Le paiement par carte bancaire sur Internet avec 3D Secure

la finance pour tous

« Verified by Visa » et « MasterCard SecureCode » renforcent la sécurité des paiements en ligne. La saisie d’un code ou d’un mot de passe permet d’identifier ou d’authentifier l’acheteur comme étant le porteur de la carte utilisée pour le paiement.

Le système 3D Secure est un système de sécurisation des paiements en ligne, créé par les émetteurs internationaux Visa et MasterCard et mis en place en France en 2008. Il s’agit d’une procédure d’authentification du porteur de la carte, pour s’assurer que c’est bien celui-ci qui effectue le paiement sur internet. Seules les cartes de paiement « CB » Visa et MasterCard bénéficient de cette sécurité. Le service 3D Secure n’a pas de caractère obligatoire, pour les cybercommerçants comme pour les banques. L’activation du système se fait lors du premier paiement sur un site marchand français adhérant 3D Secure.

Achat sur Internet : Sécurisez vos paiements par carte bancaire avec la validation 3D Secure

Lorsque les logos « Verified by Visa » et « MasterCard SecureCode » sont affichés sur les sites du cybercommerçant, le paiement se réalise en deux étapes.

Etape 1 de l’achat sur Internet :

Comme pour toute transaction sur un site marchand, dans l’espace de règlement de la commande, vous devez saisir :
– le numéro de votre carte, 
– la date de validité de celle-ci,
 
– le cryptogramme visuel (3 chiffres figurant au dos de la carte).

Etape 2 de l’achat sur Internet :

Une nouvelle fenêtre s’ouvre alors, avec le logo de votre banque. Elle vous redirige vers le site de votre établissement bancaire pour confirmer votre identité, avec le procédé d’authentification mis en place par celui-ci. Selon la procédure la plus usuelle, votre banque vous envoie par SMS un code à usage unique. A défaut, il vous sera demandé de saisir une information accessoire (date de naissance ou réponse à une question personnelle…). Vous saisissez l’information demandée dans l’écran de saisie. Quand l’authentification est confirmée par votre banque, le paiement est autorisé et la transaction est finalisée.

Ecrans de validation de paiement avec 3D Secure

Différents modes d’authentification sont proposés par les banques

Au lancement de 3D Secure en France, c’est une information personnelle, du type date de naissance ou adresse, qui était demandée. Ce qui n’est pas suffisamment sûr car cette donnée est facilement disponible et accessible notamment sur les réseaux sociaux ou via l’hébergement des CV en ligne sur des sites.

Les banques ont mis en place des nouveaux systèmes basés sur un code à usage unique. Qui ne peut donc pas être réutilisé même s’il est intercepté par un fraudeur. Mais selon les banques, les modalités d’authentification varient : 

  • Code à usage unique envoyé par SMS, 
  • Combinaison de codes à usage unique à partir d’une grille chiffrée des « Clés Personnelles »,
  • Code délivré par un système de boitier électronique fourni au titulaire de la carte.

Carte Bancaire : pourquoi utiliser le système 3D secure ?

En 2012, 40 % des cybercommerçants ont mis en place 3D Secure. 15 % des paiements par carte sur internet sont réalisés avec 3D Secure, qui représente 30 % en montant (données du Groupement des Cartes Bancaires CB – juin 2012).

La mise en place de 3D Secure doit permettre aux cybermarchands de réduire le montant de leurs impayés dus à la fraude. En cas de contestation de la transaction par le porteur de la carte, la charge de l’impayé dû à la fraude est transférée sur la banque du titulaire de la carte et non plus sur le cybercommerçant.

Toutefois, des sites marchands renoncent à utiliser le procédé de sécurisation 3D Secure en raison d’un risque de diminution de leur chiffre d’affaire. En effet, les acheteurs renoncent à leur achat lors du règlement par carte, lorsqu’ils sont redirigés vers une nouvelle fenêtre en pop-up. Ils peuvent craindre que ce soit une tentative de fraude pour intercepter leurs données bancaires.

Pourtant, pour le consommateur qui règle ses achats sur internet par carte, ce dispositif d’identification doit constituer un élément de sécurité. En cas de vol de son numéro de carte bancaire, il ne devrait pas être possible de l’utiliser pour régler des achats sur internet.

Comment contester un paiement à distance effectué avec le procédé 3D Secure ?

Vous contestez une opération de paiement pour laquelle le procédé 3D Secure a été utilisé. C’est à votre banque d’apporter la preuve de l’enregistrement de cette authentification (article L133-23 du Code monétaire et financier). Si tel est le cas, vous êtes présumé être à l’origine de la transaction. Vous devez faire opposition auprès de votre banque. Votre responsabilité sera engagée dans la limite de 150 euros, pour les opérations réalisées avant opposition. Au-delà de ce montant, comme après opposition, votre responsabilité n’est plus engagée.

