin 2017

Le manque a gagner se fait apparement ressentir dans certaines boutiques. Stéphane Alligne annonce une baisse de 70 % de son chiffre d'affaires, contre 65 % pour Les Dessous Chics... « en ayant pourtant reussi à sauver la soirée en désactivant 3D Secure ». D'autres ont visiblement eu plus de chances et n'ont quasiment pas d'impacts en ayant rapidement désactivé 3D Secure.