Suivant un plan de migration élaboré par la banque de France, le protocole d’authentification 3D Secure va évoluer vers la version 2.0. Cette nouvelle version est une réelle opportunité pour faciliter le parcours d’achat de vos clients tout en améliorant la gestion du risque sur les transactions financières E-commerce.

Version actuelle de 3DSecure : 3DS 1.0

Actuellement, lorsque le 3DSecure est activé, l’acheteur est redirigé vers une page gérée par l’émetteur de sa carte pour s’authentifier via un système propre à ce dernier (code SMS, calculette,…).Voir l’article 3D Secure

Cette première version du 3DSecure conçue par Visa et MasterCard en 2002 a été une première réponse pour sécuriser les transactions e-commerce. Elle a été généralisée à partir de 2008 sur la plupart des sites marchands. Pas toujours avec succès compte tenu de l’information souvent incomplète des porteurs.

L’intérêt pour l’e-commerçant est de bénéficier dans la plupart des cas d’un transfert de responsabilité lorsque l’authentification 3DSecure est réussie. Cela nécessite cependant une rupture dans le parcours d’achat et peut engendrer des abandons de paiements.

Pour cette raison, certains e-commerçants choisissent avec l’accord de leur banque ou au travers de modules de gestion des risques de désactiver le 3D Secure selon des règles métiers qui leur sont propres.

Avantages et opportunités du 3DS 2

L’authentification en mode Pop In.

La redirection vers une page d’authentification qui était source d’abandon du paiement est revue. L’authentification sera faite désormais en mode Pop In (fenêtre qui s’ouvre sur le navigateur de l’acheteur).

Contrairement à la page de redirection du 3D Secure 1 , il est désormais possible d’indiquer au serveur d’authentification la taille de l’écran de l’acheteur et la fenêtre Pop in doit s’adapter à la taille de la page du navigateur améliorant ainsi l’expérience utilisateur notamment sur les équipements mobiles (si bien évidemment le serveur d’authentification de l’émetteur exploite les paramètres de taille d’écran).

Frictionless : une authentification sans interaction systématique de l’acheteur

Le protocole 3DS2.0 permet d’échanger de nouvelles données entre le marchand et l’émetteur (l’émetteur du porteur de la carte). L’émetteur peut demander à recevoir une empreinte numérique comme l’adresse ip de l’acheteur, le type d’appareil utilisé, le type de navigateur, la version du système d’exploitation, etc … .

Ainsi l’analyse de ces données enrichies permettra à l’émetteur de décider :

  • de déclencher une authentification forte du porteur, c’est à dire de demander à l’acheteur de saisir des données complémentaires (les méthodes d’authentification forte sont du ressort de l’émetteur de la carte et doivent évoluer vers des solutions de type biométrie pour éliminer à terme les codes de type SMS non reconnus pour leur fiabilité)
  • de finaliser le processus de paiement sans interaction de l’acheteur tout en maintenant le transfert de responsabilité. Ce mécanisme est nommé le « frictionless»

Si l’émetteur décide de ne pas déclencher une authentification forte alors le transfert de responsabilité suivra les règles définies à ce jour et l’acheteur n’aura aucune information complémentaire à saisir. Il n’y a aucune interaction entre l’émetteur de la carte et l’acheteur.

En conclusion

Les objectifs sont :

  • de transformer un maximum de paiement sans authentification du porteur afin de fluidifier le parcours client. L’objectif des réseaux carte est d’obtenir à terme 85% des paiements sans authentification du porteur tout en maintenant le transfert de responsabilité.
  • de réduire la fraude et par conséquent vos taux d’impayés

Exemptions

Dans le cadre des obligations réglementaires, le protocole 3DS2 devra être généralisé sur l’ensemble des sites E-commerce.
Cependant certains paiements pourront être exemptés et ainsi être réalisés sans authentification forte du porteur s’ils entrent dans des critères définies par la DSP2 (exemple: faible montant, bénéficiaires de confiance, …).

L’émetteur contrairement à la version actuelle de 3DS pourra refuser dans le cas de paiement online la désactivation forcée de 3DS et demandera une authentification du porteur s’il détecte par exemple une situation non habituelle (paiement depuis un autre équipement, paiement depuis un pays étranger, etc..)

Un déploiement du 3D Secure 2 dans le monde

3DS 2 via la DSP2 cible essentiellement les pays européens cependant 3DS 2 est un protocole mondial adopté par Visa, Mastercard, CB, CUP, Diners et Amex.
D’autres pays tel que le Chili, la Colombie et le Pérou ont déjà lancé ce protocole d’authentification forte. Le Brésil pour sa part a annoncé une généralisation. Des innovations au niveau des systèmes d’authentification (empreinte digitale, Reconnaissance faciale, banque en ligne, … ) devraient émerger sur tous les continents.