Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Norme 3D Secure : polémiques et réticences font rage !

juin 2010 par Emmanuelle Lamandé

Développée par Visa et Mastercard, la norme 3D Secure vise à renforcer la sécurité des paiements sur Internet et limiter la fraude. Toutefois, depuis sa création, polémiques et réticences font rage sur la nécessité de mise en œuvre de ce système. L’intention paraît pourtant magnanime, mais dans la pratique, elle montre très vite ses faiblesses. Enjeux de responsabilité, perte de répudiation pour l’utilisateur, échec commercial, … autant d’aspects qui réfrènent à la fois commerçants, banques et utilisateurs. Un thème abordé lors d’une conférence animée par Global Security Mag, à l’occasion du salon Online.

De gauche à droite : Jean-Claude Nogues, PDG de Data Solution, Marc Jacob, Rédacteur en Chef de Global Security Mag, Jean Baron, Expert sécurité chez NBS System

3D Secure est un protocole de paiement sécurisé sur Internet, développé par Visa et adopté par Mastercard. Cette norme vise à renforcer le niveau de sécurité du paiement sur Internet, via un système d’authentification forte, et donc limiter la fraude. Le dispositif repose sur un croisement de plusieurs informations concernant le propriétaire de la carte, que lui seul est censé connaître (numéro de carte bancaire, associé à un mot de passe, votre date de naissance, numéro de compte, …). La « formule » proposée varie de banque en banque, et le niveau de sécurité par là-même occasion, car, à l’ère des réseaux sociaux, vous demandez votre date de naissance n’est en rien une garantie de sécurité.

A l’heure actuelle, « un seul de nos clients a choisi d’implémenter le système 3D Secure », souligne Jean-Claude Nogues, PDG de Data Solution. C’était principalement une volonté de la direction. Toutefois, pour ce client, 3D Secure s’est avéré être un échec commercial. Les répercussions sur les ventes ont été visibles, les clients ne comprenant pas toujours ce que l’écran 3D Secure venait faire au milieu de leurs transactions. Et comble de l’ironie dans cette histoire, certains clients ont même cru que le site avait été piraté. Cet écueil provient en grande majorité d’un manque de communication sur cette nouvelle norme. Un marchand va toujours mettre en parallèle le taux de fraude et celui de progression des ventes dans son choix de solution. Et face à cet échec commercial, ce client souhaite d’ailleurs aujourd’hui revenir à son ancien système.

3D Secure : un moyen marketing visant à déplacer la responsabilité légale

Pour Jean Baron, Expert sécurité chez NBS System, les enjeux liés à la sécurité des paiements en ligne sont parfois incompris et sous-estimés par les marchands. Pourtant, contrairement aux idées reçues, ces derniers ne doivent pas se limiter à la sécurité apportée par leur banque, car en cas d’attaque c’est le dirigeant du site marchand qui se retrouve responsable d’un point de vue légal. D’ailleurs, même si la sécurisation des sites n’est pas, à l’heure actuelle, obligatoire, elle tend à le devenir et est, en attendant, plus que fortement recommandée. Pour lui, la norme 3D Secure est un moyen marketing ayant pour but de déplacer la responsabilité légale. En effet, avec ce système, ce n’est plus le marchand qui est responsable mais la banque de l’acheteur. La norme PCI-DSS a d’ailleurs, elle aussi, été pensée en ce sens : dédouaner le commerçant de sa responsabilité en cas de problème.

« 3D Secure est une norme, mais dans les faits elle n’a rien de normalisé » souligne Jean Baron, car chacune des banques implémente son propre moyen d’identification de l’utilisateur. Ne serait-ce qu’en France... on observe un manque certain d’harmonisation.

Le client perd son droit de répudiation

De plus, il faut savoir qu’elle est nuisible pour les utilisateurs, car ces derniers perdent leur droit de répudiation, un facteur qui explique sans doute pourquoi les banques communiquent aussi mal sur cette norme. Les banques se retrouvent à communiquer sur quelque chose dont elles n’ont pas absolument pas envie de parler. Toutefois, tant que les utilisateurs ne sont pas informés, ils réagiront, comme nous avons pu le voir précédemment, de manière négative à ce système. Malgré tout, petit à petit, il va rentrer dans les mœurs, mais tant que ce n’est pas le cas, Jean Baron conseille aux sites marchands d’attendre.

3D Secure devrait s’imposer à terme via 3 types de support : le SMS, le token et la carte à puce. Toutefois, il y a des chances que cette norme évolue dans les 2 à 3 prochaines années. De plus, pour lui, les banques vont bien trouver un moyen pour renvoyer à nouveau la responsabilité légale dans le camp des marchands. Jean-Claude Nogues imagine, quant à lui, le développement de solutions de paiement alternatives à la carte bancaire, telles que le cash électronique par exemple.

Dans ce débat, quoi qu’il advienne de l’évolution de ces normes, la seule certitude reste dans la nécessité de sécuriser vos sites marchands et de l’auditer régulièrement afin d’en tester la fiabilité.


Voir les articles précédents

    

Voir les articles suivants