Overblog Suivre ce blog
Editer l'article Administration Créer mon blog
Daniel Broche
Manipulating search engines for profit become a serious problem (Brin & Page 2000)

3D secure: La bonne blague

Daniel Broche #paiements & confiance

Hier a eut lieu un changement de fond pour tous les e-marchands de France. Le 1er octobre, 3D secure est passé opérationnel dans toutes les banques du pays pour les paiements sur le net.
Grâce à 3D secure, le risque d'impayé est désormais assumé par la banque émettrice de la CB et non par le e-marchand !
Voilà un grand pas pour la confiance dans l'e-commerce qui va éviter aux marchands d'aller quémander des pièces d'identité ou des factures de téléphone à leur clients.

Sauf que cette affaire de 3D secure ça fait 5 ans qu'on en parle et nos camarades banquiers ont bien l'air décidé à jouer encore les prolongations.
En ce qui me concerne je n'ai aucun retour de ma banque à ce sujet: ni comme e-marchand, ni comme consommateur porteur de CB ! D'autres ont eut la chance d'avoir un avenant sans précision sur les tarifs...

A lendemain de la grande bascule je n'ai vu aucun article dans la presse, ni aucun commentaire d'autre e-marchand. Pourtant ce ne sont pas les occasions qui manquent pour les journalistes de rencontrer des banquiers en ce moment...

Je propose donc de lancer un avis de recherche du premier utilisateur de 3D secure en France s'il existe !

EDIT: En lisant d'autres informations sur le sujet je suis tombé sur cet excellent compte rendu d'atelier du salon ecommerce. Il mentionne le chiffre édiffiant de 40% de hausse des abandons au moment du paiement lors de l'introduction du dispositif en Angleterre ! On a pas fini de payer le prix de la lutte contre la fraude...

Daniel 21/12/2012 16:32

C'est à y perdre son latin: on utilise aussi SIPS d'ATOS et rien de tel dans nos log !
Pas de réponse de notre banquier pour le moment, ni de plaintes client au téléphone. Tous les utilisateurs ne doivent pas disposer de la même interface...

Olivier b 21/12/2012 16:32

@Daniel
Moi je vois ça sur le détail des transactions sur l'administration de suivi SIPS mise à dispo par notre banque.
Le paiement se fait chez toi ou sur un serveur bancaire ?

Scott 21/12/2012 16:32

Du coté de la banque populaire (SIPS), ils ont beaucoup de problèmes pour basculer les boutiques sur 3d secure.
Ils doivent faire une demande de basculement à Visa (je le tiens du technicien que j'ai déjà eu 3 fois entre hier et aujourd'hui)
Pour ce qui concerne le taux d'abandon en Angleterre, ça n'a pas empêché l'ouverture de 150 000 boutiques ecommerce...

Daniel 21/12/2012 16:32

Olivier> Le paiement est fait chez Atos mais absolument rien de ce genre sur la journée d'hier...
Scott> En effet ça ne va pas ralentir les entrepreneurs et au final ça bénéficiera aux e-marchands et aux consommateurs (moins de controles et gain de délais)
Mais la transition aurait pu être anticipée par les banques. Là ça donne une impression de gros n'importe quoi !

Zippy 21/12/2012 16:32

Le plus regrettable, c'est l'absence de communication à destination du grand public.

serge 21/12/2012 16:32

3D secure chez l'âne gourmet depuis quelques temps en betates chez l'âne gourmet depuis trois mois via ogone. Retour banquier normaln ils sont encore au certificat ssl

