PRATIQUE

La carte bancaire

Payer par carte bancaire sur Internet avec 3D Secure

3D secure

« Verified by Visa » et « MasterCard SecureCode » renforcent la sécurité des paiements en ligne. La saisie d’un code ou d’un mot de passe permet d’identifier ou d’authentifier l’acheteur comme étant le porteur de la carte utilisée pour le paiement.

Le système 3D Secure est un système de sécurisation des paiements en ligne, créé par les émetteurs internationaux Visa et MasterCard et mis en place en France en 2008. Il s’agit d’une procédure d’authentification du porteur de la carte, pour s’assurer que c’est bien celui-ci qui effectue le paiement sur internet. Seules les cartes de paiement « CB » Visa et MasterCard bénéficient de cette sécurité.
Le service 3D Secure n’a pas de caractère obligatoire, pour les cybercommerçants comme pour les banques. L’activation du système se fait lors du premier paiement sur un site marchand français adhérant 3D Secure.

La validation du paiement 3D Secure

Lorsque les logos « Verified by Visa » et « MasterCard SecureCode » sont affichés sur les sites du cybercommerçant, le paiement se réalise en deux étapes.

Etape 1 :

Comme pour toute transaction sur un site marchand, dans l’espace de règlement de la commande, vous devez saisir :
 - le numéro de votre carte,
 - la date de validité de celle-ci,
 - le cryptogramme visuel (3 chiffres figurant au dos de la carte).

Etape 2 :

Une nouvelle fenêtre s’ouvre alors, avec le logo de votre banque. Elle vous redirige vers le site de votre établissement bancaire pour confirmer votre identité, avec le procédé d’authentification mis en place par celui-ci.
Selon la procédure la plus usuelle, votre banque vous envoie par SMS un code à usage unique. A défaut, il vous sera demandé de saisir une information accessoire (date de naissance ou réponse à une question personnelle…). Vous saisissez l’information demandée dans l’écran de saisie. Quand l’authentification est confirmée par votre banque, le paiement est autorisé et la transaction est finalisée.

Ecrans de validation de paiement avec 3D Secure

Différents modes d’authentification sont proposés par les banques

Au lancement de 3D Secure en France, c’est une information personnelle, du type date de naissance ou adresse, qui était demandée. Ce qui n’est pas suffisamment sûr car cette donnée est facilement disponible et accessible notamment sur les réseaux sociaux ou via l’hébergement des CV en ligne sur des sites.

Les banques ont mis en place des nouveaux systèmes basés sur un code à usage unique. Qui ne peut donc pas être réutilisé même s’il est intercepté par un fraudeur. Mais selon les banques, les modalités d’authentification varient :
 - Code à usage unique envoyé par SMS,
 - Combinaison de codes à usage unique à partir d’une grille chiffrée des « Clés Personnelles »,
 - Code délivré par un système de boitier électronique fourni au titulaire de la carte.

  • Assurez-vous que le numéro de téléphone qui figure dans l’écran d’identification 3D Secure correspond bien à votre numéro de téléphone portable. Si vous avez changé de numéro, pensez à communiquer à votre banque vos nouvelles coordonnées.
  • Gardez votre téléphone à portée de main avant de vous lancer dans un achat internet car ç’est sur ce dernier que le code à saisir va vous être envoyé par SMS.
  • Après trois échecs de saisie du code reçu par SMS, la transaction en cours est annulée et la carte de paiement est bloquée pour toute nouvelle utilisation sur un site marchand 3D Secure. En revanche, les paiements sur les sites non 3D Secure, chez les commerçants et les retraits d’espèces restent possibles. Contactez votre banque pour débloquer l’usage 3D Secure de votre carte.

 Pourquoi utiliser le procédé 3D Secure ?

En 2012, 40 % des cybercommerçants ont mis en place 3D Secure. 15 % des paiements par carte sur internet sont réalisés avec 3D Secure, qui représente 30 % en montant (données du Groupement des Cartes Bancaires CB – juin 2012).

La mise en place de 3D Secure doit permettre aux cybermarchands de réduire le montant de leurs impayés dus à la fraude. En cas de contestation de la transaction par le porteur de la carte, la charge de l’impayé dû à la fraude est transférée sur la banque du titulaire de la carte et non plus sur le cybercommerçant.

Toutefois, des sites marchands renoncent à utiliser le procédé de sécurisation 3D Secure en raison d’un risque de diminution de leur chiffre d’affaire. En effet, les acheteurs renoncent à leur achat lors du règlement par carte, lorsqu’ils sont redirigés vers une nouvelle fenêtre en pop-up. Ils peuvent craindre que ce soit une tentative de fraude pour intercepter leurs données bancaires.

Pourtant, pour le consommateur qui règle ses achats sur internet par carte, ce dispositif d’identification doit constituer un élément de sécurité. En cas de vol de son numéro de carte bancaire, il ne devrait pas être possible de l’utiliser pour régler des achats sur internet.

Comment contester un paiement à distance effectué avec le procédé 3D Secure ?

Vous contestez une opération de paiement pour laquelle le procédé 3D Secure a été utilisé. C’est à votre banque d’apporter la preuve de l’enregistrement de cette authentification ( article L133-23 du Code monétaire et financier). Si tel est le cas, vous êtes présumé être à l’origine de la transaction. Vous devez faire opposition auprès de votre banque. Votre responsabilité sera engagée dans la limite de 150 euros, pour les opérations réalisées avant opposition. Au-delà de ce montant, comme après opposition, votre responsabilité n’est plus engagée.

