Si vous avez essayé d’acheter vos cadeaux de Noël sur le Web le mois dernier, vous avez sans doute eu droit à de nombreux messages d’erreurs sur certains sites. La raison vient des ratés rencontrés par le système de validation des paiement 3D Secure.
De fin octobre à fin novembre, faire ses courses sur le Web francophone n’était pas une partie de plaisir pour certains clients. En effet, au moment de passer en caisse, les paiements étaient refusés les uns après les autres alors même que les comptes étaient créditeurs et les cartes valides. Un coup des brigades « anti-gaspillages de Noël » ? Non, tout simplement une série de ratés dans le système 3D Secure mis en place par Visa et MasterCard pour authentifier les paiements en ligne.
Que s’est-il passé ? Officiellement rien du tout : tout va très bien Madame la marquise. Pour Pierre Chassigneux, directeur des projets du GIE Cartes bancaires, les problèmes rencontrés « sont des petits incidents de production limités. Ils ne sont pas de nature à remettre en question les achats sur Internet. » D’ailleurs, MasterCard estime nécessaire de préciser, par le biais de son directeur général Régis Folbaum, que « Les banques n’ont pas remonté d’incident à MasterCard et nos équipes n’ont rien observé d'anormal de leur côté. Il n’y a pas eu de problèmes avec le 3DS directory server de MasterCard. De plus, MasterCard n’a évidemment pas de problème pour gérer la montée en charge au moment des périodes de pics d'activité. À cette période-là, nous prenons des précautions supplémentaires : nous interrompons avant Thanksgiving toutes les opérations de migration et de maintenance lourde. »
Alors que s’est-il passé ? Nous avons posé la question à trois prestataires de paiements différents et ceux-ci, sous couvert d’anonymat, nous ont livré le fruit de leurs constatations.
Billard à trois bandes... et à mille trous
Pour bien comprendre, il faut déjà savoir comment fonctionne 3D Secure. Ce système de vérification est un jeu de billard à trois bandes entre le client, sa banque, le site marchand et sa propre banque. Au moment de valider la transaction, le client donne les informations de sa carte au système de paiement du marchand. Celui-ci est le plus souvent administré pour son compte par un prestataire de paiement en direct, ou via le service souscrit par sa banque.
Les cartes bancaires sont déjà répertoriées dans les serveurs annuaires des grands émetteurs que sont Visa et MasterCard. Sa mise à jour se fait par les banques qui peuvent y ajouter ou non leurs cartes bancaires simples (valables uniquement pour le territoire national). En recevant les informations, le marchand va se connecter à l’annuaire de l’émetteur de la carte et au serveur de la banque du client.
Celle-ci va alors envoyer une requête à l'acheteur afin qu'il prouve son identité via une information complémentaire (date de naissance, code unique à cinq chiffres reçu par SMS ou généré par l’application mobile de la banque). C’est seulement quand cette information est entrée sur la page de paiement que l’achat est validé.
Mais voilà, depuis fin octobre, différents couacs ont affecté cette dernière phase de vérification.
Jour férié et sous-évaluation de la charge de travail
Tout d’abord, il semblerait que si MasterCard évite de faire des mise à jour ou de test durant cette période sensible, ce ne soit pas le cas de l’autre grand émetteur impliqué. Il a ainsi eu la bonne idée de faire ses tests de charge le 31 octobre dernier, faisant tomber la vérification de plusieurs banques.
Ensuite, un réseau de banques mutualistes françaises a décidé de son côté de changer de serveur d’authentification et de passer sur Dictao. Pendant la transition, les authentifications n’étaient pas disponibles et durant trois jours, les clients de ces banques n’ont pu utiliser 3D Secure. D’autre part, Paybox, le prestataire de paiement de Crédit Agricole, a oublié de renouveler une clé d’authentification qui est arrivée à échéance le 11 novembre, en plein jour férié. Le temps que le problème soit identifié, la plupart des porteurs de cartes Crédit Agricole se sont vu refuser leurs achats. Trois jours plus tard, tout rentrait dans l’ordre.
Mais le gros des problèmes rencontrés vient surtout d’un prestataire de paiement, Atos Worldline, dont les serveurs sont tombés durant cette période d’après les constatations d'autres acteurs de la chaînes (prestataires, émetteurs de cartes et banques). Pourquoi ? Contactée, la société n'a pas souhaité faire de commentaires. Il semblerait néanmoins qu’elle ait mal évalué le nombre de transactions, et qu'elle ait rajouté depuis des serveurs afin de répondre à la montée en charge. Ajoutez à cela quelques problèmes au niveau des plateformes d’envoi de SMS, engorgées, et vous pourrez avoir une idée des turbulences qui ont atteint le petit monde du e-commerce français le mois dernier.
Du côté des boutiques en ligne, l'impact a été constaté pendant cette période et celle du fameux Black Friday. Pour autant, nos contacts nous indiquent qu'il a été largement minimisé par le fait que seule une petite partie de leurs transactions passent par 3D Secure. Mais cela « n’incite pas du tout à en passer plus » nous confiera l'une d'elles. Résultat, certains ont préféré désactiver le système le temps que les choses se tassent, quitte à passer par une vérification plus archaïque en attendant et à irriter quelques clients au passage :
@Polo_Seo @rueducommerce 3d secure est planté de partout... Faut bien assurer quand même...
— Yannick Simon (@ysimonx) 1 Décembre 2014
Un 3D pas si Secure, mais en attendant…
Du coup, certains s’interrogent sur l’utilité d’un système tel que 3D Secure. D’autant que les sites marchands français trainent des pieds pour l’adopter et ne le font souvent que parce qu’il est imposé dans les contrats signés avec leurs banques. En 2013, des amendements déposés à l'Assemblée nationale et au Sénat avaient chercher à le faire par la loi, mais ils ont été rejetés ou retirés, notamment du fait de l'opposition de certains acteurs qui y voient une perte d'efficacité lorsqu'il s'agit de finaliser les ventes, et trouvent l'ensemble inadapté et mal conçu par rapport aux besoins actuels.
Au GIE Carte bancaire, on constate qu’« à peu près 60 % des commerçants utilisent le système 3D Secure : environ 45 000 commerçants sur les 68 000 commerçants affiliés au système CB. Cela ne veut pas dire qu’ils mettent en œuvre 3D secure de façon systématique, de nombreux commerçants ont recours à 3D Secure sur la base d'une analyse de risque. » D’ailleurs pour Pierre Chassigneux, le nombre de transactions globales e-commerce qui font l’objet d’une authentification 3D Secure est de l’ordre de 22 % en nombre et de 30 % en montant du total de transactions e-commerce CB en France : « Le nombre de transactions 3D Secure, c'est à dire qui ont fait l'objet d'une authentification forte des clients, est en légère augmentation par rapport au semestre précédent. »
Que faire ? Pour Stéphane Boyera, responsable paiement Web du W3C, « 3D Secure a été une réponse qui a convenu à l’industrie à un moment donné. Aujourd’hui, il y a plein de raison qui font que cela ne convient plus à l’ensemble des acteurs. Les premiers acteurs qui n’en veulent pas sont les marchands, car la façon dont c’est implémenté génère un fort taux d’abandon des paniers. Pour nous, la réponse à ce problème est le porte-monnaie électronique : toujours apporter la même interface à l’utilisateur pour réaliser ses paiements. » Et l’intérêt de plus en plus fort des banques françaises pour des solutions telles que Paylib va dans ce sens.
Mais que fait Laurent si la boutique en ligne ne gère pas Paylib, comme de très nombreuses boutiques en ligne ?
Après BNP Paribas, la Société Générale et la Banque postale, le Crédit Agricole et le Crédit Mutuel Arkéa vont désormais proposer ce portefeuille électronique à leurs clients, mais force est de constater que rares sont les sites qui le proposent actuellement lors d'un achat, contrairement à des concurrents comme PayPal.
Mais personne ne fera disparaître rapidement 3D Secure pour autant : « En toute humilité, le taux de pénétration de 3DS s’améliore d’année en année, et malgré ses limites il apporte des avantages conséquents. On ne va pas lâcher la proie pour l’ombre, » confie Régis Folbaum. Et MasterCard fourmille d’idées pour sécuriser autrement le commerce : tokenisation (où la carte bancaire est remplacée par un jeton permanent valable chez le marchand à la manière du One-click d’Amazon ou d'Apple Pay), utilisation de la biométrie et du Talk-to-pay. Dans ce dernier cas, le client dit une phrase prédéfinie qui fait office de mot de passe et le logiciel analyse sa voix afin de valider son identité (voir la vidéo ci-dessous). Une solution actuellement testée par La Banque postale.
Reste à mettre en place ces infrastructures, et à donner envie aux clients et aux marchands de les utiliser en les rendant assez simples et peu chères. Et pour les soldes à renforcer celles dédiées à 3D Secure si le Web français ne veut plus voir de pannes en cascade !
Commentaires (53)
#1
Pour moi, ce plantage s’est traduit par la réception des codes uniques 4H après la demande !
Autant dire que les transactions sont expirées… Bon c’est pas bien grave, c’est pas la fin du monde.
Sinon GG le test de charge le 31 Octobre, on voit que les mecs de l’IT et le reste du monde sont en phase…
#2
Le truc de 3DS c’est aussi que c’est pas réfléchi par les banques… genre moi je ne pouvais plus me servir de ma VISA en ligne parce que 3DS voulait m’envoyer un SMS, mais l’interface de la banque n’acceptait pas les numéros à l’étranger " />
Maintenant c’est configuré sur ma date de naissance…
Et de toute façon ca n’a pas empêcher de me retrouver avec des transactions frauduleuses sur ma carte " /> , ce qui ne m’était jamais arrivé avant 3DS d’ailleurs " />
#3
Pour moi la CB, c’est totalement obsolète sur internet. On tape un code à partir d’une carte et le client en fait ce qu’il veut derrière. Un système comme paypal est déjà beaucoup plus cohérent (même si je n’aime pas l’idée d’ajouter un intermédiaire qui ponctionne de l’argent au passage).
3D Secure, c’est bien mais il faudrait le rendre obligatoire. Enfin, à condition que ça marche mieux car j’ai déjà des soucis avec.
Un soucis pas trop fréquent c’est d’attendre le code par SMS… j’ai déjà eu le code si tard que la page pour le taper avait expiré et ma commande sur le site client avec.
Un autre plus fréquent (mais peut-être pas lié à 3D Secure) c’est la case “nom prénom” souvent associée au code. Je sais jamais si je dois mettre M. avant ou MR… et des fois, la validation se bloque à ce niveau avec un message du genre “votre nom ne corresponds pas au nom fourni par votre banque”.
#4
3ds est un système pensé pour la protection du commerçant, pas du consommateur.
Ça garantie au commerçant de se faire payer, et ça a un coût.
Si vous vous faits voler votre carte, le voleur n’aura qu’a aller sur un site n’activant pas le 3DS… (ex : Amazon qui s’est rendu compte que le 3ds entrainait des abandons de commandes et a préféré simplifier le parcours client, quitte à prendre en charge le cout d’éventuelles fraudes)
#5
#6
Donc si j’ai bien compris le problème:
Perso: sur les quelques paiements 3DS que j’ai pu faire sur la période: aucun problème.
Ensuite l’abandon de panier ? " /> c’est sur que rentrer un code que tu reçois par SMS 3s après validation de ta CB c’est super relou…
En gros, je ne vois pas en quoi le problème ici est le 3DS.
Le problème est surtout l’enchainement d’incompétence de bras cassés tout au long de la filière…
#7
Je suis un peu fatigué, en lisant le titre j’ai cru qu’il y avait un problème avec Nintendo " />
#8
#9
Pour nom/prénom, MR, M. etc., met l’identité complète telle qu’elle est embossée sur ta carte.
#10
Et MasterCard fourmille d’idées pour sécuriser autrement le commerce :
C’est sur qu’avoir un jeton permanent chez un commerçant qui du coup n’identifiera que via un compte c’est beaucoup plus sur…
Et je ne parle même du fait de laisser des données biométriques sur le net… " /> c’est vachement mieux que de taper un code reçu par SMS…
#11
#12
#13
3DS, c’est le truc hyper chiant quand je commande en ligne et que mon téléphone n’est pas à côté de moi….. " />
#14
#15
Bien d’accord.
Mais le faire un 31, c’est déjà pas top (fin de mois, achats plus nombreux tout ça, gens qui touchent leurs salaires…)
Et le 31 octobre cette année, c’était (pour les commerçant) un évènement particulier. Donc tu fais ton test de charge un mardi ou jeudi, au milieu du mois, et si possible pas avant ou après un jour férié.
#16
#17
#18
Une double vérification via une appli mobile genre Google authenticatoraura au moins l’avantage de ne pas avoir besoin du SMS (ce qui simplifie les questions de changement de numéro de tel ou voyage çà l’étranger.)
#19
#20
#21
#22
#23
#24
Idem pour moi… Paypal le + possible et je trouve ça beaucoup plus pratique et rapide que 3DS, ça ne me sécurise pas du tout de recevoir un SMS mais me fait perdre du temps.
#25
Je vois que je ne suis pas le seul à abandonner mon téléphone une fois rentré chez moi. Par contre je ne vais pas jusqu’à abandonner le panier, j’essaye d’abord d’atteindre le téléphone
#26
J’ai jamais eu de mail / sms avec 3D Secure, et les paiements sont toujours passés… C’est parce que je paie toujours avec une eCB ? (à usage unique, donc).
#27
On peut parler aussi des solutions 3DS à base de SMS dans les DOM-TOM, c’est assez…. cocasse " />
#28
J’ai eu le soucis sur une commande, mais la commande a été validée quand même.
Un peu gênant pour la réputation du système quand même…
#29
Les infos de cet article NEXT INPACT me désolent : le réseau GIE Cartes Bancaires n’a toujours pas compris que la transparence allait de paire avec la sécurisation des moyens de paiement. La culture du secret du secteur bancaire me déçoit encore une fois.
3D Secure et la carte de paiement à autorisation systématique sont les moyens de paiement en ligne que je préfère (je teste actuellement les cartes bancaires rechargeable : TransCash Neteller).
Dans le réseau BPCE il y a un boîtier (à la place du SMS sur mobile) qui permet de donner un code 3D Secure. C’est la solution la plus fiable actuellement.
#30
Ca me l’a fait en me relisant. ;)
#31
Le problème est justement l’accumulation des problèmes à une période importante de vente. Et les ventes qui se passent mal se voient plus et font plus de publicités négatives aux sites, que les ventes qui se passent bien.
#32
Oui. La eCarte Bleue rend inutile le 3D Secure.
Accessoirement c’est pas les banques qui l’ont pondu mais Visa et MasterCard, les banques ont autant râlé que les commerçants pour se l’imposer et l’imposer aux marchands. Mais comme le grand chef GIE a dit on prend ça, elles n’ont pas eu le choix.
#33
Tu as essayé la dernière appli BRED ? Attention à ne pas planter ton accès la première fois. Oui je parle des solutions avec génération de code sur les applis, mais si ça on repars sur du classique SMS ou de la date de naissance.
Sinon, désolée, mais je ne suis pas responsable de la transparence ou non du GIE. Au moins on a essayé de savoir pourquoi ça buggait et on ne va pas inventer à leur place une réponse ou des chiffres.
#34
Clairement pour moi la e-carte bleue à usage unique est bien plus sécurisée que le 3DS qui ne s’applique qu’aux sites qui veulent (ou peuvent) bien le mettre en place.
C’est plutôt ce système qui devrait être simplifié et poussé par les banques mais peut être que ça les fait ch*er que dans ce cas ça leur coûte de l’argent au lieu de leur en rapporter…
#35
3DSecure en tout cas avec l’envoi de SMS n’est pas donné non plus.
Pourquoi la e-carte bleue n’est pas plus mise en avant ? Simplement parce que c’était très franco-français comme solution et que les grands émetteurs de cartes (américains) ont voulu une solution globale.
La logique et la sécurité financière sont deux choses bien différentes…
#36
#37
E-carte bleue n’est pas à usage unique: tu peux l’utiliser dans un Wallet par exemple: tu y mets une e-carte bleue de 500€, à la première utilisation, par exemple 30€, l’e-carte bleue ne peut être utilisée que par le même prestataire( en fait le premier) et à concurrence de 120% de la somme que tu as défini. Par défaut, la durée de validité de la carte est de 3 mois mais tu peux l’augmenter jusqu’à 2 ans. C’est dans les conditions du contrat e-carte bleue. Par contre, il ne faut pas se faire pirater ses identifiants et mots de passe. C’est aussi valable pour PayPal.