Yann Gourvennec 21/12/2012 16:32

Merci Daniel pour votre commentaire sympathique vis à vis de mon compte rendu de ecommerce 2008 sur http://visionary.wordpress.com . Pour l'anecdote, hier 3 Octobre, je suis allé sur le site de LCL où j'ai bien trouvé un dossier complet sur 3D Secure, mais l'ironie c'est qu'aucune information ne m'est parvenue en tant que client (!). Donc si je ne suis pas client je peux être informé, mais si je le suis, non!? Je m'en suis ému et j'ai demandé l'inscription à ma banque, affaire à suivre ...
Par rapport aux 40% cités par le représentant de CDiscount, il faut ajouter cette remarque pertinente d'un de mes élèves d'ESG Paris hier, "mais pourquoi ont ils lancé ça avant les fêtes" ?! En effet, cela est frappé au coin du bon sens, il eût mieux vallu attendre le début de l'année suivante, et les marchands auraient eu plus de temps pour se préparer et d'autre part, les résistances au changement auraient été moindres. Au Royaume Uni où le système est opérationnel depuis 1 an, il marche du "feu de Dieu" ( http://security.itproportal.com/articles/2008/09/24/3d-secure-system-taking-wildfire/ ) . Mais comme le signale le M. de CDiscount, le pb de 3D Secure c'est qu'il est basé sur une sécurité SW donc faible. Une sécurité forte (HW) similaire à celle mise en oeuvre par Barclays en 2007 (Pin Sentry) serait requise. Au moins cela calmera-t-il les fraudeurs organisés (FIA-Net dans son audit 2008 indique que c'est la fraude organisée qui a pris le pas) un moment, le temps qu'ils trouvent le moyen de contourner aussi les systèmes HW.
Une course sans fin entre les gendarmes et les voleurs ...
Enfin, je me permets de citer le blog de la sécurité que nous avons monté chez Orange Business Services, où de nombreux articles d'experts sont publiés par nos meilleurs spécialistes de la sécurité des réseaux et des systèmes d'information : http://blogs.orange-business.com/securite/ et aussi http://tinyurl.com/orange0708/

Daniel 21/12/2012 16:32

une personne de l'équipe paiement en ligne de la Société Générale m'a confié qu'ils travaillaient avec les autres banques à une solution d'authentification forte pour 2009
D'ou la faible communication sur 3D secure qui sera peut etre deja obsolete dans un an !
quand a la date de lancement avant les fetes, je ne serai pas surpris que ce choix soit politique...

mathias 21/12/2012 16:32

Pour info, vendredi le Crédit Agricole IDF a fait un emailing a ses clients avec toute les infos sur 3D secure...juste après la description d'un produit financier qui citait entre autre "le dynamisme du CAC40"...Ce copain a donc eu les infos 3D secure de justesse car il voulait rire en lisant jusqu'au bout les infos sur le CAC40 (en dessous de 4000 points ce vendredi après avoir perdu 2000 points depuis l'été 2007 !)

antouane 21/12/2012 16:32

Ayant fait plusieurs ecommerce via le portail Ogone 3D Secure est proposé depuis déjà pas mal de temps il me semble ... je ne voyais pas cela comme étant une grande premiere ;)
ps: je ne suis pas français mais belge, les banques francaises seraient-elle à la traine?

Jean-Yves 21/12/2012 16:32

Voici un essai de récupération des données demandées par différentes banques :
http://www.ecommerce404.fr/2008/09/3d-secure-et-les-differentes-banques/

Marie-Hélène Lavirotte 21/12/2012 16:32

Bonjour Daniel
Pour ma part, c'est en place depuis le 1er octobre, et tout a été fait de manière automatique par la banque populaire. et ça fonctionne.
Côté clients, j'ai juste reçu un mail d'un client (un certain Olivier M. en plus =)) qui ne pouvait pas payer puisque sa master card avait besoin du fameux code ... que sa propre banque ne lui avait pas fourni ! J'ai décidé d'intégrer une mention explicative au moment du paiement, afin que les clients ne soient pas surpris et prennent contact avec leur banque en vue de récupérer rapidement leurs codes personnels.
Si je puis me permettre enfin, nous souhaitons tous lutter contre la fraude. Chacun sait que les fraudeurs ont généralement en leur possession bien plus que les informations bancaires, et ont souvent les cartes d'identité de leurs victimes. bravo donc à tous ceux qui mentionnent avec pertinence sur des blogs publics que le code d'accès est la date de naissance pour 5 des banques françaises ! Clap Clap Clap... Vous n'auriez à mon avis pas pu faire mieux.
Bises Daniel =)

Marie-Hélène Lavirotte 21/12/2012 16:32

Autre question, en lisant tous les blogs qui en parlent : personnellement la banque populaire ne m'a jamais envoyé ni de lettre d'information, ni de contrat. en lisant certains posts, j'ai l'impression que c'est payant pour d'autre e-marchands. ce n'est pas normal, à mon avis vous pouvez changer de banque pour la banque pop =), ou du moins négocier avec votre banquier pour qu'il s'aligne sur cette banque.
voilà en espérant pouvoir apporter ma modeste contribution à la communauté =)

Olivier b 21/12/2012 16:32

Je pense quand même que l'on "oublie" une "petite chose" dans cette histoire. la loi, c'est que depuis le 1er octobre a eu lieu le transfert de responsabilité. Que les banques mettent ceci ou cela en place pour authentifier est désormais LEUR problème.
Pour moi, si une transaction est frauduleuse, et pas garantie parce que la banque du client (ou le client) n'a pas suivi une procédure 3D secure, ça n'est plus le problème du commerçant ! Le transfert de responsabilité place la responsabilité chez le banquier du client. Point barre.
Je ne vois vraiment pas au nom de quoi un commerçant pourrait être aujourd'hui débité d'une fraude par les banques...
L'ignorance dans laquelle sont manifestement maintenus les e-commerçants par leur banque ne s'expliquerait elle pas un peu ainsi ?

