3D secure ou le délire des banques

Par Cedric Augustin le dimanche 30 mai 2010, 18:13 - Société - Lien permanent

Il y a quelques années, lors de l'explosion du commerce en ligne, les banques ont commencé à se faire du souci pour leur marges, qui étaient grignotées par les accidents de paiement (carte bancaire volée, provision insuffisante...). Donc a germé l'idée d'un système de sécurisation renforcée des transactions. Ce système renforcé appelé "3D secure" entre maintenant en phase de déploiement intensif et de plus en plus de sites web le propose.

En quoi ça consiste

Le principe est simple, lors d'un paiement d'un achat sur internet, une fois que vous avez saisie votre numéro de carte bancaire, au lieu que le site marchand ou la banque du commerçant enregistre le paiement, vous êtes redirigé vers le site web de votre banque, qui va vous poser une question supplémentaire pour être sûr que c'est bien vous.

Il y a donc une étape de plus au minimum, étape qui va varier selon la banque.

La paranoïa du Crédit Mutuel

Ma banque, le crédit mutuel, a implémenté un système de dingue. Lorsque je suis redirigé vers le site de ma banque, je dois saisir mon numéro de compte (un machin à 16 chiffres), ainsi qu'un code contenu dans une grille d'une soixantaine de possibilités. C'est là que le système est absolument ridicule. Pour pouvoir payer en ligne, je dois donc avoir sur moi mon numéro de compte et la grille de code. Donc à part dans mon porte feuille, je ne vois pas où je vais les ranger. Ils sont donc au même endroit que ma carte de crédit. En cas de vol de mon portefeuille, non contant d'avoir ma carte, le voleur a en plus tout ce qu'il faut pour utiliser ma carte. Gain par rapport au système précédent : null. Par contre moi je me fait chier à chaque fois à saisir un numéro à 16 chiffres et à jouer à la bataille navale.

Vous en voulez une autre ? Pour activer ce service, il faut se connecter à son espace client. Sauf que moi j'en ai rien à cirer de mon espace client, donc je me suis gouré de mot de passe (au passage on ne peut pas choisir le mot de passe que l'on veut, il faut qu'il sois suffisamment sécurisé selon des critères tout aussi paranoïaque que le reste). Et bien il m'a fallu attendre 10 jours pour recevoir par la poste mon nouveau mot de passe. DIX JOURS ! On atteint les tréfonds de la connerie avec des procédures totalement disproportionnées et archaïques.

Qui c'est qui va en pâtir ?

A votre avis, hein ? Ben les petits forcément. Ce système de 3D secure est mis en place sur les plateformes de paiement dites du tiers de confiance, c'est à dire lorsque vous êtes redirigé vers le site de la banque pour payer et non que vous payez sur le site du commerçant. Seules les grands comptes et les gros sites marchands gèrent en interne le recueil des numéros de carte. Tous les petits sites marchands confient cette tache à leur banque, c'est plus simple et plus rassurant pour le client (en principe). Du coup tout ceux qui passe par une banque pour la collecte des numéro de cb se retrouvent de fait avec le 3D secure là où ceux qui font la collecte directe des numéros de carte peuvent s'en affranchir.

Le système délirant de 3D secure fait perdre des ventes aux sites qui le mettent en place (15 à 40%). Donc les gros sites peuvent s'en passer et préserver leur chiffre d'affaire là où les petits sont contraints par les banques à un système qui fait chuter leur vente. C'est magique !!

Pour en savoir plus

Partager Partager ce billet sur les réseaux sociaux

Commentaires

1. Le dimanche 30 mai 2010, 18:21 par Sand

"https" c'était pas bien déjà ?

2. Le dimanche 30 mai 2010, 23:40 par Cyril Cousinié

Oui c'est pas facile le 3D secure

étant commerçant en ligne, je vois bien que cela peut poser des problèmes selon les banques

le raisonnement des banques la plupart du temps est de faire en sorte que la carte bleue seule ne suffise pas à acheter en ligne

elles obligent donc à avoir un second outil, fournissant un second code, qu'il est plus intelligent de laisser à la maison. La carte bleue reste dans le portefeuille, l'outil à la maison, un voleur ne peut donc pas facilement disposer des deux.

maintenant pour un acheteur nomade cela peut poser problème.

On peut toujours critiquer, et c'est vrai que c'est compliqué et rageant d'être confronté à des problèmes de code quand on veut règler en ligne. Souvent les clients veulent foncer, on est dans le monde du tout tout de suite. Il suffit pourtant de se poser, de faire calmement les choses, pour ne pas se tromper. Cela demande un peu de concentration.

On peut toujours critiquer, je disais, mais, il y a quelque chose de plus désagréable que de de se concentrer 5 minutes pour taper un code, c'est de voir son compte en banque vidé. Car récupérer des numéros de carte bleu, pour aller acheter ensuite sur le net, c'était quelque chose d'assez facile à faire pour un voleur jusqu'à présent, vu, que, contrairement au terminal de paiement du commerce d'en bas de la rue, sur le net, le code confidentiel n'était pas demandé.

