3D Secure : le protocole de sécurisation des paiements en ligne

La cybersécurité en e-commerce est un enjeu majeur. En effet, la fraude représente 0,16 % des montants collectés, soit un taux 20 fois supérieur à celui observé dans les commerces de proximité (Source : France Num). Afin de limiter les risques pour les consommateurs et les marchands tout en préservant l’expérience d’achat, le protocole 3D Secure s’est imposé comme le standard de référence du paiement sécurisé en ligne.

Dans cet article, nous vous expliquons en détail le fonctionnement du 3D Secure, ses bénéfices pour les e-commerçants et les acheteurs, ainsi que l’approche Smart 3D Secure de Payplug, conçue pour concilier l’authentification forte et un taux de conversion e-commerce élevé.

Qu’est-ce que le 3D Secure ?

Depuis le 3D Secure, posséder une carte bancaire ne suffit plus pour valider un paiement sur Internet. 

Définition et origine du protocole 3D Secure

Le 3D Secure est un protocole d’authentification utilisé lors des paiements en ligne. Il ajoute une étape de vérification pour s’assurer que le porteur de la carte bancaire est bien à l’origine de la transaction.

Développé par les réseaux de cartes bancaires (sous les noms de Visa Secure, Mastercard Identity Check, American Express SafeKey pour Amex), ce dispositif vise à :

• Réduire les risques de fraude et d’usurpation d’identité ;
• Renforcer la confiance des consommateurs ;
• Permettre aux e-commerçants de se conformer aux exigences réglementaires européennes en matière d’authentification forte.

Les différentes versions : de 3D Secure 1 à 3D Secure 2

L’évolution du protocole répond à un double objectif : améliorer la sécurité tout en réduisant la friction lors du paiement.

Le 3D Secure 1 a été lancé dans les années 2000 en France. Il repose sur une redirection vers une page bancaire externe. Le client y saisit un mot de passe statique ou une information personnelle. Cette méthode présentait plusieurs inconvénients :

• Une rupture dans le parcours d’achat ;
• Un taux d’abandon de panier élevé ;
• Un niveau de sécurité jugé insuffisant.

Pour y remédier, le consortium EMVCo a introduit en 2016 le 3D Secure 2 (3DS2). Cette nouvelle version :

• Valide automatiquement certaines transactions grâce à l’analyse de centaines de données contextuelles ;
• Déclenche l’authentification forte uniquement en cas de risque avéré de fraude.

Lorsque l’authentification est requise, elle repose sur la Strong Customer Authentication (SCA) et utilise une double vérification (biométrie, code SMS, application bancaire).

Le 3DS2 est également conçu pour fonctionner nativement sur mobile, offrant ainsi une expérience de paiement par carte bancaire sécurisée et fluide.

Comment fonctionne le protocole 3D Secure ?

Le fonctionnement du protocole 3D Secure dépend de la version utilisée (3DS 1 ou 3DS 2).

Le processus d’authentification lors d’un paiement en ligne

Le client saisit les informations de sa carte bancaire lors du paiement en ligne. 

Si le site marchand utilise le protocole 3DS 1, le client est redirigé vers une page d’authentification de sa banque, hébergée en dehors du site marchand. Pour valider la transaction, il doit fournir une information définie avec sa banque, comme un code reçu par SMS, un mot de passe statique ou la réponse à une question personnelle.

Avec le 3D Secure V2, le système déclenche une analyse du risque, basée sur une centaine de données (lieu de connexion, appareil utilisé, montant de la transaction…). Deux scénarios sont possibles :

• La transaction est jugée à faible risque : le paiement est validé automatiquement, sans intervention du client.
• La transaction est jugée à risque : une authentification forte est demandée via une notification bancaire, un code à usage unique ou une validation biométrique.

Le paiement est accepté si le client parvient à s’authentifier. En cas d’échec, la transaction est refusée.

Les acteurs impliqués dans une transaction 3D Secure

Une transaction 3D Secure mobilise à la base trois acteurs (d’où son nom) :

• La banque du commerçant qui reçoit les fonds ;
• La banque émettrice, qui a émis la carte bancaire et qui débloque les fonds ;
• Le système de carte bancaire qui sécurise la transaction. 

Mais d’autres acteurs interviennent également :

• L’e-commerçant, qui doit mettre en place le système 3D Secure sur son site ;
• Le prestataire de paiement, comme Payplug, qui orchestre et optimise l’authentification.

3D Secure et DSP2 : l’authentification forte du client

La directive sur les services de paiement (DSP) 2, votée en 2019, a imposé l’authentification forte afin de renforcer la sécurité des paiements en ligne. Elle est effective en France depuis 2021.

Les exigences de la Directive sur les Services de Paiement 2

La DSP2 impose l’authentification forte du client si le montant de l’achat dépasse 30 euros. 

Pour les paiements inférieurs à 30 €, l’authentification forte n’est pas nécessaire si l’une des conditions suivantes est respectée :

• Le total des paiements effectués depuis la dernière authentification forte ne dépasse pas 100 € ;
• Le client n’a pas réalisé plus de cinq paiements à distance consécutifs depuis sa dernière authentification forte.

Les opérations réalisées avec une carte bancaire professionnelle, hors de l’Union européenne, ou les abonnements récurrents sont aussi dispensés d’authentification forte.

