Le système 3D Secure est un système de sécurisation des paiements en ligne, créé par les émetteurs internationaux Visa et MasterCard et mis en place en France en 2008. Il s’agit d’une procédure d’authentification du porteur de la carte, pour s’assurer que c’est bien celui-ci qui effectue le paiement sur internet.
Achat sur Internet : sécurisation des paiements par carte bancaire avec 3D Secure
Lorsque les logos « Verified by Visa », « Visa Secure », « CB Paiement Sécurisé », « MasterCard SecureCode » ou « MasterCard Identify Check » sont affichés sur les sites du cybercommerçant, le paiement se réalise en deux étapes.
Étape 1 : saisie des informations bancaires
Comme pour toute transaction sur un site marchand, dans l’espace de règlement de la commande, vous devez saisir :
– le numéro de votre carte,
– la date de validité de celle-ci,
– le cryptogramme visuel (3 chiffres figurant au dos de la carte).
Étape 2 : l’authentification de la transaction
Une nouvelle fenêtre s’ouvre alors, avec le logo de votre banque. Elle vous redirige vers le site de votre établissement bancaire pour confirmer votre identité, avec le procédé d’authentification mis en place par celui-ci. Selon la procédure la plus usuelle, votre banque vous envoie par SMS un code à usage unique. Vous saisissez l’information demandée dans l’écran de saisie. Quand l’authentification est confirmée par votre banque, le paiement est autorisé et la transaction est finalisée.
A compter du 15 mai 2021, pour les paiements dès 30 euros, cette authentification par code à usage unique reçu par SMS va être remplacée par un nouveau mode d’authentification forte, par l’intermédiaire des applications mobiles des banques accessibles depuis un smartphone, ou par une combinaison d’un code à usage unique et d’un autre procédé d’authentification du titulaire de la carte bancaire.
Évolution du système 3D Secure et du mode d’authentification
Au lancement de 3D Secure en France, c’est une information personnelle, du type date de naissance ou adresse, qui était demandée. Puis les banques ont mis en place des systèmes basés sur un code à usage unique. Mais il est apparu que cette procédure présentait des faiblesses de sécurité. La directive européenne sur les services de paiement (DSP2) exige une « authentification forte » ou double authentification.
Comment se passe une transaction 3D Secure avec l’authentification forte ?
Un client qui souhaite acheter sur un site e-commerce va devoir suivre la procédure suivante :
1. Le client télécharge au préalable sur son téléphone l’application d’authentification de sa banque (la plupart des banques ont d’ores et déjà donné des noms commerciaux à l’authentification forte) et suit la procédure demandée.
2. Il récupère par SMS le code unique d’activation du service d’authentification forte envoyé par la banque.
3. Lors d’un paiement sur un site e-commerce, il reçoit sur son téléphone une demande d’authentification :
- soit par saisie du code personnel,
- soit par empreinte biométrique,
- soit par caractéristique personnelle.
4. Si les informations sont valides, la banque valide le paiement par une notification envoyée sur l’application.
Cette procédure d’authentification est un exemple. Elle peut légèrement différer selon le dispositif mis en place par la banque du titulaire de la carte. Pour connaître le mode d’emploi précis qui vous concerne, vous devez contacter votre banque ou consulter le site internet de votre établissement bancaire.
Les titulaires de carte bancaire qui ne disposent pas de smartphone, ou qui ne souhaitent pas installer l’application de leur banque, pourront continuer de régler par carte leurs achats en ligne. Des procédures spécifiques sont développées par les banques, par mot de passe couplé au code reçu par SMS ou par boitier fourni aux clients permettant d’authentifier le paiement. Renseignez-vous auprès de votre banque.
Paiement en ligne par carte bancaire : quelques conseils pratiques
- Assurez-vous que le numéro de téléphone qui figure dans l’écran d’identification 3D Secure correspond bien à votre numéro de téléphone portable. Si vous avez changé de numéro, pensez à communiquer à votre banque vos nouvelles coordonnées.
- Gardez votre téléphone à portée de main avant de vous lancer dans un achat internet. C’est sur ce dernier que le code à saisir va vous être envoyé par SMS.
- Après trois échecs de saisie du code reçu par SMS, la transaction en cours est annulée et la carte de paiement est bloquée pour toute nouvelle utilisation sur un site marchand 3D Secure. En revanche, les paiements par carte bancaire sur les sites non 3D Secure, chez les commerçants et les retraits d’espèces restent possibles. Contactez votre banque pour débloquer l’usage 3D Secure de votre carte.
