Le système 3D Secure est un système de sécurisation des paiements en ligne, créé par les émetteurs internationaux Visa et MasterCard et mis en place en France en 2008. Il s’agit d’une procédure d’authentification du porteur de la carte, pour s’assurer que c’est bien celui-ci qui effectue le paiement sur internet.
Achat sur Internet : sécurisation des paiements par carte bancaire avec 3D Secure
Lorsque les logos « Verified by Visa », « Visa Secure », « CB Paiement Sécurisé », « MasterCard SecureCode » ou « MasterCard Identify Check » sont affichés sur les sites du cybercommerçant, le paiement se réalise en deux étapes.
Étape 1 : saisie des informations bancaires
Comme pour toute transaction sur un site marchand, dans l’espace de règlement de la commande, vous devez saisir :
– le numéro de votre carte,
– la date de validité de celle-ci,
– le cryptogramme visuel (3 chiffres figurant au dos de la carte).
Étape 2 : l’authentification de la transaction
Une nouvelle fenêtre s’ouvre alors, avec le logo de votre banque. Elle vous redirige vers le site de votre établissement bancaire pour confirmer votre identité, avec le procédé d’authentification mis en place par celui-ci. Selon la procédure la plus usuelle, votre banque vous envoie par SMS un code à usage unique. Vous saisissez l’information demandée dans l’écran de saisie. Quand l’authentification est confirmée par votre banque, le paiement est autorisé et la transaction est finalisée.
A compter du 15 mai 2021, pour les paiements dès 30 euros, cette authentification par code à usage unique reçu par SMS va être remplacée par un nouveau mode d’authentification forte, par l’intermédiaire des applications mobiles des banques accessibles depuis un smartphone, ou par une combinaison d’un code à usage unique et d’un autre procédé d’authentification du titulaire de la carte bancaire.
Évolution du système 3D Secure et du mode d’authentification
Au lancement de 3D Secure en France, c’est une information personnelle, du type date de naissance ou adresse, qui était demandée. Puis les banques ont mis en place des systèmes basés sur un code à usage unique. Mais il est apparu que cette procédure présentait des faiblesses de sécurité. La directive européenne sur les services de paiement (DSP2) exige une « authentification forte » ou double authentification.
Comment se passe une transaction 3D Secure avec l’authentification forte ?
Un client qui souhaite acheter sur un site e-commerce va devoir suivre la procédure suivante :
1. Le client télécharge au préalable sur son téléphone l’application d’authentification de sa banque (la plupart des banques ont d’ores et déjà donné des noms commerciaux à l’authentification forte) et suit la procédure demandée.
2. Il récupère par SMS le code unique d’activation du service d’authentification forte envoyé par la banque.
3. Lors d’un paiement sur un site e-commerce, il reçoit sur son téléphone une demande d’authentification :
- soit par saisie du code personnel,
- soit par empreinte biométrique,
- soit par caractéristique personnelle.
4. Si les informations sont valides, la banque valide le paiement par une notification envoyée sur l’application.
Cette procédure d’authentification est un exemple. Elle peut légèrement différer selon le dispositif mis en place par la banque du titulaire de la carte. Pour connaître le mode d’emploi précis qui vous concerne, vous devez contacter votre banque ou consulter le site internet de votre établissement bancaire.
Les titulaires de carte bancaire qui ne disposent pas de smartphone, ou qui ne souhaitent pas installer l’application de leur banque, pourront continuer de régler par carte leurs achats en ligne. Des procédures spécifiques sont développées par les banques, par mot de passe couplé au code reçu par SMS ou par boitier fourni aux clients permettant d’authentifier le paiement. Renseignez-vous auprès de votre banque.
Paiement en ligne par carte bancaire : quelques conseils pratiques
- Assurez-vous que le numéro de téléphone qui figure dans l’écran d’identification 3D Secure correspond bien à votre numéro de téléphone portable. Si vous avez changé de numéro, pensez à communiquer à votre banque vos nouvelles coordonnées.
