3D secure: La bonne blague
Hier a eut lieu un changement de fond pour tous les e-marchands de France. Le 1er octobre, 3D secure est passé opérationnel dans toutes les banques du pays pour les paiements sur le net.
Grâce à 3D secure, le risque d'impayé est désormais assumé par la banque émettrice de la CB et non par le e-marchand !
Voilà un grand pas pour la confiance dans l'e-commerce qui va éviter aux marchands d'aller quémander des pièces d'identité ou des factures de téléphone à leur clients.
Sauf que cette affaire de 3D secure ça fait 5 ans qu'on en parle et nos camarades banquiers ont bien l'air décidé à jouer encore les prolongations.
En ce qui me concerne je n'ai aucun retour de ma banque à ce sujet: ni comme e-marchand, ni comme consommateur porteur de CB ! D'autres ont eut la chance d'avoir un avenant sans précision sur les tarifs...
A lendemain de la grande bascule je n'ai vu aucun article dans la presse, ni aucun commentaire d'autre e-marchand. Pourtant ce ne sont pas les occasions qui manquent pour les journalistes de rencontrer des banquiers en ce moment...
Je propose donc de lancer un avis de recherche du premier utilisateur de 3D secure en France s'il existe !
EDIT: En lisant d'autres informations sur le sujet je suis tombé sur cet excellent compte rendu d'atelier du salon ecommerce. Il mentionne le chiffre édiffiant de 40% de hausse des abandons au moment du paiement lors de l'introduction du dispositif en Angleterre ! On a pas fini de payer le prix de la lutte contre la fraude...
Bonjour Daniel, pour apporter de l'eau au moulin, voici le courrier que nous avons reçu de notre banque. A noter que nous avions souscrit dès le début à cet "assurance" et que nous n'avons pas encore d'infos sur le tarifs des transactions, puisqu'une 3D était facturé plus cher...
Madame, Monsieur,
La Caisse d' Epargne est heureuse de vous informer qu’à partir du 1er octobre 2008, l’ensemble des banques françaises adoptent, pour le paiement en ligne, la norme 3 D Secure.
Cela signifie que tous vos clients titulaires d’une carte bancaire française, quel que soit leur banquier, devront s’authentifier après avoir, comme d’habitude, donné leur N° de carte, la date d’échéance et les 3 chiffres au verso de la carte. Cette authentification pourra s’effectuer par différentes méthodes :
- la saisie de la date de naissance (méthode adoptée par la Caisse d'Epargne et par 5 autres banques)
- la réponse à des questions confidentielles…
Pour ne pas bloquer un paiement et ne pas risquer de vous faire perdre une transaction, sachez que la quasi-totalité des banquiers tolérera que les 3 premiers paiements après le 1er octobre soient effectués, même sans saisie de cette authentification.
Techniquement, vous n’aurez aucune modification à effectuer, en effet, SP PLUS intègre cette norme depuis plusieurs années.
De même, si vous utilisez notre service en tant que TPE virtuel ou pour faire des paiements sans interface, aucun changement puisque ce type de transaction continuera à se dérouler sans authentification.
L’avantage de cette nouvelle pratique est, qu’à partir du 1/10/08, tous les paiements pour lesquels le banquier aura authentifié son client et aura donné son accord de paiement bénéficieront d’une garantie. Ainsi, vous ne risquerez plus, sur ces paiements authentifiés, d’avoir un impayé dans les semaines et les mois qui suivent.
Rédigé par: GoldFish | 02/10/2008 at 13:51
je developpe des sites e-commerce et un de mes client m'a appelé en catastrophe ce matin car il a reçu plusieurs coup de fils hier de ses propres clients qui n'osaient plus payer car lorsqu'il arrivaient sur la page de paiement (module atos) car dès qu'ils validaient, une page leur reclamait leur "mot de passe" (3dsecure) et ils croyaient à du phishing alors interrompaient immédiatement leur achat et appelaient le commerçant en lui disant que son site n'était pas sûr !!
C'est certain, un peu de communication grand public aurait été la bienvenue pour l'internaute lambda...
Rédigé par: Nico | 02/10/2008 at 13:57
Goldfish> Courrier interessant qui semble montrer que la caisse d'épargne est plus proactive que ma banque (Société Générale)
Nico> Ainsi donc tu as donc vu des utilisateurs de 3D secure !
