Carnet de notes

Finis­sons-en avec le 3D Secure actuel

Vous avez forcé­ment déjà utilisé le 3D Secure lors d’un paie­ment en ligne. C’est le méca­nisme qui, après la saisie des infor­ma­tions de la carte, vous demande un code reçu par mail ou sms, voire un code dans une grille envoyée par la poste ou votre date de nais­sance.

Côté commerçant ça permet de limi­ter la fraude mais ça augmente aussi drama­tique­ment les aban­dons lors du paie­ment. C’est au point où sauf si vous êtes une cible parti­cu­lière pour la fraude en ligne, les commerçants ont géné­ra­le­ment inté­rêt à désac­ti­ver la fonc­tion­na­lité.

Bon, et puis sérieu­se­ment, si on vole votre sac, le télé­phone est proba­ble­ment à côté de la carte bancaire et le voleur pourra récu­pé­rer le code mail ou sms. Je ne parle même pas des banques qui demandent la date de nais­sance.

Il existe pour­tant des solu­tions, des bonnes, avec des jetons tempo­raires direc­te­ment géné­rés par la carte bancaire. Pourquoi n’avons-nous pas ça ? Ça ne coûte­rait pas si cher à produire en plus.

CodeSe­cure with Dot Matrix LCD (vidéo, commu­niqué de presse Visa, commu­niqué de presse MasterCard).

Il serait temps de faire arri­ver ça concrè­te­ment sur nos cartes, c’est bien plus perti­nent que leur volonté de nous rajou­ter le paie­ment sans contact troué dont personne ne veut. Quand vous en parlez à votre banque, elle vous dit quoi ?

Publié

dans

par

Éric

Étiquettes :

Commentaires

15 réponses à “Finis­sons-en avec le 3D Secure actuel”

  1. Avatar de Anthony Ricaud
    Anthony Ricaud

    En fait, 3D Secure ce n’est pas que ce que tu mentionnes. Il y a aussi des lecteurs qui génère un code à partir de ta carte. C’est le cas au Crédit Coopératif.

    Alors certes, il faut trimballer le lecteur avec soi mais en attendant les cartes toutes intégrées (quid de la source d’énergie d’ailleurs ?), c’est la meilleure solution.

    Répondre
    1. Avatar de edaspet
      edaspet

      Pour l’énergie, vu le besoin et la durée de vie des cartes, ça doit pouvoir s’embarquer facilement je pense

  2. Avatar de mageekguy
    mageekguy

    Les banques n’ont aucun intérêt à remettre en cause les technologies misent en place par le GIE des cartes bancaires.
    Pour en avoir discuté avec plusieurs interlocuteurs plus ou moins haut placé dans différentes banques ou intermédiaire de paiement, dès que l’on parle sécurité, au pire les informations en leur possession étaient erronées, très fragmentaires ou incomplètes, et au mieux, le fait qu’ils étaient mieux informés que les autres faisaient qu’ils pratiquaient la politique de l’autruche.
    Il faut bien comprendre que, de leur point de vue et du GIE, le système actuel est sécurisé à 100% et est donc inviolable.
    Pour eux, toutes les failles découvertes et avérées n’existent pas en réalité ou sont impossibles à mettre en œuvre par le commun des mortels, ce qui est un gage de sécurité comme chacun le sait.
    Et je parle même du NFC et tout les problèmes qui s’y rapporte en terme de fraude potentiel…
    Alors allez remettre en cause le 3D secoure… ce n’est même pas la peine d’y penser.

    Répondre
  3. Avatar de Nabellaleen
    Nabellaleen

    @mageekguy : Les propos, ici, ne sont pas de dire que 3D Secure a des failles (techniques) et doit-être changé pour cela. Mais plutôt dire que c’est un « mauvais » moyen de sécurisation par ses effets sur l’abandon des transactions et de la fragilité de la solution SMS.

    Par contre, comme l’exprime @Anthony, les versions de 3D Secure avec « calculette » sont moins débiles, car il faut le code à 4 chiffres pour effectuer la transaction. Reste le problème de transporter l’appareil avec soit. Intégré à la carte, ça serait en effet un plus.

    Je profites quand même de la discussion pour faire un rappel : dans la loi française, quand il y a de la fraude (par vol ou piratage), les sommes doivent être remboursées au « propriétaire » (porteur), sans frais.
    Le piratage/vol, c’est donc aux banques que ça coûte ! Donc ne vous laissez pas abuser quand ces escrocs veulent vous faire payer le système 3D Secure, ou les e-carte bleu ;)

    Répondre
    1. Avatar de edaspet
      edaspet

      eh non, c’est au commerçant que ça coûte. Le propriétaire de la carte est théoriquement remboursé (théoriquement parce qu’on tente un peu trop souvent de lui faire croire que comme il n’a pas pris l’assurance X ou Y…). Par contre la banque retire d’office le montant au commerçant. Le 3D Secure est là pour ça, apporter une garantie au commerçant qui sinon est le dindon de la farce.
      Vous ne croyez quand même pas que la banque allait prendre une quelconque responsabilité quand même …

  4. Avatar de Aggelos
    Aggelos

    Dans le monde bancaire, la sécurité est une question de foi. Il ne faut surtout pas se remettre en cause, et plusieurs fois les responsables de la sécurité se sont moqués des leveurs d’alertes là ou je bosse.

