J'ai entamé une petite étude à ce sujet tout simplement car beaucoup de marchands depuis le 1 Oct me posent les questions suivantes : faut-il que je bascule sur 3Ds, est-ce dangereux, est-ce  le bon moment... ?

Je vais y répondre aujourd'hui et dans les mois futurs au cours des mises en production et des évolutions du système, car sur ce monde tout n'est pas Blanc ou Noir, comme l'a si bien dit un chanteur qui a lui même appliqué la formule dans la qualité de ses chansons, il existe bien du gris clair voir du gris foncé.

D'abord de quoi parle-t-on ?

3 D Secure est une authentification pour sécuriser vos paiements sur Internet.

Cette authentification est réalisée par la saisie systématique d'un identifiant personnel, lors du paiement effectué sur le site marchand, les logos « Verified by VISA » et « MasterCard Secure Code » indiquent lors de cette demande de service d'authentification, dans une fenêtre nommée Authentification,  que nous sommes en 3 D Secure. On reviendra plus loin sur l'identifiant personnel.

Vous allez me dire que c'est un peu comme lorsque l'on demande le CCV2 au client, vous savez les 3 derniers chiffres inscris derrière votre CB. Vous n'avez pas tort, mais la grande différence réside dans le transfert de responsabilité de la transaction du marchand vers la banque émettrice de la CB, en d'autres termes ce n'est pas vous, marchand, qui prenez la taule mais la banque.

Effectivement depuis les premiers contrats de VAD et depuis plus de 20 ans, lorsqu'un client répudiait sa transaction CB, la banque débitait alors le marchand. C'est cela qui change et forcément pour les banques c'est un grand bouleversement. On comprend aisément pourquoi les banques n'étaient pas pressées voire heureuses de l'obligation de cette mise en place à compter du 1er Oct 2008 pour les transactions françaises.

Oui effectivement le système technique etait prêt depuis longtemps, je peux vous mener sur ce magnifique schéma du système :

http://www.sips-atos.com/Fr/SIPS_Solution/3Dsecure.html

Mais le plus important à savoir, c'est que si l'authentification est demandée et transmise jusqu'à la banque émettrice de la carte (la banque du porteur de la CB) donc de bout en bout, la responsabilité de la transaction incombe à la banque émettrice.

Effectivement 3D Secure ne date pas d' hier, à titre personnel, nous avions été partenaires de la première banque française à être en production sur le système SPPLUS de la Caisse d'Epargne. Nous avions mis en production 3D Secure pour la première fois en france le 28 Avril 2005 pour sécuriser nos paiements étrangers, une obligation pour vendre du high tech et de la téléphonie à l'étranger.

Le transfert de responsabilité en cas de répudiation est donc primordial, il est donc important de signer un nouveau contrat ou un avenant au contrat VAD. Juste pour l'anecdote et malgré notre contrat, nous avions eu des transactions 3DS qui avaient été répudiées et débitées de notre compte, ce qui avait été source de problèmes. Une négociation commerciale avait été entamée pour faire appliquer le contrat VAD signé par les parties.

Une seconde chose à vérifier ou à demander avant la mise en production : avez-vous un service client qui prend et saisie des commandes reçues par téléphone, fax ou courrier ?

Effectivement si votre activité vous amène à saisir, sur votre site internet commerçant, des commandes reçues par téléphone, par fax ou par courrier, vous devez utiliser une interface configurée pour cet usage. Aussi, si tel est le cas, je vous invite à contacter votre chargé d'affaires pour mettre en œuvre la solution appropriée à vos besoins.

Voila pour la première partie de ce billet, nous continuerons avec 2/4 - ANALYSE, 3/4 - L'AUTHENTIFICATION et 4/4..Nous terminerons par une CONCLUSION...PROVISOIRE ! car la sécurisation est un travail continu et ingrat qui a toujours un temps de retard sur la fraude.

C'est un sujet sensible, dont le résultat est un compromis entre développement commercial, accessibilité au plus grand nombre et technologie d'authentification de pointe.

Les avancés technologiques étant souvent dictées par la mise en lumière de fraudes avérées et par la démonstration parfois risquée ou ambiguë comme par exemple en 1997 losque Serge Humpich a démontré la vulnérabilité du système qui régit les transactions CB, le GIE Cartes Bancaires avait porté l'affaire en justice. Cette dernière l'a condamné, le 25 février dernier, à dix mois de prison avec sursis.

Quelles que soient donc les avancés technologiques et la responsabilité de la fraude, le scoring reste un outil obligatoire. Effectivement le transfert de responsabilité de la transaction permet une évolution importante et un travail plus serein du marchand. Ce n'est pas pour autant que le marchand doit baisser la garde et abandonner une lutte anti-fraude en amont. Si le marchand valide et livre aveuglement, le taux de fraude et donc le montant des impayés sera assumé dans un premier temps par les banques mais elles ne manqueront pas de le répercuter à terme sur les contrats VAD signés auprès des marchands.

nous