Daniel 21/12/2012 16:32

En effet, si les banques ont choisi un code à 2 sous, elles ne pourront s'en prendre qu'à elles mêmes
Le e-commerçant qui a migré vers 3D-secure n'est plus responsable en cas d'utilisation frauduleuse
De plus dans plusieurs cas c'est explicitement indiqué lors du paiement de rentrer la date de naissance (et non un code confidentiel) !

Olivier b 21/12/2012 16:32

@Daniel
même s'il n'a pas migré ! (le commerçant).
il y a 2 cas de figure
1 -la banque du client est responsable si elle n'a pas mis en place de 3D secure ou si la transaction est garantie 3D secure
2 - la banque du commerçant (pas le commerçant) est responsable si le terminal du commerçant n'est pas conforme.
et oui ! depuis le 1er octobre, le responsabilité est sur les banques (sans condition). A elle de se garantir.

Teuh 21/12/2012 16:32

"et oui ! depuis le 1er octobre, le responsabilité est sur les banques (sans condition). A elle de se garantir."
Vous croyez vraiment que la responsabilité est sur les banques ?
La responsabilité est toujours sur les clients des banques.
La différence est qu'avant le e-commerçant perdait ses sous à chaque fois, maintenant c'est l'internaute qui les perdra sans pouvoir remettre en cause la faiblesse du système d'authentification mis en place par sa banque. (Faut que je trouve un moyen de virer ma date de naissance des résultats de google... :-) )
Par contre, votre banque vous fait payer pour avoir 3DSecure ? Changez de banque ! 3DSecure est gratuit (et obligatoire) chez de nombreuses banques.

Fred 21/12/2012 16:32

J'arrive en retard parce que je viens seulement de capter ce qu'il se passe. Et je me pose des questions ! Je ne suis pas un pro de la technique et j'ai tendance à faire confiance aux gens qui m'entourent. J'ai signé un contrat avec la Banque Pop le 30/10/07 pour utiliser leur système de paiement en ligne "Cyberplus paiement" avec 3D Secure. Jusqu'alors, j'utilisais uniquement Paypal. Je m'aperçois que depuis quelque temps un grand nombre de transactions s'arrête au moment du paiement. Est-ce que ça veut dire que je me suis fait enfumer par la banque qui m'a vendu ce système ? quand je leur ai posé la question sur l'abandon des transactions, ils m'ont répondu qu'ils n'y étaient pour rien... Si quelqu'un peu m'éclairer ! merci !

Sandra 21/12/2012 16:32

Bonjour
Chez moi 3D secure a été installé le 15/10 sans me demander mon avis. Bilan 70% d'abandon sur le paiement,soit bien plus que les 40% dont vous parlez, ce qui est certainement lié au fait que le site est récent (ouvert en mai) et ne bénéficie par de la notoriété ou confiance des clients de sites bien connus sur la toile. Je viens de voir mon banquier et pour lui c'est normal, il faut du temps pour les internautes s'habituent, pour moi j'ai bien peur que ce soit la mort!!!

Eric 21/12/2012 16:32

Bonjour,
Je confirme vos impressions, j'ai signé au CIC un TPEV 3dsecure mis en place le 29/10 et a ce jour le 13/11 = ZERO TRANSACTION VALIDE
Pareil mon banquier me dit que c'est les clients qui abandonnent ce n'est pas un disfonctionnement..
Je lui demande comment se comporte les autres sites e-commerce? et il me repond "chute importante des transactions chez tout le monde"
Maintenant de ce que j'ai compris les gros sites (Cdiscount etc..) ne passe plus par le tpev 3dsecure il le contourne en enregistrant la CB client d'abord chez eux et en la passant direct a la banque ensuite comme un TPE normal commercant donc contourne le 3dsecure, voir il controle eux meme leur client (demande de justif en direct), pour eux qui ont des volumes enormes les pertes s'amortissent mieux.
Perso je sais plus quoi faire je ne cesse de faire de la pedagogie sur mon site sur les pages du panier et au passage sur le ssl mais rien n'y fait..'(
Comment se fait il que quelques choses d'aussi important passe a la trappe que se soit sur internet ou dans les medias .. et les banquiers aussi qui n'ont pas communiquer..

