Tout savoir sur le 3D Secure

En réglant un achat en ligne, vous avez sans doute déjà vu passer les mentions Verified by Visa, MasterCard SecureCode ou encore American Express SafeKey. Il s’agit du 3D Secure : un protocole développé par les principaux systèmes de cartes bancaires avec pour objectif de minimiser les risques de fraude en ligne. 

En d’autres termes, le 3D Secure permet de s’assurer que la carte est utilisée par son véritable propriétaire au moment d’un paiement en ligne. Il s’agit de la méthode de prévention de la fraude dans les paiements en ligne la plus moderne et la plus répandue à ce jour. Lancée en 1999 par Celo Communications AB (qui fait désormais partie du Groupe Thalès), cette méthode a été développée conjointement par les plus importantes sociétés de paiement, telles que Visa et Mastercard. Le 3D Secure concerne uniquement les transactions effectuées par carte bancaire (de débit ou de crédit).

En pratique, si un individu malveillant met la main sur la carte bancaire d’un individu, il dispose de son numéro de carte, de sa date d’expiration et du cryptogramme visuel. Cela suffisait auparavant pour régler des achats en ligne, jusqu'à atteindre un certain plafond ou jusqu’à vider le compte bancaire. Le 3D Secure a été conçu pour remédier à cette situation, en garantissant la bonne authentification du client et en s’assurant que l’acheteur est bien celui qui possède légitimement la carte utilisée.

Le but premier du 3D Secure est donc de sécuriser vos transactions. C’est aussi un allié de choix dans le monde entier pour développer la confiance des acheteurs, se prémunir contre la fraude, améliorer l’expérience de vos clients et réduire les coûts liés aux chargebacks abusifs.

L’authentification 3D Secure ou 3DS fait directement référence à « 3 Domain Secure », un cadre de sécurité pour les paiements en ligne où les 3 parties prenantes – à savoir l’acquéreur, le réseau de carte et l’émetteur – interagissent et échangent des informations pour authentifier chaque transaction et réduire la fraude.

Trois entités communiquent :

• Le marchand qui reçoit la transaction.

• La banque qui a délivré la carte de paiement, et qui déclenche ou non une authentification 3D Secure en fonction de critères définis.

• L’infrastructure, comme Adyen, qui prend en charge le protocole 3D Secure et fait le lien entre le marchand et la banque émettrice de la carte de paiement.

Avec 3D Secure, un client peut authentifier un paiement avec ou sans action requise de sa part. Si les informations partagées suffisent à vérifier une transaction, l’acheteur n’aura rien de plus à faire pour confirmer le paiement. En revanche, si l’émetteur détermine qu’une authentification plus poussée est nécessaire, le consommateur devra activement prouver son identité.

Les différents scénarios sont les suivants :

• Transaction sans action requise (aussi appelée frictionless) : le logiciel et les serveurs échangent toutes les informations requises pour la vérification, sans impliquer l’utilisateur.

• Transaction avec action requise : Le client doit vérifier son identité pour confirmer le paiement, et reçoit une demande de double authentification. Cela implique de saisir un mot de passe, un code reçu par SMS, ou de cliquer sur une notification sur l’application bancaire. Parfois, les clients ont aussi la possibilité de s’authentifier via biométrie, à l’aide de reconnaissance faciale ou de leur empreinte digitale.

Ce dernier système, qui requiert un mode d’authentification supplémentaire en plus des informations bancaires, réduit drastiquement les risques de fraude en cas de carte volée ou de fuite de données sur le site d’un marchand.

L’authentification d’un paiement est un processus qui peut être compliqué lorsque les redirections s’enchaînent : cela est frustrant pour les clients, avec, à la clé, un taux d’autorisation plus faible. 

Pour un e-commerçant, la difficulté consiste à garantir un parcours d’achat avec le moins de friction possible malgré les contraintes d’authentification et de sécurité. La clé consiste alors à déterminer les règles qui vont déclencher ou non l'authentification forte du client.

Chez Adyen, nous avons développé la fonctionnalité “Dynamic 3D Secure”. En analysant plusieurs signaux, forts et faibles, elle détermine si un paiement par carte doit être authentifié en utilisant le 3D Secure (première ou deuxième version). Pour cela, elle utilise des règles usuelles et des règles propres configurées par chaque commerçant. Etant donné que chaque activité et chaque secteur est différent, il est en effet important que le 3D Secure s’adapte à chaque contexte.

Une gestion efficiente du 3DS permet de réduire la fraude et de diminuer le risque d’avoir des montants impayés. Aucun frais supplémentaire ne vient s’ajouter, puisque la plateforme ne facture pas plus pour l’ajout de 3D Secure à votre compte. Vous assurerez aussi le meilleur équilibre entre blocage des fraudeurs et maximisation des conversions. Avec la bonne solution, l’authentification forte ne fera pas sortir le client du tunnel de conversion.

Le système 3D Secure a connu quelques changements au fil du temps et a dû s’adapter pour suivre le rythme des innovations technologiques. Le 3DS Secure 1.0 lancé au tournant du siècle, a vite été dépassé. Il ne fonctionne qu’avec les navigateurs web et n’est donc pas adapté aux paiements mobiles effectués via un smartphone par exemple. Des études pointent également les difficultés qu’il présente parfois pour les clients, notamment une plus grande surface de vulnérabilité à l’hameçonnage (phishing), et un transfert de responsabilité en cas de paiements frauduleux.