Que faire en cas d’opération frauduleuse ?
Si vous êtes victime d’une opération débitée sur votre compte bancaire mais qui n’a pas été vérifiée par votre banque par l’authentification forte, vous ne supporterez pas les conséquences financières.
Vous devez immédiatement informer votre banque de cette opération non autorisée et au plus tard dans un délai de 13 mois après le débit.
Si votre banque n’arrive pas à faire la preuve de l’utilisation de la procédure 3D Secure, votre responsabilité n’est pas engagée car l’opération est réputée « non autorisée ». Votre banque est tenue de vous rembourser l’intégralité des sommes indûment débitées (article L133-18 du Code monétaire et financier).
La banque doit rembourser immédiatement le montant de l’opération non autorisée et remettre le compte dans l’état où il se serait trouvé si l’opération litigieuse n’avait pas eu lieu.
Attention aux mails frauduleux « Verified by Visa »
Des mails frauduleux, ou phishing, portant la mention « Verified by Visa » circulent. Un texte rédigé en mauvais français peut vous alerter. Quelle que soit la raison invoquée, personne ne doit à aucun moment vous demander votre code confidentiel. Ne communiquez JAMAIS votre code confidentiel.
Bonjour,
Je me trouve dans la situation de Lydia, et ma banque m’affirme que ce principe a été mis en place par le Groupe de la CB et non par ma banque.
Il refuse de trouver une autre solution, par exemple l’envoi d’un mail contenant ce code. on paye une carte et on ne peut utiliser l’ensemble des fonctionnalités. Scandaleux !!! Peut on négocier le remboursement d’une puce téléphonique ?
Mon problème est lors de déplacement à l’étranger ou je n’ai pas de téléphone portable.
Mais je pense que l’on fait partie d’une minorité, et donc on ne compte pas…
Merci
Bonne journée
Bonjour,
Oui, ce dispositif est légal. Il peut effectivement poser quelques problèmes à certaines personnes non détentrices de téléphone portable. Vous pouvez peut-être revenir vers votre banque afin de savoir si un dispositif alternatif peut vous être proposé.
Meilleures salutations.
L’Equipe de Lafinancepourtous.com
C’est inadmissible qu’il n’y ait pas d’alternative à la vérification par sms utilisable sans posséder de téléphone portable et d’accès internet.
Cette année, je me suis trouvée trois fois dans l’impossibilité d’utiliser ma carte bleue pour finaliser une commande en ligne, à cause de ce dispositif.
S’il se généralise dans les commerces sans qu’il soit mis en place de moyen de sécurisation alternatif (un simple code secret, par exemple…), les gens comme moi, qui ne souhaitent pas acheter de portable, seront progressivement mis à l’écart de la société.
Est-ce seulement légal ? Car il s’agit bien de discrimination.
Bonjour,
A priori, vous en procurez un tout au moins pour un temps donné.
Meilleures salutations.
L’Equipe de Lafinancepourtous.com
bjr
pourquoi cette dame devrait meme pour un temps, se procurer un portable? Nous n’avons pas tous besoin mour bien vivre… au contraire! Pour ma part, il serait plus logique que ca soit auxbanques de se mettre en quatre,pour satisfaire et surtout simplifier leurs nos achats sur internet, entre autre ??
Que faire si on n’a pas de telephone portable ? Je ne peux rien acheter sur Internet parce que je ne peux pas recevoir de code, puisque je n’ai pas de portable.
en réponse à Arnaud : Je sais que son message date d’un an, mais ça pourrait aider les autres à comprendre. Le 3D secure ne protège pas la banque mais le COMMERCANT. Il ne suffit pas au commerçant de ne pas expédier une commande s’il n’est pas payé VU qu’il est payé de suite par cb ! LE problème c’est que le client à 13 mois pour aller à sa banque, dire que ce n’est plus qui a fait le paiement, et donc se faire rembourser, et bénéficier de la commande … Le commerçant en utilisant donc le 3D secure sera protégé, et donc ne devra pas rembourser la banque (qui rembourse ensuite le client). L’inconvénient est que les acheteurs peuvent annuler leur achats (peur lorsqu’ils voient qu’on leur demande un code, n° de tel donné à la banque au moment de l’ouverture du compte plus utilisé par le client, client novice avec le net, ect). Voilà en espérant avoir donné des explications utilises 😉
Bonjour,
Dans un premier temps, vous pouvez demander à votre conseiller bancaire s’il est possible de mettre en place un autre mode de confirmation de la transaction (par email à la place du SMS).