Yann Gourvennec 21/12/2012 16:32

bonjour Daniel, nous voici à quelques mois de l'adoption généralisée de 3D Secure et les infos n'abondent toujours pas, c'est le moins qu'on puisse dire. J'ai pu relayer le mail d'AXA http://visionary.wordpress.com/2008/10/21/axa-banque/ et on a vu qques autres banques aussi plus ou moins informer leurs clients - ou leurs non clients comme LCL http://particuliers.lcl.fr/quotidien/cartes/3d-secure/ . Par contre ce que nous n'avons pas Daniel c'est un bilan côté commerçants. Chez Discounteo avez vous fait ce bilan des abandons et est-ce que nous nous rapprochons des 40% au Royaume Uni ?
Bien à vous
Yann

Alexandre 21/12/2012 16:32

Bonjour tout le monde.
Je suis sur le point d'assigner ma banque en raison du préjudice que nous avons subi depuis la mise en place de 3DS par notre banque il y a bientôt un an. Nous avons petit à petit constaté la perte de transactions vraisemblablement due à plusieurs choses:
1- nos clients sont surpris par cette nouvelle procédure donc personne ne les a informer. Ils sont septiques et abandonnent la transaction, ou ne connaissent tout simplement pas le code.
2- Nous nous adressons exclusivement à des dentistes. Le plus souvent, à l'étranger, ce n'est pas le titulaire de la carte qui effectue les commandes, mais un acheteur de la clinique dentaire. Cette personne, bien entendu, a encore moins de chance de connaître l'âge du capitaine ou le prénom de sa grand-mère.
3- Sur de nombreux sites nord-américains, il arrive bien souvent qu'on ne demande rien de plus que le numéro de la carte et sa date d'expiration. On ne demande même pas les 3 chiffres au dos. Une rumeur court même qu'il ne faut jamais donner ses 3 chiffres à qui que ce soit. Je me suis même fait dire cela par une employée de banque au guichet d'une banque canadienne. C'est vous dire si le visiteur sera enclin à vous confier d'autres informations sur lui !!!
4-Enfin, certains visiteurs m'ont indiqué avoir abandonné la transaction parce que la nouvelle page (celle dans laquelle on leur demande l'âge du capitaine) n'était pas dans leur langue alors que la page initiale de paiement était dans leur langue. Allez comprendre comment on traduit "quel est l'âge du capitaine" en français lorsque vous êtes japonais !!!
Nous avons perdu plusieurs milliers d'Euros à ce jour, et notre décision est désormais irrévocable. Nous assignons notre banque. Nous l'assignons notamment parce qu'elle n'a jamais répondu à nos différentes demandes de lever l'option 3DS, parce qu'elle ne nous a jamais informés de ce qu'elle le mettait en place et qu'il pouvait y avoir des conséquences. Songez tout de même que malgré appels téléphoniques, emails adressés au gestionnaire du compte courant, chef d'agence, direction régionale, service monétique, courriers recommandés, courrier adressé par notre service de protection juridique, jamais nous n'avons reçu une seule réponse écrite de notre banque !!! PAS UNE EXPLICATION.
Je sollicite l'entraide des propriétaires de boutique Internet pour essayer d'obtenir de l'information sur cette problématique et faire avancer les choses. J'ai besoin de témoignages et suis prêt à en fournir pour aider d'autres démarches similaires à la mienne. Peut-être la création d'un collectif pourrait-elle ajouter du poids à notre démarche.
Vous vous sentez concernés par ma démarche? contactez-moi (Alexandre MULLER) au 04 42 26 80 64 (siège de l'entreprise WAM) ou adressez moi un mail à 3ds@wamkey.com. Je suis souvent en déplacement à l'étranger et difficilement joignable par téléphone.
Merci pour votre attention et votre collaboration.
AM

Daniel Broche 21/12/2012 16:32

3D secure (suite)

Voici pèle-mèle quelques informations glanées ce matin: 3D secure est bien opérationnel et activable sans frais additionnel (pour les ecommerçants de la Société Générale) mais il est vivement déconseillé de faire la bascule avant les fêtes car aucune b...

