L’importance de renforcer l'authentification des paiements en ligne (3DS)

La fraude aux paiements par carte bancaire sur Internet a continué de baisser en 2024, selon le rapport de l’Observatoire de la sécurité des moyens de paiement. L’organisme attribue cette tendance positive à la généralisation de la directive européenne DSP2 et du protocole 3D Secure.

Cette évolution est notable et a permis de maintenir un taux de fraude historiquement bas pour les paiements en ligne. À l’inverse, les transactions ne transitant pas par le protocole 3-D Secure, sans recours à l’authentification forte, restent significativement plus exposées à la fraude. Découvrez dans notre point complet comment ce système d’authentification renforce la sécurité des achats en ligne et ce qu’il faut retenir de son impact.

Qu’est-ce que le protocole 3D Secure ?

La 3D Secure, souvent abrégée en 3DS, est un protocole de sécurité conçu pour protéger les transactions par carte en ligne. Le nom « 3D » fait référence aux « trois domaines » impliqués dans le processus :

• Le domaine du commerçant : le site e-commerce et sa banque.
• Le domaine de l’émetteur : l’acheteur et sa banque qui a émis la carte.
• Le domaine de l’interopérabilité : le système du réseau de cartes (comme Visa, Mastercard) qui assure la communication entre les deux autres domaines.

Le but de ce système est de vérifier l’identité du détenteur de la carte au moment du paiement. Concrètement, lorsqu’un porteur effectue un achat sur un site web sécurisé par 3DS, il est redirigé vers la page d’authentification de sa banque pour valider l’opération.

Cette validation peut prendre différentes formes :

• Un code unique envoyé par SMS sur votre téléphone.
• Une notification sur l’application mobile de votre banque, que vous devez confirmer.
• Un mot de passe personnel ou une empreinte digitale.

Cette méthode d’authentification forte permet de réduire considérablement les risques de fraude et de rassurer les consommateurs sur la sécurité de leurs paiements en ligne.

Histoire de l’authentification 3D Secure

La version initiale du système d’authentification 3DS a été créée au début des années 2000. Elle consistait à envoyer un code de sécurité au client, par SMS ou par courriel, pour qu’il puisse confirmer son paiement.
Progressivement, les principaux réseaux de cartes comme Visa et Mastercard ont pris en main ce sujet pour garantir la sécurité de leurs transactions. Afin d’améliorer l’efficacité du protocole initial et de soutenir le développement des applications mobiles, ces réseaux de cartes ont introduit 3D Secure 2 (3DS2) en 2019. Ce protocole s’appuie désormais sur l’authentification forte (SCA), qui exige au moins deux facteurs d’authentification pour valider un paiement. En 2021, la réglementation européenne DSP2 a rendu obligatoire l’authentification forte pour les transactions en ligne. De ce fait, l’utilisation du protocole 3DS2 est désormais essentielle, en particulier sur les plateformes d’e-commerce.

Les transactions concernées

L’authentification forte est normalement obligatoire pour l’ensemble des paiements réalisés sur Internet. Elle s’impose donc aux commerçants et à toute personne exploitant un site ou une application de vente de biens et services. Certaines transactions bénéficient cependant d’une exemption, à savoir :

• les règlements de sommes inférieures à 30 € ;
• les versements récurrents, dans le cadre d’abonnements, par exemple ;
• les transactions impliquant une banque domiciliée en dehors de l’Union européenne.

Les principales étapes de paiement et d’authentification par 3DS

Pour proposer des paiements sécurisés par le protocole 3DS, le commerçant doit souscrire à l’option correspondante auprès de son prestataire de paiement

De son côté, l’utilisateur doit avoir activé le service 3D Secure auprès de son établissement financier.

Sur le site du vendeur, le recours à ce système est formalisé par un label, présenté au moment du paiement. Chaque système de carte possède le sien : Visa Secure, MasterCard Identity Check, American Express SafeKey, etc.

La validation de l’opération nécessite de suivre deux étapes :

1. L’acheteur saisit les informations inscrites sur sa carte de paiement sur le site marchand. Elles correspondent à son numéro d’identification, à sa date d’expiration et au cryptogramme visuel figurant au verso.

2. La transaction est validée sur l’application mobile de l’établissement financier. C’est la nouveauté intégrée par le protocole 3D Secure 2. Auparavant, la saisie d’un code à usage unique transmis par SMS était suffisante. Désormais, l’acheteur doit s’authentifier sur son application de paiement, en cliquant sur une notification émise par l’émetteur de la carte. Selon l’organisme financier et le smartphone utilisé, l’identification biométrique peut également lui être proposée, pour sécuriser encore davantage l’opération.

3D Secure : Avantages du système de protection

Malgré quelques complexités et un temps d’adoption long, le système d’authentification 3DS s’est installé dans les habitudes des consommateurs. Voici ses principaux avantages

Sécurité des paiements et lutte contre la fraude

En imposant l’utilisation d’un système d’authentification fiable, le protocole 3D Secure sécurise les transactions en ligne. De la même manière, les commerçants réduisent leurs risques d’impayés liés aux fraudes à la carte bancaire.

Respect des règles de la DSP2

La directive européenne DSP2 impose l’utilisation d’un système d’authentification forte pour valider les transactions effectuées en ligne. 3D Secure permet de satisfaire à ces exigences.

Marque de confiance pour les sites et applications

Les consommateurs sont nombreux à se préoccuper de la sécurité de leurs paiements sur Internet. Tout comme le protocole https, le fait d’ offrir une transaction sécurisée par 3DS permet de les rassurer les clients. Ainsi, un site ou une application qui ne proposerait pas ce dispositif pourrait apparaître comme peu fiable.

Pourquoi opter pour la solution 3DS de Treezor ? 

Treezor propose une option sécurisée et robuste compatible avec de nombreuses technologies mobiles et web, ce qui permet d’offrir la solution la plus adaptée à chacun de ses clients pour optimiser l’expérience utilisateur.

Treezor encourage fortement l’authentification biométrique qui permet au porteur de confirmer son identité grâce à son empreinte digitale ou à la reconnaissance faciale. Pour que cette solution puisse lui être proposée, les fonctionnalités de son téléphone portable doivent permettre l’un de ces contrôles.

Ce second système renforce significativement la sécurisation des paiements, en réduisant les risques de fraude, certains escrocs ont également recours au piratage téléphonique pour collecter les informations reçues par SMS.

Les données biométriques, étant intrinsèquement liées à chaque individu sur le plan physique, sont considérablement plus difficiles à capturer, offrant ainsi un niveau de sécurité accru lors des processus d’authentification. Malgré leur caractère personnel, Treezor est en mesure de stocker et de gérer ces données de manière sécurisée, préservant ainsi leur intégrité.