En 2016, le 3D Secure a été mis à jour, et le 3D Secure 2.0 ou 3DS2 est apparu pour résoudre ce problème, garantissant aux consommateurs une expérience de paiement sûre et fluide.

La législation a elle aussi évolué. Depuis le 15 mai 2021, en application de la Directive européenne sur les services de paiement (DSP2), l'authentification forte est exigée pour les paiements en ligne sans minimum de montant. Les e-commerçants ont désormais l’obligation de mettre en place le nouveau protocole 3D Secure 2.0. Les principaux réseaux de carte se sont rapidement adaptés et ne prennent plus en charge l’authentification 3D Secure version 1, sauf dans certains pays disposant d’une dérogation pour la conserver jusqu’en octobre 2023 (Inde, Bangladesh, Bhoutan, Maldives, Népal et Sri Lanka).

Chez Adyen, nous avons développé notre propre serveur 3DS adapté au 3D Secure 2. Nous garantissons la totale conformité à la DSP2 facilitant ainsi le travail des e-commercants. 

La marketplace Vestiaire Collective témoigne : « Nous n'avions pas le temps de prendre en charge la complexité liée à la DSP2. Il nous aurait fallu une équipe de paiement extrêmement robuste pour la gérer en propre. Les petites mains d’Adyen font en sorte que les marchands ne se prennent pas la tête avec ces problèmes. » Le protocole d’authentification forte est directement intégré à la page de checkout du site, et la technologie de lutte contre la fraude garantit le meilleur équilibre entre blocage des fraudeurs et maximisation des conversions. Par exemple, en cas de problème ponctuel sur l’infrastructure 3DS2, notre serveur 3DS permet un fallback automatique sur 3DS1, permettant ainsi de préserver des transactions.

Pas de redirection, une meilleure conversion

Les e-commerçants recherchent une expérience client plus fluide à proposer à leurs visiteurs. Or, le 3D Secure allonge le paiement et la validation du panier d’achat. En 2017, seulement 50% d’entre eux avaient activé le système sur leur boutique en ligne, par peur d’impacter le taux de conversion et d’observer des abandons de panier à cause d’une expérience moins ergonomique.

L’authentification 3DS2 est menée de façon native là où se trouve le client, qu’il s’agisse d’une page web ou d’une app, avec à la clé une expérience plus agréable pour vos clients et un taux de conversion plus élevé. 

Analyse de risques

Le protocole 3DS2 constitue un canal de communication privilégié entre les entreprises et les banques grâce aux balises iFrame, aux SDK certifiés dans le flux de paiement, ainsi qu’à des API de partage de données. 

En tout, plus de 150 points de données issus des retailers et des émetteurs de cartes sont analysés pour prendre des décisions éclairées quant aux risques inhérents à chaque transaction. Grâce à ce supplément d’informations, les commerçants peuvent réduire le nombre de transactions refusées par erreur et afficher un taux d’autorisation plus élevé.

Davantage d’options de vérification

En offrant plusieurs options d’authentification, parmi lesquelles la biométrie, le système 3D2S permet de limiter l’abandon de panier, tout en offrant une sécurité renforcée.

La responsabilité des chargebacks change de camp avec 3DS2

Le protocole 3DS a pour avantage de mieux protéger les marchands contre les chargebacks abusifs, en intégrant un « transfert de responsabilité » pour le remboursement des achats frauduleux.

Auparavant, le commerçant était tenu responsable du remboursement en cas de fraude. Mais avec les paiements vérifiés par 3DS2 et l’action requise de la part du client, c’est désormais l’émetteur de la carte qui est tenu de verser un chargeback.

Dans certaines régions, les réseaux de cartes peuvent même accorder un transfert de responsabilité sur les transactions qui sont vérifiées sans action requise.

Chez Adyen, notre moteur d’authentification utilise le machine learning pour analyser chaque transaction et déterminer avec précision si celle-ci peut faire l’objet d’une vérification frictionless directe ou si une action supplémentaire est requise. 

Le système 3D Secure a révolutionné les transactions e-commerce mais a dû s'adapter à l'évolution des modes de paiement et aux changements dans les techniques de fraude. Aujourd’hui, tous les acteurs du commerce en ligne, qu’ils se spécialisent en e-commerce ou en commerce unifié, gagnent à passer au 3D2S. 

Le commerce en ligne, tout particulièrement sur mobile, devrait continuer de croître dans les prochaines années. En tant que plateforme de paiement, notre rôle est de vous permettre de vous adapter en continu et d’optimiser l'expérience client tout en garantissant la sécurité de vos transactions. Grâce à notre solution Adyen Checkout, nous prenons en charge de nombreuses intégrations pour les flux, sur navigateur comme sur mobile.

Adyen utilise le système 3D Secure pour optimiser vos paiements. Nous savons que les protocoles de sécurité sont perçus comme un obstacle par les clients, et que chaque entreprise est différente : tout le monde ne souhaite pas consentir au même niveau de risque et chaque zone géographique comporte son lot de réglementations. Capable de s’adapter aux besoins de chacun, Adyen permet de proposer une authentification plus simple, sans redirection, tout en renforçant la sécurité à chaque étape du processus d’achat.