    Les pirates, eux, avancent dans la « Raison », profitant de toutes les avancées technologiques du marché et d’une connaissance approfondie de la sécurité informatique.

    Et si on compare le niveau informatique moyen du hacker non script kiddie et celui de l’informaticien SSII standard, la question n’est pas « quand », mais « combien » d’argent est détourné

    Répondre
  5. Avatar de bibo360
    bibo360

    Tu dis : « Côté commerçant ça permet de limiter la fraude mais ça augmente aussi dramatiquement les abandons lors du paiement »
    Qu’entends-tu par dramatiquement ? De mon côté, j’ai un taux d’abandon 3Dsecure d’environ 10%, c’est pas mal mais pas dramatique non plus.

    Et puis côté commerçant, cela te garanti le paiement. Et ce quoi qu’en disent les banques. Mon petit doigt m’a raconté que la banque cherchera toujours à récupérer un paiement auprès du commerçant même si celui-ci a reçu le certificat 3D secure. Mais il faut tenir bon et au final la banque prendra en charge le défaut de paiement.

    Mais je digresse, revenons au sujet : une info peu connue (et évidemment peu mise en avant par les banques) est la possibilité de débrayer le 3DSecure en fonction du contexte. Cela permet de mettre en place toute une stratégie de gestion de la fraude beaucoup plus souple tout en améliorant son taux de conversion des paiements. C’est ce que je suis en train d’étudier et d’envisager de mettre en place pour mon service.

    NB : Cette option est refusée par certaines banques m’a dit mon petit doigt.

    Répondre
    1. Avatar de edaspet
      edaspet

      J’ai vu largement plus de 10% mais même ça, je ne sais pas dans quel type de commerce tu es pour te permettre de faire une croix sur 10% des achats en phase de paiement (donc vraiment arrivés au bout). C’est d’autant plus vrai que ceux qui abandonnent sont souvent des premiers clients, qui ne reviendront probablement pas. L’impact est donc sans aucun doute de plus de 10%.

      > Et puis côté commerçant, cela te garanti le paiement.

      Oui, c’est le seul avantage. À voir si cette garantie est contre-balancée par tes manques à gagner. Ça dépend beaucoup des commerces.
      Par contre même si c’est le cas ça ne m’empêche pas de critiquer le système du fait qu’il est pourri et que ça fait perdre 10% ou plus du CA.

      > Mais je digresse, revenons au sujet : une info peu connue (et évidemment peu mise en avant par les banques) est la possibilité de débrayer le 3DSecure en fonction du contexte.

      Oui, c’est souvent payant, pas toujours très souple au niveau des règles, mais c’est effectivement un paliatif. Certains ne l’activent qu’à partir de certains montants, certains le désactivent pour les clients existants ayant au moins une transaction OK. Tout est histoire de risques et de gains, avec un équilibre à trouver.

  6. Avatar de Damien B
    Damien B

    Perso j’aime bien le 3D Secure avec SMS… et puis entendons nous bien, avec les « téléphones intelligents » actuels, si le voleur a accès aux SMS, il a accès à beaucoup plus de choses que la simple CB, et dans tout ce qui va se retrouver en porte-à-faux, la seule chose pour laquelle on va y retrouver ses petits sans trop de problèmes et trop de démarches, c’est justement la CB.

    Après pour la carte de NagraID avec le pavé tactile, tu as les tarifs généraux sur leur site : la carte est grosso-modo 6 fois plus chère, et surtout il faut que les banques changent de fournisseur (si je regarde ce que j’ai sous la main, c’est du SAGEM, Oberthur, Gemalto, pas de NagraID).
    Ensuite, même s’il fallait que le client saisisse un jeton généré par la carte, ça resterait sous le nom « 3DSecure » :-D Et je ne suis pas sûr qu’il y ait moins d’abandon de paiements, d’une, j’ai mon numéro de CB enregistré dans mon KeyPass, et je fais rarement mes achats en ligne avec ma CB à côté de moi, et de deux, ça reste « un truc à faire en plus ».

    Pour le paiement porte-monnaie électronique / sans contact, partout où je l’ai utilisé (hors Monéo), je trouvais ça quand même super pratique, et j’en voudrais bien en France, mais en mode utile, i.e. tous les commerçants avec un lecteur et que ça ne prenne pas deux fois plus de temps à utiliser qu’à payer avec de la monnaie « parce qu’il faut paramétrer la machine ».

    Répondre
  7. Avatar de miK69
    miK69

    Témoignage d’une fraude avec 3d secure :
    au mois de février, je me suis rendu compte que j’avais été débité de 470 USD sur le site moneybookers??!! C’était un usage frauduleux de ma carte bancaire. J’ai fait opposition et les démarches demandées par ma banque, mais maintenant elle me fait comprendre que je ne serai pas couvert par l’assurance de ma carte 1er, car la transaction a été faite via un sms envoyé sur mon portable???. Ils me suggèrent de faire une enquête dans mon entourage. Mon entourage n’y est pour rien.