Si votre banque n’arrive pas à faire la preuve de l’utilisation de  la procédure 3D Secure, votre responsabilité n’est pas engagée car l’opération est réputée « non autorisée ». Votre banque est tenue de vous rembourser l’intégralité des sommes indûment débitées (article L133-18 du Code monétaire et financier).

Vous devez contester l’opération dans les plus brefs délais, et au plus tard dans un délai de 13 mois à partir de la date du débit de votre compte. Le délai de contestation est de 70 jours, porté à 120 jours par certaines banques, si la transaction litigieuse, suite au vol ou à la perte de votre carte, a été réalisée hors de l’Espace économique européen (Union européenne plus l’Islande, le Liechtenstein et la Norvège).

Attention aux mails frauduleux « Verified by Visa »

Des mails frauduleux, ou phishing, portant la mention « Verified by Visa » circulent. Un texte rédigé en mauvais français peut vous alerter. Quelle que soit la raison invoquée, personne ne doit à aucun moment vous demander votre code confidentiel. Ne communiquez JAMAIS votre code confidentiel.

    167 commentaires sur “Le paiement par carte bancaire sur Internet avec 3D Secure”
    1. Bonjour,
      Je me trouve dans la situation de Lydia, et ma banque m’affirme que ce principe a été mis en place par le Groupe de la CB et non par ma banque.
      Il refuse de trouver une autre solution, par exemple l’envoi d’un mail contenant ce code. on paye une carte et on ne peut utiliser l’ensemble des fonctionnalités. Scandaleux !!! Peut on négocier le remboursement d’une puce téléphonique ?
      Mon problème est lors de déplacement à l’étranger ou je n’ai pas de téléphone portable.
      Mais je pense que l’on fait partie d’une minorité, et donc on ne compte pas…
      Merci
      Bonne journée

    2. Bonjour,

      Oui, ce dispositif est légal. Il peut effectivement poser quelques problèmes à certaines personnes non détentrices de téléphone portable. Vous pouvez peut-être revenir vers votre banque afin de savoir si un dispositif alternatif peut vous être proposé.

      Meilleures salutations.

      L’Equipe de Lafinancepourtous.com

    3. C’est inadmissible qu’il n’y ait pas d’alternative à la vérification par sms utilisable sans posséder de téléphone portable et d’accès internet.

      Cette année, je me suis trouvée trois fois dans l’impossibilité d’utiliser ma carte bleue pour finaliser une commande en ligne, à cause de ce dispositif.

      S’il se généralise dans les commerces sans qu’il soit mis en place de moyen de sécurisation alternatif (un simple code secret, par exemple…), les gens comme moi, qui ne souhaitent pas acheter de portable, seront progressivement mis à l’écart de la société.

      Est-ce seulement légal ? Car il s’agit bien de discrimination.

    4. Bonjour,

      A priori, vous en procurez un tout au moins pour un temps donné.

      Meilleures salutations.
      L’Equipe de Lafinancepourtous.com

      1. bjr
        pourquoi cette dame devrait meme pour un temps, se procurer un portable? Nous n’avons pas tous besoin mour bien vivre… au contraire! Pour ma part, il serait plus logique que ca soit auxbanques de se mettre en quatre,pour satisfaire et surtout simplifier leurs nos achats sur internet, entre autre ??

    5. Que faire si on n’a pas de telephone portable ? Je ne peux rien acheter sur Internet parce que je ne peux pas recevoir de code, puisque je n’ai pas de portable.

    6. en réponse à Arnaud : Je sais que son message date d’un an, mais ça pourrait aider les autres à comprendre. Le 3D secure ne protège pas la banque mais le COMMERCANT. Il ne suffit pas au commerçant de ne pas expédier une commande s’il n’est pas payé VU qu’il est payé de suite par cb ! LE problème c’est que le client à 13 mois pour aller à sa banque, dire que ce n’est plus qui a fait le paiement, et donc se faire rembourser, et bénéficier de la commande … Le commerçant en utilisant donc le 3D secure sera protégé, et donc ne devra pas rembourser la banque (qui rembourse ensuite le client). L’inconvénient est que les acheteurs peuvent annuler leur achats (peur lorsqu’ils voient qu’on leur demande un code, n° de tel donné à la banque au moment de l’ouverture du compte plus utilisé par le client, client novice avec le net, ect). Voilà en espérant avoir donné des explications utilises 😉