Si votre banque n’arrive pas à faire la preuve de l’utilisation de  la procédure 3D Secure, votre responsabilité n’est pas engagée car l’opération est réputée « non autorisée ». Votre banque est tenue de vous rembourser l’intégralité des sommes indument débitées ( articles L133-18).

Vous devez contester l’opération dans les plus brefs délais, et au plus tard dans un délai de 13 mois à partir de la date du débit de votre compte. Le délai de contestation est de 70 jours, porté à 120 jours par certaines banques, si la transaction litigieuse, suite au vol ou à la perte de votre carte, a été réalisée hors de l’Espace économique européen (Union européenne plus l’Islande, le Liechtenstein et la Norvège).

Attention aux mails frauduleux « Verified by Visa »

Des mails frauduleux, ou phishing, portant la mention « Verified by Visa » circulent. Un texte rédigé en mauvais français peut vous alerter. Quelle que soit la raison invoquée, personne ne doit à aucun moment vous demander votre code confidentiel. Ne communiquez JAMAIS votre code confidentiel.

Créé le 12 juin 2012 - Dernière mise à jour le 12 juin 2012
© IEFP – la finance pour tous
 
15 commentaire(s)  
Votre commentaire sera publié dès sa validation par l’équipe de lafinancepourtous.com.
L’équipe de l’IEFP, publié le 01/08/2016 15:45

Bonjour,

Oui, cela est possible mais à condition que de votre banque et le commerçant soient affiliés à ce procédé technique.

Meilleures salutations.

L’Equipe de Lafinancepourtous.com

L’équipe de l’IEFP, publié le 01/08/2016 15:40

Réponse à JoCol
Bonjour,

Oui, il convient d'en informer votre banque. Vous devez contester l’opération dans les plus brefs délais, et au plus tard dans un délai de 13 mois à partir de la date du débit de votre compte. Le délai de contestation est de 70 jours, porté à 120 jours par certaines banques, si la transaction litigieuse, suite au vol ou à la perte de votre carte, a été réalisée hors de l’Espace économique européen (Union européenne plus l’Islande, le Liechtenstein et la Norvège).

Meilleures salutations.

L’Equipe de Lafinancepourtous.com

José , publié le 30/07/2016 00:14

Bonjour,
Apparemment ce serait un bon procédé, mais encore mieux et (presque) parfait si on pouvait utiliser la e-carte-bleue avec le 3D Secure. Pouvez vous me dire si c'est possible ? Par avance, merci.
Cordialement

JoCol , publié le 29/07/2016 16:00

Bonjour,
Récemment j'ai voulu acheté des billets d'avion. J'ai fait une pemière commande pour laquelle je n'ai pas pu confirmer le paiement car je n'avais pas mon téléphone portable pour recevoir le code 3d secure. J'ai donc fait une autre commande quelques heures plus tard, cette fois-ci en possession de mon téléphone portable, et tout s'est passé correctement. Le problème est que quelques jours plus tard, je me suis vu débiter l'argent pour les deux commandes ! Qui est responsable dans ce cas ? L'agence de voyage, la banque, Visa ...? Est-ce qu'une opposition auprès de ma banque est la meilleure solution ?
Merci de votre aide.
Johan

L’équipe de l’IEFP, publié le 25/07/2016 12:38

Bonjour,

Seul votre opérateur pourrait vous le dire. Mais, a priori, cela semble peu probable.

Meilleures salutations.

L’Equipe de Lafinancepourtous.com

Patrick , publié le 23/07/2016 09:24

Bonjour,
Je me trouve dans la situation de Lydia, et ma banque m'affirme que ce principe a été mis en place par le Groupe de la CB et non par ma banque.
Il refuse de trouver une autre solution, par exemple l'envoi d'un mail contenant ce code. on paye une carte et on ne peut utiliser l'ensemble des fonctionnalités. Scandaleux !!! Peut on négocier le remboursement d'une puce téléphonique ?
Mon problème est lors de déplacement à l'étranger ou je n'ai pas de téléphone portable.
Mais je pense que l'on fait partie d'une minorité, et donc on ne compte pas...
Merci
Bonne journée

L’équipe de l’IEFP, publié le 06/07/2016 10:39

Bonjour,

Oui, ce dispositif est légal. Il peut effectivement poser quelques problèmes à certaines personnes non détentrices de téléphone portable. Vous pouvez peut-être revenir vers votre banque afin de savoir si un dispositif alternatif peut vous être proposé.

Meilleures salutations.

L’Equipe de Lafinancepourtous.com

Lydia , publié le 05/07/2016 22:04

C'est inadmissible qu'il n'y ait pas d'alternative à la vérification par sms utilisable sans posséder de téléphone portable et d'accès internet.

Cette année, je me suis trouvée trois fois dans l'impossibilité d'utiliser ma carte bleue pour finaliser une commande en ligne, à cause de ce dispositif.

S'il se généralise dans les commerces sans qu'il soit mis en place de moyen de sécurisation alternatif (un simple code secret, par exemple...), les gens comme moi, qui ne souhaitent pas acheter de portable, seront progressivement mis à l'écart de la société.

Est-ce seulement légal ? Car il s'agit bien de discrimination.

L’équipe de l’IEFP, publié le 11/04/2016 11:49

Bonjour,

A priori, vous en procurez un tout au moins pour un temps donné.

Meilleures salutations.
L’Equipe de Lafinancepourtous.com

Kristen , publié le 09/04/2016 20:13

Que faire si on n'a pas de telephone portable ? Je ne peux rien acheter sur Internet parce que je ne peux pas recevoir de code, puisque je n'ai pas de portable.

 
institut pour l'éducation financière du public

lettre d’information MENSUELLE - ABONNEZ-VOUS !