C’est le point faible de ces 2 services.
Une double authentification serait bien utile comme le fait Google et Microsoft.
#38
Je fais partie de ceux qui annule leur panier s’il y a une vérification 3D Sécure. Je ne vois pas l’interret de ce système qui me fait perdre du temps et me considère comme un voleur. Et chaque fois que j’annule je prend le temps de me fendre d’un mail au vendeur pour lui expliqué que je n’ai pas le 3D Sécure et que s’il ne met pas un autre moyen de paiement je n’achèterai pas chez lui. Après tout est une question d’équilibre et de confiance. Je fait confiance au vendeur je lui donne mon numéro de carte bancaire. Il a confiance en moi et finalise la transaction si ce n’est pas le cas, je n’ai rien à faire chez ce vendeur.
Après chacun le voit comme il veut mais c’est comme cela que je le vois.
#39
« Sinon, désolée, mais je ne suis pas responsable de la transparence ou non du GIE. »
Moi j’aime bien être responsable de mon paiement et si j’ai besoin d’une banque pour payer, j’aime bien que la banque me donne les moyens de sécuriser la transaction. Payer sur internet n’est pas anodin et sans danger. Trop de banques affirment que la CB est sécurisée (dans le discours des banques : quand tout va bien, c’est grâce à la banque - en cas de fraude c’est la faute du client) alors qu’elles remboursent à leurs clients en France plus de 100 Millions d’euros de fraude sur internet par an (quand elles ne rechignent pas à rembourser leurs clients) avec 650 000 clients victimes en 2012 - source : Afub - vidéo
#40
#41
#42
En Belgique le 3D secure nécessite d’avoir son lecteur de carte à portée de main pour générer un code unique basé sur le montant de la transaction. À la maison ça va mais au boulot ou dans le train c’est une vraie plaie lorsque tu veux passer une commande rapidos et que tu tombes sur la foutue fenêtre. Un sms ça m’arrangerait bien :)
#43
Non pas du tout, le client n’y gagne absolument rien en sécurité puisque les paiement frauduleux sont remboursés. Tout juste il y gagne un peu en étant moins embêté (démarches + compte éventuellement et temporairement à découvert) puisque ça arrive moins souvent.
Par contre, si un paiement frauduleux a été fait avec 3D Secure (téléphone et CB volée), ben là il l’a dans l’os autant que pour un paiement frauduleux physique avec code (voire plus peut-être, à vérifier). Donc il y perd même un peu en sécurité.
3D Secure n’a pas été fait pour les clients, mais pour les banques, et éventuellement un peu les marchands mais qui doivent quand même payer pour l’utiliser. Les seuls vrais bénéficiaires sont les banques et les émetteurs de carte de crédit.
#44
#45
#46
« Non pas du tout, le client n’y gagne absolument rien en sécurité puisque les paiement frauduleux sont remboursés. Tout juste il y gagne un peu en étant moins embêté (démarches + compte éventuellement et temporairement à découvert) puisque ça arrive moins souvent. »
#47
oops
#48
En ce qui me concerne, je PREFERE un site qui permet de payer avec 3D secure. Ce qui est le cas de quasiment tous mes fournisseurs à l’étranger (Japon et Grande-Bretagne, mais pas aux USA, curieux… " /> )
Les sites français ne s’y mettent qu’à reculons, seul Matériel dans mes fournisseurs habituels propose le paiement avec 3D secure…
#49
Tiens, RDC avait fini par abandonner son système de photocopie carte d’identité et carte bleue? Perso ça m’avait incité à ne jamais acheter chez eux, d’autant plus qu’il fallait envoyer ça par mail avec dans les conditions “Les informations demandées sont nécessaires à Rue du Commerce et à ses prestataires situés dans et hors de l’Union européenne”. Je préfère largement un site qui propose 3D Secure à ce type de système D…
#50
#51
ATOS… quelle bande de pro des fois ^^
A se demander pourquoi certains les ont gentillement écartés de leurs SI dans le milieu du paiement.
#52
#53