J'ai encore refait un test a l'instant. Chez nous rien de changé, aucun champ d'authentification et aucun feedback du banquier
Je sens que ça va être un beau bordel. Les banques doivent trouver qu'il n'y a pas assez de pagaille comme ça...
Rédigé par: Daniel | 02/10/2008 at 14:24
Oui la Caisse d'épargne semble être pionnière en la matière. J'ai des clients 3D secure depuis le début, 10% des transactions environ en augmentation depuis début 2008.
Mais c'est vrai, également a mais grande surprise, personne n'en parle côté consommateurs. Peut être ont ils peur d'effrayer les acheteurs, en semblant compliquer la phase de paiement...
Rédigé par: GoldFish | 02/10/2008 at 14:42
J'ai gagné ? paske moi j'en ai des utilisateurs 3D secure ;-) le
Je confirme qu'après examen détaillée de toutes les transactions cartes françaises sur SPPLUS en date d'hier et d'aujourd'hui nous en avons un certain nombre (environ 1/5) qui sont indiquées garanties 3D secure pour les cartes françaises.
En revanche, il faut aller voir ça sur l'interface commerçant pour savoir si telle ou telle transaction est garantie ou pas.
Par ailleurs il est clair que nous perdons quelques transactions en route certaines banque demandant une authentification aux porteurs de la cartes de manière un peu sauvage et sans avoir communiqué auparavant... ce qui inquiète alors que ça devrait rassurer...
Rédigé par: Olivier b | 02/10/2008 at 14:53
Pardon, mais pour compléter mon commentaire précédent, je viens de vérifier sur notre interface Atos (notre 2e plateforme de paiement) et il y a aussi un certain nombre de paiement 3D secure succes pour les cartes FR.
Informations complémentaires CARD_COUNTRY=FRA
Conditions de la transaction 3D_SUCCESS
Rédigé par: Olivier b | 02/10/2008 at 15:01
C'est à y perdre son latin: on utilise aussi SIPS d'ATOS et rien de tel dans nos log !
Pas de réponse de notre banquier pour le moment, ni de plaintes client au téléphone. Tous les utilisateurs ne doivent pas disposer de la même interface...
Rédigé par: Daniel | 02/10/2008 at 16:39
@Daniel
Moi je vois ça sur le détail des transactions sur l'administration de suivi SIPS mise à dispo par notre banque.
Le paiement se fait chez toi ou sur un serveur bancaire ?
Rédigé par: Olivier b | 02/10/2008 at 16:50
Du coté de la banque populaire (SIPS), ils ont beaucoup de problèmes pour basculer les boutiques sur 3d secure.
Ils doivent faire une demande de basculement à Visa (je le tiens du technicien que j'ai déjà eu 3 fois entre hier et aujourd'hui)
Pour ce qui concerne le taux d'abandon en Angleterre, ça n'a pas empêché l'ouverture de 150 000 boutiques ecommerce...
Rédigé par: Scott | 02/10/2008 at 17:13
Olivier> Le paiement est fait chez Atos mais absolument rien de ce genre sur la journée d'hier...
Scott> En effet ça ne va pas ralentir les entrepreneurs et au final ça bénéficiera aux e-marchands et aux consommateurs (moins de controles et gain de délais)
Mais la transition aurait pu être anticipée par les banques. Là ça donne une impression de gros n'importe quoi !
Rédigé par: Daniel | 02/10/2008 at 18:29
Le plus regrettable, c'est l'absence de communication à destination du grand public.
Rédigé par: Zippy | 03/10/2008 at 12:36
3D secure chez l'âne gourmet depuis quelques temps en betates chez l'âne gourmet depuis trois mois via ogone. Retour banquier normaln ils sont encore au certificat ssl
Rédigé par: serge | 03/10/2008 at 22:47
Merci Daniel pour votre commentaire sympathique vis à vis de mon compte rendu de ecommerce 2008 sur http://visionary.wordpress.com . Pour l'anecdote, hier 3 Octobre, je suis allé sur le site de LCL où j'ai bien trouvé un dossier complet sur 3D Secure, mais l'ironie c'est qu'aucune information ne m'est parvenue en tant que client (!). Donc si je ne suis pas client je peux être informé, mais si je le suis, non!? Je m'en suis ému et j'ai demandé l'inscription à ma banque, affaire à suivre ...
