E-commerce : voici ce que l’on sait du système d’authentification ‘3D Secure’
À l’origine des récentes perturbations constatées lors des transactions e-commerce, le basculement du protocole sécurisé de paiement en ligne ‘3D Secure’ vers sa version 2.0, imposée par Visa et Mastercard, promet une sécurité renforcée.
Les paiements en ligne ont récemment été perturbés au point d’atteindre un taux d’échec de 70% en période de forte demande. En cause, le basculement des banques et des acquéreurs de transactions monétiques (CMI, NAPS...) vers la version 2.0 du protocole 3D Secure, qui se présente comme un correctif majeur.
“Le 15 octobre 2022 était la date limite fixée par Mastercard et Visa afin d’opérer cette mise à jour et se mettre en conformité avec leurs normes”, nous explique Ismail Bellali, directeur général du Centre monétique interbancaire (CMI), précisant que “Visa et Mastercard ont supprimé la première version du 3D Secure”.
Ce protocole sécurisé de paiement sur internet, généralement dénommé 3D Secure ou encore “Verified by Visa” chez Visa et “SecureCode” chez Mastercard, est apparu au Maroc en 2014. Il a pour objectif d’éviter les fraudes et de s'assurer que la carte bancaire est utilisée par son véritable titulaire lors de chaque paiement en ligne.
Sa mise à jour, devenue inéluctable, a été lancée au Maroc en avril 2022 “afin de protéger les sites marchands marocains contre les fraudes lors des paiements par cartes étrangères, avant d'être récemment instaurée pour les transactions nationales”, nous apprend Ismail Bellali.
Comment ça marche
Gratuit pour les sites marchands mais payant pour les banques et les acquéreurs de transactions monétiques, le 3D Secure demande à l’acheteur son nom et prénom, le numéro de sa carte bancaire, sa date d’expiration et les trois chiffres du code de sécurité (CVV) figurant au dos de la carte. De plus, l’acheteur doit saisir un code dynamique à usage unique, reçu par sms.
Supervisée par American Express, Discover, JCB, Mastercard, UnionPay et Visa, les six membres de l’organisme mondial EMVCo, la seconde version de 3D Secure présente l’avantage de faciliter l'interopérabilité et l'acceptation mondiales des transactions de paiement sécurisées.
Selon Mastercard, l'entreprise américaine de système de paiement/retrait, le 3D Secure 2.0 œuvre également à l’optimisation du temps de réponse des messages d’authentification, afin qu’ils ne soient pas reçus après le time-out de dix secondes.
Quels sont les avantages de la nouvelle version ?
Bien que Mastercard évoque une augmentation du nombre de transactions nécessitant l'utilisation de l'authentification 3D Secure à travers cette mise à jour, le Maroc ne sera pas concerné.
Pour deux raisons principales. D’une part, “le taux de réussite actuel au Maroc (90%) est satisfaisant”, indique Ismail Bellali, ajoutant que les échecs de paiement sont généralement dus aux serveurs ou à la connexion internet.
D'autre part, notre interlocuteur souligne que cet avantage ne pourra pas être exploité au Maroc car il est lié “à la possibilité qu’un site marchand supprime le code d’authentification pour fluidifier la transaction des clients réguliers”. Or au Maroc, la majorité des sites marchands choisissent le niveau de sécurité le plus élevé.
Si certains e-commerces ont tout de même opté pour un processus d’authentification où le code d’authentification n’est pas systématique, ils prennent le risque de devoir rembourser le client en cas de fraude, à la place des banques.
Comment se prémunir des fraudes ?
En l’état, le 3D Secure 2.0 garantit une immunité contre les fraudes. Mais il n’en reste pas moins perfectible, car les fraudeurs redoublent d’ingéniosité, notamment pour récupérer une copie de la carte d’identité nationale des détenteurs de compte, ainsi que leurs identifiants bancaires.
“Généralement, les fraudeurs mettent en vente sur les réseaux sociaux des produits dont les prix défient toute concurrence pour attirer les acheteurs. Pendant la transaction, ils réussissent parfois à récupérer une copie de la CIN de l’acheteur, ainsi que ses coordonnées bancaires”, avance Ismail Bellali. “Grâce à ces informations, le fraudeur peut récupérer une nouvelle carte SIM auprès d’un opérateur téléphonique afin de recevoir le code d’authentification par message.”
Le directeur général du CMI prévoit, à moyen terme, “le passage à une authentification via les applications bancaires, sans pour autant passer par l’opérateur”. En attendant, il conseille aux utilisateurs de faire attention à “qui ils communiquent leurs données bancaires et d’identité nationale”, ainsi que “de vérifier quotidiennement leurs comptes bancaires en vue de réduire les risques de fraude”.