GoldFish 21/12/2012 16:32

Bonjour Daniel, pour apporter de l'eau au moulin, voici le courrier que nous avons reçu de notre banque. A noter que nous avions souscrit dès le début à cet "assurance" et que nous n'avons pas encore d'infos sur le tarifs des transactions, puisqu'une 3D était facturé plus cher...
Madame, Monsieur,
La Caisse d' Epargne est heureuse de vous informer qu’à partir du 1er octobre 2008, l’ensemble des banques françaises adoptent, pour le paiement en ligne, la norme 3 D Secure.
Cela signifie que tous vos clients titulaires d’une carte bancaire française, quel que soit leur banquier, devront s’authentifier après avoir, comme d’habitude, donné leur N° de carte, la date d’échéance et les 3 chiffres au verso de la carte. Cette authentification pourra s’effectuer par différentes méthodes :
- la saisie de la date de naissance (méthode adoptée par la Caisse d'Epargne et par 5 autres banques)
- la réponse à des questions confidentielles…
Pour ne pas bloquer un paiement et ne pas risquer de vous faire perdre une transaction, sachez que la quasi-totalité des banquiers tolérera que les 3 premiers paiements après le 1er octobre soient effectués, même sans saisie de cette authentification.
Techniquement, vous n’aurez aucune modification à effectuer, en effet, SP PLUS intègre cette norme depuis plusieurs années.
De même, si vous utilisez notre service en tant que TPE virtuel ou pour faire des paiements sans interface, aucun changement puisque ce type de transaction continuera à se dérouler sans authentification.
L’avantage de cette nouvelle pratique est, qu’à partir du 1/10/08, tous les paiements pour lesquels le banquier aura authentifié son client et aura donné son accord de paiement bénéficieront d’une garantie. Ainsi, vous ne risquerez plus, sur ces paiements authentifiés, d’avoir un impayé dans les semaines et les mois qui suivent.

Nico 21/12/2012 16:32

je developpe des sites e-commerce et un de mes client m'a appelé en catastrophe ce matin car il a reçu plusieurs coup de fils hier de ses propres clients qui n'osaient plus payer car lorsqu'il arrivaient sur la page de paiement (module atos) car dès qu'ils validaient, une page leur reclamait leur "mot de passe" (3dsecure) et ils croyaient à du phishing alors interrompaient immédiatement leur achat et appelaient le commerçant en lui disant que son site n'était pas sûr !!
C'est certain, un peu de communication grand public aurait été la bienvenue pour l'internaute lambda...

Daniel 21/12/2012 16:32

Goldfish> Courrier interessant qui semble montrer que la caisse d'épargne est plus proactive que ma banque (Société Générale)
Nico> Ainsi donc tu as donc vu des utilisateurs de 3D secure !
J'ai encore refait un test a l'instant. Chez nous rien de changé, aucun champ d'authentification et aucun feedback du banquier
Je sens que ça va être un beau bordel. Les banques doivent trouver qu'il n'y a pas assez de pagaille comme ça...

GoldFish 21/12/2012 16:32

Oui la Caisse d'épargne semble être pionnière en la matière. J'ai des clients 3D secure depuis le début, 10% des transactions environ en augmentation depuis début 2008.
Mais c'est vrai, également a mais grande surprise, personne n'en parle côté consommateurs. Peut être ont ils peur d'effrayer les acheteurs, en semblant compliquer la phase de paiement...

Olivier b 21/12/2012 16:32

J'ai gagné ? paske moi j'en ai des utilisateurs 3D secure ;-) le
Je confirme qu'après examen détaillée de toutes les transactions cartes françaises sur SPPLUS en date d'hier et d'aujourd'hui nous en avons un certain nombre (environ 1/5) qui sont indiquées garanties 3D secure pour les cartes françaises.
En revanche, il faut aller voir ça sur l'interface commerçant pour savoir si telle ou telle transaction est garantie ou pas.
Par ailleurs il est clair que nous perdons quelques transactions en route certaines banque demandant une authentification aux porteurs de la cartes de manière un peu sauvage et sans avoir communiqué auparavant... ce qui inquiète alors que ça devrait rassurer...

Olivier b 21/12/2012 16:32

Pardon, mais pour compléter mon commentaire précédent, je viens de vérifier sur notre interface Atos (notre 2e plateforme de paiement) et il y a aussi un certain nombre de paiement 3D secure succes pour les cartes FR.
Informations complémentaires CARD_COUNTRY=FRA
Conditions de la transaction 3D_SUCCESS

Facebook Twitter RSS Contact