Par rapport aux 40% cités par le représentant de CDiscount, il faut ajouter cette remarque pertinente d'un de mes élèves d'ESG Paris hier, "mais pourquoi ont ils lancé ça avant les fêtes" ?! En effet, cela est frappé au coin du bon sens, il eût mieux vallu attendre le début de l'année suivante, et les marchands auraient eu plus de temps pour se préparer et d'autre part, les résistances au changement auraient été moindres. Au Royaume Uni où le système est opérationnel depuis 1 an, il marche du "feu de Dieu" ( http://security.itproportal.com/articles/2008/09/24/3d-secure-system-taking-wildfire/ ) . Mais comme le signale le M. de CDiscount, le pb de 3D Secure c'est qu'il est basé sur une sécurité SW donc faible. Une sécurité forte (HW) similaire à celle mise en oeuvre par Barclays en 2007 (Pin Sentry) serait requise. Au moins cela calmera-t-il les fraudeurs organisés (FIA-Net dans son audit 2008 indique que c'est la fraude organisée qui a pris le pas) un moment, le temps qu'ils trouvent le moyen de contourner aussi les systèmes HW.
Une course sans fin entre les gendarmes et les voleurs ...
Enfin, je me permets de citer le blog de la sécurité que nous avons monté chez Orange Business Services, où de nombreux articles d'experts sont publiés par nos meilleurs spécialistes de la sécurité des réseaux et des systèmes d'information : http://blogs.orange-business.com/securite/ et aussi http://tinyurl.com/orange0708/
Rédigé par: Yann Gourvennec | 04/10/2008 at 09:28
une personne de l'équipe paiement en ligne de la Société Générale m'a confié qu'ils travaillaient avec les autres banques à une solution d'authentification forte pour 2009
D'ou la faible communication sur 3D secure qui sera peut etre deja obsolete dans un an !
quand a la date de lancement avant les fetes, je ne serai pas surpris que ce choix soit politique...
Rédigé par: Daniel | 04/10/2008 at 13:48
Pour info, vendredi le Crédit Agricole IDF a fait un emailing a ses clients avec toute les infos sur 3D secure...juste après la description d'un produit financier qui citait entre autre "le dynamisme du CAC40"...Ce copain a donc eu les infos 3D secure de justesse car il voulait rire en lisant jusqu'au bout les infos sur le CAC40 (en dessous de 4000 points ce vendredi après avoir perdu 2000 points depuis l'été 2007 !)
Rédigé par: mathias | 04/10/2008 at 21:47
Ayant fait plusieurs ecommerce via le portail Ogone 3D Secure est proposé depuis déjà pas mal de temps il me semble ... je ne voyais pas cela comme étant une grande premiere ;)
ps: je ne suis pas français mais belge, les banques francaises seraient-elle à la traine?
Rédigé par: antouane | 05/10/2008 at 19:29
Voici un essai de récupération des données demandées par différentes banques :
http://www.ecommerce404.fr/2008/09/3d-secure-et-les-differentes-banques/
Rédigé par: Jean-Yves | 07/10/2008 at 08:23
Bonjour Daniel
Pour ma part, c'est en place depuis le 1er octobre, et tout a été fait de manière automatique par la banque populaire. et ça fonctionne.
Côté clients, j'ai juste reçu un mail d'un client (un certain Olivier M. en plus =)) qui ne pouvait pas payer puisque sa master card avait besoin du fameux code ... que sa propre banque ne lui avait pas fourni ! J'ai décidé d'intégrer une mention explicative au moment du paiement, afin que les clients ne soient pas surpris et prennent contact avec leur banque en vue de récupérer rapidement leurs codes personnels.
Si je puis me permettre enfin, nous souhaitons tous lutter contre la fraude. Chacun sait que les fraudeurs ont généralement en leur possession bien plus que les informations bancaires, et ont souvent les cartes d'identité de leurs victimes. bravo donc à tous ceux qui mentionnent avec pertinence sur des blogs publics que le code d'accès est la date de naissance pour 5 des banques françaises ! Clap Clap Clap... Vous n'auriez à mon avis pas pu faire mieux.