Les deux facteurs d’authentification obligatoires

La 3D Secure requiert l’utilisation d’au moins deux facteurs parmi les trois listés ci-dessous :

• La connaissance : il s’agit d’une information unique et secrète que seul l’utilisateur maîtrise (mot de passe personnel, code PIN spécifique à la banque, réponse à une question secrète) ;
• La possession : un objet physique ou numérique que seul le client détient, le plus souvent son smartphone (pour la réception d’un code par SMS ou la validation via l’application bancaire).
• L’inhérence : les caractéristiques physiques de l’utilisateur, à savoir la biométrie (empreinte digitale ou reconnaissance faciale).

Lorsque le client valide un paiement 3DS-Secure, il doit fournir une preuve de deux catégories distinctes (par exemple, apposer sur son smartphone son empreinte digitale). Cette combinaison garantit un haut niveau de sécurité, même si l’un des facteurs est compromis.

Les avantages du 3D Secure pour les e-commerçants

Au-delà de la conformité réglementaire, le 3D Secure offre des bénéfices concrets aux marchands en ligne.

Réduction des fraudes et des impayés

Le 3D Secure réduit significativement la fraude au paiement en ligne, en bloquant les paiements non authentifiés ou suspects. L’utilisation de ce protocole aurait réussi à diminuer par six les transactions frauduleuses (Source : Businesswire).

En réduisant le risque de fraude en e-commerce, le 3DS permet aux vendeurs de :

• Réduire les pertes liées aux impayés ;
• Limiter les litiges avec les clients ;
• Sécuriser leur trésorerie.

Transfert de responsabilité en cas de contestation

Si le commerçant a correctement appliqué l’authentification forte, il n’est pas responsable en cas de litige ou de demande de chargeback par l’acheteur. La responsabilité est transférée à la banque qui a émis la carte bancaire. Elle doit rembourser la transaction frauduleuse à son client.

Les avantages du 3D Secure pour les consommateurs

Le 3D Secure présente aussi des avantages pour les consommateurs.

Une sécurité renforcée pour les achats en ligne

Le système 3D Secure rassure les clients en garantissant un paiement sécurisé et une meilleure protection de leurs données bancaires. 

Protection contre l’usurpation d’identité

Les informations de carte volées ou piratées deviennent inutilisables sans accès aux facteurs d’authentification supplémentaires.

Smart 3D Secure : l’approche Payplug pour optimiser conversion et sécurité

Payplug enregistre un taux d’acceptation net de 96 % sur les transactions Smart 3D Secure. 

L’authentification adaptative selon le niveau de risque

Le Smart 3D Secure de Payplug déclenche l’authentification forte uniquement lorsque cela est nécessaire. Il s’appuie pour cela sur une analyse dynamique et avancée du risque. 

Le Smart 3D Secure permet également d’émettre une recommandation d’authentification personnalisée. Le niveau de risque peut être adapté en fonction de votre activité et de votre profil, directement depuis le portail Payplug.

Comment le Smart 3D Secure améliore le taux de conversion

L’authentification forte inclut une étape supplémentaire dans le parcours d’achat et donc une occasion de plus pour le client d’abandonner son panier. 

En éliminant les étapes inutiles dans le tunnel de paiement, Payplug favorise une authentification sans friction et le frictionless payment, améliorant ainsi le taux de conversion sans compromettre la sécurité.

Comment mettre en place le 3D Secure sur votre site e-commerce ?

Les prestataires de paiement, comme Payplug, et les plateformes e-commerce facilitent l’implémentation du 3D Secure sur votre boutique en ligne.

Les prérequis techniques

Vous devez vous assurer que votre solution de paiement gère la dernière version du protocole 3DS (EMV 3D Secure). 

Votre site doit aussi être compatible avec le 3D Secure. Si vous utilisez une plateforme e-commerce (Shopify, WooCommerce, PrestaShop, etc.), le site est déjà équipé pour l’authentification forte. Vous devez seulement vérifier que vous avez bien la dernière version disponible. 

Si vous avez créé vous-même votre site, vous devez vous assurer qu’il peut :

• Échanger des données avec la banque de l’acheteur ;
• Être configuré pour afficher la demande d’authentification forte.

L’intégration avec Payplug

Les équipes de Payplug vous accompagnent dans la mise en place d’un Smart 3D Secure adapté à votre activité et à votre profil de risque.

Nous nous occupons l’intégration, des mises à jour 3DS2, et de la gestion de l’authentification forte du client. Vous devez uniquement effectuer les mises à jour afin d’être toujours en conformité avec la loi et de bénéficier des dernières innovations pour la sécurité et le confort des acheteurs.

En résumé sur la 3D Secure

Le 3D Secure permet de mieux protéger acheteurs et vendeurs sur le web. Grâce à ce protocole et aux exemptions prévues par la DSP2, il est désormais possible de concilier authentification forte et expérience de paiement fluide. Des solutions comme le Smart 3D Secure de Payplug aident les e-commerçants à renforcer la sécurité de leur boutique en ligne tout en préservant leur taux de conversion e-commerce.

Contactez Payplug dès maintenant pour bénéficier d’une solution de paiement performante, conforme à la DSP2 et pensée pour offrir une expérience d’achat fluide à vos clients.