- Gardez votre téléphone à portée de main avant de vous lancer dans un achat internet. C’est sur ce dernier que le code à saisir va vous être envoyé par SMS.
- Après trois échecs de saisie du code reçu par SMS, la transaction en cours est annulée et la carte de paiement est bloquée pour toute nouvelle utilisation sur un site marchand 3D Secure. En revanche, les paiements par carte bancaire sur les sites non 3D Secure, chez les commerçants et les retraits d’espèces restent possibles. Contactez votre banque pour débloquer l’usage 3D Secure de votre carte.
Que faire en cas d’opération frauduleuse ?
Si vous êtes victime d’une opération débitée sur votre compte bancaire mais qui n’a pas été vérifiée par votre banque par l’authentification forte, vous ne supporterez pas les conséquences financières.
Vous devez immédiatement informer votre banque de cette opération non autorisée et au plus tard dans un délai de 13 mois après le débit.
Si votre banque n’arrive pas à faire la preuve de l’utilisation de la procédure 3D Secure, votre responsabilité n’est pas engagée car l’opération est réputée « non autorisée ». Votre banque est tenue de vous rembourser l’intégralité des sommes indûment débitées (article L133-18 du Code monétaire et financier).
La banque doit rembourser immédiatement le montant de l’opération non autorisée et remettre le compte dans l’état où il se serait trouvé si l’opération litigieuse n’avait pas eu lieu.
Attention aux mails frauduleux « Verified by Visa »
Des mails frauduleux, ou phishing, portant la mention « Verified by Visa » circulent. Un texte rédigé en mauvais français peut vous alerter. Quelle que soit la raison invoquée, personne ne doit à aucun moment vous demander votre code confidentiel. Ne communiquez JAMAIS votre code confidentiel.
Bonjour, est ce une obligation pour la banque ou le site qui propose le paiement d’appliquer ces pratiques? car un site de pari sur lequel je joue laisse faire des paiements de 70euros sans aucun contrôle.
Cordialement
Bonjour,
Les commerçants en ligne doivent mettre en place le protocole 3D Secure pour authentifier les paiements, sauf exemptions : les transactions de faible montant, les abonnements et les paiements récurrents notamment.
Meilleures salutations.
L’équipe de lafinancepourtous.com
Bonjour, hier j’ai essayé de régler les frais de la prise de RDV pour le dépôt des dossiers du visa avec mes deux cartes bancaires ( BNP et LA BANQUE POSTALE) mais aucune des cartes n’a pu faire la transaction. Et ils m’ont indiqué que mes cartes n’étaient pas 3D secure. Alors que d’habitude, pour mes achat sur internet, je suis la procédure d’authentification 3D secure (reception de code unique sur mon téléphone).
Aider SVP.
Je vous remercie d’avance.
Bonjour,
Il n’est pas normal que vous puissiez réaliser des paiements avec la procédure 3D Secure sur un site Internet avec une carte donnée et que cela ne soit pas possible sur un autre site. Nous supposons que vous avez vérifié que la date de validité de vos cartes n’est pas échue et que ni l’une ni l’autre n’a fait l’objet d’une opposition. Alors, il est possible que le site sur lequel vous avez essayé de payer ait connu un dysfonctionnement temporaire. Une autre piste est qu’il n’accepte pas les cartes françaises. Nous vous conseillons de contacter par téléphone le service qui pilote ces prises de rendez-vous (consulat, ambassade…) pour savoir ce qu’il en est.
Meilleures salutations
L’équipe de lafinancepourtous.com
bonjour. j’ai effectué un paiement en ligne, mais après plusieurs tentatives dûes au mauvais réseau de communication, la carte a été bloquée. qui dois-je contacter ? je suis client de afriland first bank au Cameroun
Bonjour,
Vous devez contacter votre conseiller bancaire. Celui-ci vous indiquera quelles démarches effectuer.
Meilleures salutations.