Bises Daniel =)
Rédigé par: Marie-Hélène Lavirotte | 08/10/2008 at 11:58
Autre question, en lisant tous les blogs qui en parlent : personnellement la banque populaire ne m'a jamais envoyé ni de lettre d'information, ni de contrat. en lisant certains posts, j'ai l'impression que c'est payant pour d'autre e-marchands. ce n'est pas normal, à mon avis vous pouvez changer de banque pour la banque pop =), ou du moins négocier avec votre banquier pour qu'il s'aligne sur cette banque.
voilà en espérant pouvoir apporter ma modeste contribution à la communauté =)
Rédigé par: Marie-Hélène Lavirotte | 08/10/2008 at 12:32
Je pense quand même que l'on "oublie" une "petite chose" dans cette histoire. la loi, c'est que depuis le 1er octobre a eu lieu le transfert de responsabilité. Que les banques mettent ceci ou cela en place pour authentifier est désormais LEUR problème.
Pour moi, si une transaction est frauduleuse, et pas garantie parce que la banque du client (ou le client) n'a pas suivi une procédure 3D secure, ça n'est plus le problème du commerçant ! Le transfert de responsabilité place la responsabilité chez le banquier du client. Point barre.
Je ne vois vraiment pas au nom de quoi un commerçant pourrait être aujourd'hui débité d'une fraude par les banques...
L'ignorance dans laquelle sont manifestement maintenus les e-commerçants par leur banque ne s'expliquerait elle pas un peu ainsi ?
Rédigé par: Olivier b | 08/10/2008 at 12:37
En effet, si les banques ont choisi un code à 2 sous, elles ne pourront s'en prendre qu'à elles mêmes
Le e-commerçant qui a migré vers 3D-secure n'est plus responsable en cas d'utilisation frauduleuse
De plus dans plusieurs cas c'est explicitement indiqué lors du paiement de rentrer la date de naissance (et non un code confidentiel) !
Rédigé par: Daniel | 08/10/2008 at 13:48
@Daniel
même s'il n'a pas migré ! (le commerçant).
il y a 2 cas de figure
1 -la banque du client est responsable si elle n'a pas mis en place de 3D secure ou si la transaction est garantie 3D secure
2 - la banque du commerçant (pas le commerçant) est responsable si le terminal du commerçant n'est pas conforme.
et oui ! depuis le 1er octobre, le responsabilité est sur les banques (sans condition). A elle de se garantir.
Rédigé par: Olivier b | 08/10/2008 at 14:18
"et oui ! depuis le 1er octobre, le responsabilité est sur les banques (sans condition). A elle de se garantir."
Vous croyez vraiment que la responsabilité est sur les banques ?
La responsabilité est toujours sur les clients des banques.
La différence est qu'avant le e-commerçant perdait ses sous à chaque fois, maintenant c'est l'internaute qui les perdra sans pouvoir remettre en cause la faiblesse du système d'authentification mis en place par sa banque. (Faut que je trouve un moyen de virer ma date de naissance des résultats de google... :-) )
Par contre, votre banque vous fait payer pour avoir 3DSecure ? Changez de banque ! 3DSecure est gratuit (et obligatoire) chez de nombreuses banques.
Rédigé par: Teuh | 18/10/2008 at 22:52
J'arrive en retard parce que je viens seulement de capter ce qu'il se passe. Et je me pose des questions ! Je ne suis pas un pro de la technique et j'ai tendance à faire confiance aux gens qui m'entourent. J'ai signé un contrat avec la Banque Pop le 30/10/07 pour utiliser leur système de paiement en ligne "Cyberplus paiement" avec 3D Secure. Jusqu'alors, j'utilisais uniquement Paypal. Je m'aperçois que depuis quelque temps un grand nombre de transactions s'arrête au moment du paiement. Est-ce que ça veut dire que je me suis fait enfumer par la banque qui m'a vendu ce système ? quand je leur ai posé la question sur l'abandon des transactions, ils m'ont répondu qu'ils n'y étaient pour rien... Si quelqu'un peu m'éclairer ! merci !
Rédigé par: Fred | 05/11/2008 at 08:56
Bonjour
Chez moi 3D secure a été installé le 15/10 sans me demander mon avis. Bilan 70% d'abandon sur le paiement,soit bien plus que les 40% dont vous parlez, ce qui est certainement lié au fait que le site est récent (ouvert en mai) et ne bénéficie par de la notoriété ou confiance des clients de sites bien connus sur la toile. Je viens de voir mon banquier et pour lui c'est normal, il faut du temps pour les internautes s'habituent, pour moi j'ai bien peur que ce soit la mort!!!
Rédigé par: Sandra | 07/11/2008 at 12:54