    7. Bonjour,
      Dans un premier temps, vous pouvez demander à votre conseiller bancaire s’il est possible de mettre en place un autre mode de confirmation de la transaction (par email à la place du SMS).
      A défaut, vous pouvez utiliser un autre mode de paiement sur internet, tel que e-carte bleue (ou un système équivalent proposé par votre banque). Il s’agit d’une carte virtuelle qui génère un numéro de carte à usage unique pour la transaction en cours. Ce service doit être souscrit auprès de sa banque pour télécharger l’interface utilisateur.
      Certaines banques françaises commencent également à développer un nouveau mode de paiement : Paylib, autre application à télécharger. Vous pouvez vous renseigner auprès de votre banque pour connaître les services qu’elle propose et leurs coûts.
      Meilleures salutations.
      L’Equipe de Lafinancepourtous.com

    8. L’utilisation de 3D secure me pose d’important problème au quotidien, je voyage fréquement a l’étranger pour mon travail,

      Je n’ai pas toujours de couverture téléphonique..

      Je me retrouve dans l’impossibilité d’utiliser ma carte sur internet, pour reserver billet d’avion, hotel..

      Existe-t-il un moyen d’utiliser un email comme 2FA??

      Mobile forfait qui couvrait l’Europe va prendre fin dans un mois (fin d’offre..)

      Je ne sais pas comment faire…

    9. Ce qui est aberrant, que l’on voyait fréquemment aux débuts de la procédure 3D Secure, c’est le fait que certains commerçants donnent à l’acheteur le choix d’utiliser D Secure ou non. Cela m’est encore arrivé la semaine dernière. J’ai évidemment choisi de ne pas utiliser la procédure: je n’ai pas à me prouver à moi-même que je suis le légitime propriétaire de la carte utilisée pour l’achat! Et comme la banque apparemment laisse le soin au commerçant d’appliquer la procédure ou non … Pour moi, utiliser la procédure ne présente que des inconvénients: il faut que j’allume mon smartphone, et que je passe davantage de temps pour faire mon achat. La procédure n’est pas plus sûre pour moi, elle est plus sûre pour la banque. Si le commerçant estime que l’application de la procédure 3D Secure fait fuir des clients, qu’il ne l’utilise pas, il n’a rien à gagner à l’utiliser: s’il n’est pas payé, il n’envoie pas le produit acheté. Si la banque paye et ne peut pas prouver que l’ordre de débit n’a pas été donné par le titulaire de la carte et que celui-ci conteste, c’est tant pis pour elle.
      Pour que la procédure 3D Secure serve à quelque chose, il faudrait qu’elle soit rendue obligatoire

    10. Bonjour j’ai travaillé un moment pour un site internet, le système de paiement 3D SECURE était déjà en place. Ce qui m’a surprise ce n’est pas tant la diminution du chiffre d’affaires liée à l’introduction du système 3D SECURE, c’est surtout le fait que beaucoup de clients ne savaient pas utiliser ce système de paiement, et omettaient souvent d’entrer le dernier code. Les différents organismes de paiement ont à mon avis communiqué peu ou prou sur ce moyen de paiement, or s’agissant de vente par internet, l’éducation des consommateurs est capital.

      1. Ce que je viens « d’expérimenter » depuis six jours avec ce système 3D secure, c’est qu’il m’a été impossible d’acheter deux billets de train sur le site Oui.SNCF (montant 146 € !), puis maintenant deux billets d’avion sur AirAsia pour un vol intérieur (58,58 €). je m’y suis repirs à 12 repirses sur ces 6 jours, car il y a sans doute un bug informatique. J’ai aussi contacté par téléphone des opératrices…
        A chaque fois que je passe à l’étape validation du paiement, le code arrive par SMS, je le rentre dans un délais d’un dizaine de seconde et j’ai comme réponse « Session expirée ». J’ai téléphoné à la fois au service vendeur, à la Banque Postale qui gère mon compte et à l’opératrice 3D secure. Visiblement alors que le délais réel est de l’ordre d’une dizaine de secondes entre la réception du code de validation et la saisie que j’en fais sur la fenêtre 3D secure, ce délai semble mal calculé. (Problème d’horaires décalés ?) Personne n’a su trouver de réponse et donc résoudre mon problème, tout en m’indiquant qu’il n’y avait pas de problème su rmon compte qui par ailleurs m’a perms en même temps d’effectuer des achats en ligne avec le même compte et la même carte visa !! DONC BRAVO et que le lobby des cartes bancaires n’essaye pas davantage de supprimer l’argent liquide, car quand les systèmes ont des problèmes informatique, le client se trouve dépourvu de toute autre possiblité. La finance pour tous, c’est amusant… même risible quand on constate de tels disfonctionnements alors même qu’on n’est pas en difficulté financière !!

167 commentaires

Commenter