L’équipe de lafinancepourtous.com
C’est pour des cartes de transport pour le bus.
Bonjour, en voulant acheter des billets d’avion sur le site Air Asia, la validation par 3 D secure n’a pas fonctionné, car j’avais acheté un nouveau téléphone, installé l’application de ma banque (Banxo de la Caisse d’Epargne) mais le système d’authentification (Secure’pass par code) n’était pas encore opérationnel. La demande de sécurisation n’a pas abouti, et le site est revenu sur la page « Payement » sans mes coordonnées bancaires. J’ai alors reçu un email de la caisse d’épargne comme quoi ma demande d’inscription à Securepass avait été enregistrée. Je n’ai eu aucune confirmation que le paiement avait abouti sur le site Air Asia et que la réservation était enregistrée, et donc nous avons refait une autre réservation avec la carte d’un ami. Bilan : 3 jours après je vois que j’ai été débité de 729 € par Air Asia et que nous avons deux réservations pour le même vol, aux mêmes noms, le même jour ! Air Asia étant injoignable, j’ai directement contacté ma banque et fait un dossier de réclamation pour un remboursement. A ce jour (12 jours après ma demande auprès du service fraude monétique de la Caisse d’Epargne) je n’ai toujours pas eu de réponse, et je dois prendre le vol concerné dans 5 jours… et donc s’il n’y a pas de réponse essayer de contacter Air Asia sur place (en Thailande). Pas évident, j’ai encore qq jours mais j’espère vraiment avoir une réponse de ma banque…
Pour information, j’ai un téléphone PRO qui est bridé et je ne peux donc installer d’application. Je trouve cela bien triste que cela soit une obligation d’installer ce type d’appli sans autre alternative. Personne ne se met au niveau des personnes (n’ayant pas accès à internet sur leur téléphone), voire dans mon cas… Je vais faire en sorte de trouver des alternatives de mon côté (comme demander à mon entreprise de me donner cet accès. Mais c’est pas gagné… comme de changer de banque. De plus, Actuellement le CM transmet une autre carte avec des codes unique ou seul la personne ayant cette carte peut valider la transaction. Voilà une solution avec double identification et sans obligation de téléchargement. Je pense que je ne dois pas être le seul à faire ce type de remarque (qui est tout à fait justifié, à mon sens) Quelle position à la banque de France ? Bien à vous.
Bonjour,
La Banque de France mène de nombreuses actions d’information et de prévention dans ce domaine. Vous pouvez retrouver celles-ci notamment sur le portail de l’éducation économique, budgétaire et financière http://www.mesquestionsdargent.fr , sur le site de l’Institut national de la consommation (https://www.inc-conso.fr/content/quest-ce-que-lauthentification-forte-avec-la-banque-de-france ) et sur le site commun à la Banque de France, l’ACPR et l’AMF, abe-infoservice.fr (https://www.abe-infoservice.fr/banque/moyens-de-paiement/quest-ce-que-lauthentification-forte).
Meilleures salutations.
L’Equipe de Lafinancepourtous.com
bjr, je lis cet article et je ne comprends pas pourquoi la Banque refuse de me rembourser : j’ai reçu un sms avec débit d’un montant de 789 euros. J’ai téléphoné au numéro de sécurité et ma correspondante m’a bernée se faisant passée pour la Banque de France. Me réclamant le code sécurité reçu pour bloquer le paiement, ceux-ci ont été acceptés. Pourquoi sont ils accepté alors que c’est un paiement en ligne avec validation sms alors que d’après les textes cités plus haut, validation par sms n’est plus autorisée ?
Bonjour,
La validation par SMS est toujours pratiquée, en complément d’un autre mode de validation (par exemple la saisir du code confidentiel de connexion à son espace personnel du site internet de sa banque.