Accessoirement, ce système de 3D sécure, même s'il est perfectible, criticable, et que chaque banque a choisit sa propre solution, pas toujours la plus heureuse, ce système donc, permet de garantir au commercant la transaction. La commande peut donc partir immédiatement, le client peut donc être livré plus rapidement.

Egalement ce système sécurise les transactions et donc peut augmenter la confiance que les françaises et français peuvent accorder au paiement en ligne. Les commerçants en ligne seront forcément gagnants, de ce point de vue, sur le moyen terme : il ne faut pas regarder qu'à court terme.

En résumé, on peut se poser en simple consommateur sur ce nouveau système, et dire qu'il est inadmissible parcequ'il nous fait perdre du temps, ou chercher à le comprendre dans sa globalité, en analysant les problèmes qu'il pose mais aussi les solutions qu'il apporte, mais bon, là cela voudrait dire prendre du recul, réfléchir, voire se poser en homme politique et non en simple consommateur. Pas facile.

3. Le lundi 31 mai 2010, 13:02 par Cedric Augustin

@ Sand : https n'est qu'un tuyau sécurisé, mais pas une sécurisation de la transaction. Si on compare à un tuyau d'eau, entre http et https, l'un est en plastique l'autre en acier, mais cela ne règle pas la qualité de ce qui circule dans le tuyau. Ramener au paiement, transporter un numéro de carte en toute sécurité ne garantie pas que ce numéro de carte soit valide ou que celui qui s'en sert a le droit de le faire.

@Cyril : le problème ici est l'égotisme des banques qui ne pensent qu'à elles. J'ai fait des développements pour des passerelles de paiement, et je peux te dire que l'intérêt des commerçants passe TRES, TRES loin après leur propre intérêt (et je ne parle pas des consommateurs, tous considérés comme des escrocs en puissance). Certaines passerelles de paiement par exemple sont incapables de fournir au commerçant un moyen de connaitre "automatiquement" avec certitude l'état des transactions qui le concernent. La réponse de la banque est "vous n'avez qu'à aller voir dans votre gestionnaire". Sauf que quant on a des centaines de transactions par jour, cette réponse n'est pas acceptable. A quoi sert l'automatisation ? Un commerçant ne va pas mettre un salarié à vérifier le travail des machines. Et je ne parle pas des plantages des plateformes de paiement, qui balancent en double des confirmations de paiement...etc.

Soit dit en passant, en tant que commerçant, si tu regardes la modification de ton contrat lors du passage à 3D secure, tu noteras que pour les paiements en plusieurs fois, avant ils étaient garantis, maintenant ils ne le sont plus, ce qui pour bon nombre de commerces en ligne est inacceptable.

Moi ça me dérange de voir que les banques ne demandent pas leur avis aux commerçants. Si perdre 15 à 40% de ventes ne te pose pas de problème, c'est que ton business va bien. Le commerçant devrait avoir le choix entre le risque de non paiement ou la simplicité de paiement. Pour certains, il est primordiale de ne pas entraver la vente (loisir), pour d'autres il est primordiale d'être payé (bien de consommation).

Il existe enfin d'autre moyens moins stupides de vérifier l'identité d'un client. Proposer au client de répondre à quelques questions dans son profil et ensuite lui reposer les mêmes questions lors du paiement. Il existe un juste milieu entre le laxisme et la paranoïa.

4. Le lundi 31 mai 2010, 22:48 par cyril

Je n'ai pas connu de perte de CA avant et après 3D sécure car mon activité sur le net est très récente. Pas sassez de volume pour en juger.

Ce passage au 3D sécure a très certainement manqué de concertation avec les différents partenaires : défense des consommateurs, commerçants

Mais je pense tout de même que c'est mieux qu'avant où il n'y avait aucune sécurité, n'importe qui ayant volé des numéros de carte bleue pouvait facilement commander sur le net.

Personellement, je me verrai mal revenir en arrière avec des paiements non garantis

Du côté des particuliers, toi qui travaille dans l'informatique, rends toi compte du nombre de personnes qui n'y comprennent rien, qui n'ont même pas d'antivirus valable... si tu étais une banque tu flipperais à mort et tu trouverais les mesures actuelles bien insuffisantes :D

Je pense donc que le système 3D secure est donc meilleur pour les particuliers, même s'il n'est pas parfait, car il vaut mieux les mécontenter un peu pour les protéger mieux

Maintenant, au delà de ce problème précis, la question se pose du rôle que devrait tenir le gouvernement dans l'encadrement des banques. Une fois de plus on les laisse faire ce qu'elles veulent, on n'intervient qu'après, tel un mauvais médecin.

A +

5. Le jeudi 7 octobre 2010, 20:54 par e-card

Et si vous ne prenez pas le 3DS, il se passe quoi? http://infracom-france.com/blog2/?p...

Ajouter un commentaire

Le code HTML est affiché comme du texte et les adresses web sont automatiquement transformées.

Fil des commentaires de ce billet