A défaut, vous pouvez utiliser un autre mode de paiement sur internet, tel que e-carte bleue (ou un système équivalent proposé par votre banque). Il s’agit d’une carte virtuelle qui génère un numéro de carte à usage unique pour la transaction en cours. Ce service doit être souscrit auprès de sa banque pour télécharger l’interface utilisateur.
Certaines banques françaises commencent également à développer un nouveau mode de paiement : Paylib, autre application à télécharger. Vous pouvez vous renseigner auprès de votre banque pour connaître les services qu’elle propose et leurs coûts.
Meilleures salutations.
L’Equipe de Lafinancepourtous.com
L’utilisation de 3D secure me pose d’important problème au quotidien, je voyage fréquement a l’étranger pour mon travail,
Je n’ai pas toujours de couverture téléphonique..
Je me retrouve dans l’impossibilité d’utiliser ma carte sur internet, pour reserver billet d’avion, hotel..
Existe-t-il un moyen d’utiliser un email comme 2FA??
Mobile forfait qui couvrait l’Europe va prendre fin dans un mois (fin d’offre..)
Je ne sais pas comment faire…
Ce qui est aberrant, que l’on voyait fréquemment aux débuts de la procédure 3D Secure, c’est le fait que certains commerçants donnent à l’acheteur le choix d’utiliser D Secure ou non. Cela m’est encore arrivé la semaine dernière. J’ai évidemment choisi de ne pas utiliser la procédure: je n’ai pas à me prouver à moi-même que je suis le légitime propriétaire de la carte utilisée pour l’achat! Et comme la banque apparemment laisse le soin au commerçant d’appliquer la procédure ou non … Pour moi, utiliser la procédure ne présente que des inconvénients: il faut que j’allume mon smartphone, et que je passe davantage de temps pour faire mon achat. La procédure n’est pas plus sûre pour moi, elle est plus sûre pour la banque. Si le commerçant estime que l’application de la procédure 3D Secure fait fuir des clients, qu’il ne l’utilise pas, il n’a rien à gagner à l’utiliser: s’il n’est pas payé, il n’envoie pas le produit acheté. Si la banque paye et ne peut pas prouver que l’ordre de débit n’a pas été donné par le titulaire de la carte et que celui-ci conteste, c’est tant pis pour elle.
Pour que la procédure 3D Secure serve à quelque chose, il faudrait qu’elle soit rendue obligatoire
Bonjour j’ai travaillé un moment pour un site internet, le système de paiement 3D SECURE était déjà en place. Ce qui m’a surprise ce n’est pas tant la diminution du chiffre d’affaires liée à l’introduction du système 3D SECURE, c’est surtout le fait que beaucoup de clients ne savaient pas utiliser ce système de paiement, et omettaient souvent d’entrer le dernier code. Les différents organismes de paiement ont à mon avis communiqué peu ou prou sur ce moyen de paiement, or s’agissant de vente par internet, l’éducation des consommateurs est capital.
Ce que je viens « d’expérimenter » depuis six jours avec ce système 3D secure, c’est qu’il m’a été impossible d’acheter deux billets de train sur le site Oui.SNCF (montant 146 € !), puis maintenant deux billets d’avion sur AirAsia pour un vol intérieur (58,58 €). je m’y suis repirs à 12 repirses sur ces 6 jours, car il y a sans doute un bug informatique. J’ai aussi contacté par téléphone des opératrices…
A chaque fois que je passe à l’étape validation du paiement, le code arrive par SMS, je le rentre dans un délais d’un dizaine de seconde et j’ai comme réponse « Session expirée ». J’ai téléphoné à la fois au service vendeur, à la Banque Postale qui gère mon compte et à l’opératrice 3D secure. Visiblement alors que le délais réel est de l’ordre d’une dizaine de secondes entre la réception du code de validation et la saisie que j’en fais sur la fenêtre 3D secure, ce délai semble mal calculé. (Problème d’horaires décalés ?) Personne n’a su trouver de réponse et donc résoudre mon problème, tout en m’indiquant qu’il n’y avait pas de problème su rmon compte qui par ailleurs m’a perms en même temps d’effectuer des achats en ligne avec le même compte et la même carte visa !! DONC BRAVO et que le lobby des cartes bancaires n’essaye pas davantage de supprimer l’argent liquide, car quand les systèmes ont des problèmes informatique, le client se trouve dépourvu de toute autre possiblité. La finance pour tous, c’est amusant… même risible quand on constate de tels disfonctionnements alors même qu’on n’est pas en difficulté financière !!