Vous devez contacter votre conseiller bancaire pour faire opposition sur votre carte bancaire. Vous pouvez signaler l’escroquerie sur la plateforme gouvernementale cybermalveillance (https://www.cybermalveillance.gouv.fr/) . Et vous pouvez déposer plainte en ligne sur la plateforme THESEE du ministère de l’Intérieur (https://www.service-public.fr/particuliers/vosdroits/N31138 ).
Meilleures salutations
L’équipe de lafinancepourtous.com
bonsoir j’ai fait un achat sur site internet qui s’avère être frauduleux , j ai paye avec ma carte et valide le securipass, pas recu ma commande et la banque ne veut pas me rembourser puisque j ai valide le securipass et pourtant chaque mois je paye une assurance
Bonjour,
En cas d’achat en ligne sur un site de e-commerce frauduleux, vous pouvez tenter de mettre en jeu la procédure de chargeback, pour être remboursé par la marque de votre carte bancaire (Visa ou MasterCard). Pour en savoir plus : https://www.lafinancepourtous.com/pratique/banque/moyens-de-paiement/la-carte-bancaire/remboursement-dun-achat-litigieux-par-carte-bancaire-la-retrofacturation-ou-chargeback/
Pour signaler ce site frauduleux et obtenir plus d’informations sur vos recours, vous pouvez joindre la plateforme téléphonique Info Escroqueries, composée de policiers et de gendarmes, au 0 805 805 817 (service et appels gratuits).
Meilleures salutations.
L’Equipe de Lafinancepourtous.com
Bonjour,
tentative d’achat en ligne avec CB VISA Société générale. Après saisie n°, Nom, trigramme, ouverture d’une page pour valider le paiement, mais au lieux d’une URL «.societegenerale.fr», je suis renvoyé vers une URL «.adyen.com» qui comporte le logo et mise en page Société Générale en me demandant mes login et MdP Société Générale.
Ce n’est pas la 1ere fois que je suis confronté à ce genre de surprise, mais je n’avais pas noté le domaine, les fois précédentes, et annulé les transactions. Après quelques recherches, il semblerait que ADYEN soit une société Nerlandaise spécialisée en paiements en ligne. Je n’ai rien pu confirmer sur le site de ma banque, ou ils ne présentent que des captures écran sans URL.
Auparavent ( 1 ou 2 ans ), certains sites me redirigeaient simplement vers l’URL de ma banque pour valider la double authentification par un code envoyé par SMS.
Je suis certes conscient que mon DNS peut être comrompu, et que la simple vérification de l’URL, n’est pas en soit une protection totale, mais quid d’un système dit «secure» qui me demande des éléments
confidentiels en dehors de l’URL officielle de ma banque ?
Bonjour,
Nous n’avons pas connaissance d’un éventuel partenariat entre Société Générale et Adyen pour la gestion de paiements en ligne. Il serait préférable d’interroger votre conseiller bancaire qui devrait pouvoir vous communiquer plus d’informations.
Meilleures salutations.
L’Equipe de Lafinancepourtous.com
Bonjour, j’ai fait un achat sur la boutique en ligne d’une marque réputée. Après avoir reçu mon code d’authentification du paiement par SMS (avec le nom de la boutique et le montant correct de la transaction) et après l’avoir intégrer sur la plateforme « 3D secure visa » et valider l’achat, j’ai été redirigée vers un site inconnu confirmant une transaction d’un autre produit avec une autre somme. Est-ce que le problème est du à la banque, au site marchand, à une tentative de fraude ? Merci pour votre aide.
Bonjour,
Nous ne pouvons pas répondre précisément à vitre questions, les trois hypothèses étant envisageables. Vous devez contacter votre conseiller bancaire pour voir s’il est nécessaire de faire opposition sur votre carte, préventivement. Vous devez également vous renseigner auprès du site de e-commerce. Si c’est une tentative de fraude, vous pouvez contacter le service Info Escroquerie par téléphone au 0 805 805 817 (appel gratuit) pour plus de renseignements.
Meilleures salutations.
L’Equipe de Lafinancepourtous.com