    Aujourd’hui, j’en conclus que 3Dsecure est risqué car en cas de fraude la banque se défausse et ne veut pas rembourser. En effet quand la fraude est faite sans une transaction 3d secure, la banque rembourse sans problème, ne demande pas de soupçonner son entourage et en plus pas besoin d’avoir une carte 1er .
    Dans mon cas je vais faire faire appelle au médiateur de la banque pour faire valoir mes droits et dès à présent j’ai demandé à ce que ma banque supprime mon n° de portable de leurs applis.

    Répondre
    1. Avatar de edaspet
      edaspet

      Sauf erreur de ma part toute transaction à distance peut être dénoncée.
      Ce n’est pas une question d’assurance. Tu n’as pas à souscrire d’assurance spécifique pour cela, c’est au contraire à eux de prouver que tu as donné ton accord.

  8. Avatar de Lucculus75
    Lucculus75

    Ma fille s’est fait voler 238 Euros sur le site chinois 99bill.com. Les codes de sa carte VISA ont été volés par un hôtelier suite à une reservation à l’aide de hostelsworld.com. La banque se drape dans son magnifique « 3D secure » et refuse pour l’instant de rembourser. Le même cas que mike69, la transaction aurait été authentifiée par SMS, et même lettre dénonçant l’entourage machiavélique de la victime. Il y a donc une faille évidente dans ce système. Une autre faille béante vient aussi des sytèmes de réservation en ligne de chambre d’hôtel. Une fois passé les étapes cryptées, les codes des cartes bancaires sont envoyées en clair soit par mail soit par fax aux hôteliers pour « garantir » leur paiement. En conclusion: 3D secure pas fiable et les utilisateurs sont enfumés par les sites de réservation en ligne qui décryptent allègrement les codes qu’on a tapés dans nos pages https.

    Répondre
    1. Avatar de edaspet
      edaspet

      Je ne suis pas juriste, mais sauf erreur rien dans la loi ne renverse la charge de la preuve entre la banque et le détenteur des moyens de paiement, même en cas de 3DS (seul le code secret à 4 chiffres fait exception). C’est à la banque de prouver que c’est bien vous qui avez accepté le paiement. Dire « il y a eu SMS » ne suffit pas.

      Ceci dit s’il y a effectivement eu 3DS par SMS, je serais vous j’envisagerai quand même sérieusement que ça puisse être votre fille ou quelqu’un de son entourage qui ait eu accès au téléphone. Même si on n’a pas envie d’y croire, ça reste le plus probable.
      Ça me rappelle je ne sais plus quelle étude qui disait qu’une très grosse partie des abus de CB était l’oeuvre de proches (que bien entendu on ne soupçonnerait jamais).

  9. Avatar de Philippe
    Philippe

    Le problème n’est pas Secure 3D en soi, mais les contraintes que mettent les banques à son utilisation.

    Par exemple à la caisse d’Epargne, seul le SMS est possible ; donc si vous n’avez pas de portable, ou s’il est en panne, déchargé, oublié, dans une zone sans réception, vous ne pouvez pas acheter sur internet.

    Le plus drôle c’est qu’au bout de 3 essais la carte bleue est bloquée ; il y a donc intérêt à bien identifier dès l’accueil sur le site si c’est secure 3D ou pas (c’est souvent caché ou écrit en tout petit…).

    Je passe sur les sites qui prétendent qu’on peut donner sa date de naissance si on n’a pas de téléphone portable, ça ne marche plus depuis longtemps. C’est la SNCF par exemple ; depuis un an, je vais de nouveau chercher les billets à la gare ; quel progrès !

    Conclusion, je n’achète que sur certains sites où je suis sûr qu’ils n’utilisent pas Secure 3D (Amazon par exemple).

    Au final, Secure 3D est d’une efficacité redoutable pour sécuriser les achats sur internet … puisqu’il empêche les achats sur internet.

    Merci Secure 3D, merci la Caisse d’Epargne.

    Répondre
  10. Avatar de Jean
    Jean

    Par exemple à la caisse d’Epargne, seul le SMS est possible.
    => Ca étonnes de lire ça. en ce qui me concerne je suis à la Caisse d’Epargne et j’ai un petit lecteur de carte pour m’authentifier avec saisie de mon code confidentiel lorsque je ne peux pas accéder au code envoyé par SMS.

    Le plus drôle c’est qu’au bout de 3 essais la carte bleue est bloquée.
    => Ce n’est pas le cas de ce que j’ai pu constater. Seule le paiement en cours est bloqué après trois essais. Je peux recommencer une nouvelle tentative de paiement avec un nouveau code généré pour l’occasion.

    En ce qui me concerne, je ne me suis jamais retrouvé bloqué chez un commerçant 3DSecure.

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *