Publié le : 21/08/2020

Les derniers standards d’authentification : 3D secure

Cet article est basé essentiellement à partir du protocole d’authentification de Stripe qui est l’une des références dans le monde des systèmes de paiements en ligne.

C’est quoi le 3D secure ?

La norme 3D Secure qui est souvent connue sous ses noms de marque de carte bancaire tels que Visa Secure, Mastercard Identity Check ou American Express SafeKey – a pour objectif à réduire la fraude lié au paiement en ligne par carte bancaire et à fournir une sécurité accrue aux paiements en ligne. À partir de fin 2019, les banques devraient progressivement commencer à prendre en charge une nouvelle version de 3D Secure.

3D Secure 2 (3DS2) introduit «l’authentification sans friction» et améliore l’expérience d’achat par les clienst par rapport à 3D Secure 1. On s’attend à ce que ce soit la principale méthode d’authentification par carte utilisée pour répondre aux futures exigences d’authentification forte du client (SCA) en Europe et un mécanisme clé pour les entreprises à demander des exemptions à la SCA.

Au jour d’aujourd’hui, Stripe prend en charge 3D Secure 2 sur les nouvelles API de paiement, les SDK mobiles et sur la nouvelle version de Checkout.

Un peu d’histoire sur le 3D secure

Malgré des mesures de sécurité supplémentaires telles que le système de vérification d’adresse (AVS) ou la vérification CVC utilisée sur certains marchés, les paiements par carte bancaire peuvent toujours présenter un risque élevé de fraude. (En fait, c’est à cause de ce risque que les clients ont la possibilité de contester les paiements frauduleux effectués avec leur carte.)

Pour résoudre ce problème, les réseaux de cartes ont implémenté la première version de 3D Secure en 2001. Si vous achetez régulièrement des articles en ligne, vous connaissez peut-être le flux 3D Secure: vous saisissez les détails de votre carte pour confirmer un paiement, puis êtes redirigé vers un autre page où votre banque vous demande un code ou un mot de passe pour approuver l’achat. Étant donné que la page d’authentification est co-marquée par le réseau de cartes, la plupart des clients sont souvent plus familiers avec les noms de marque de 3D Secure, tels que Visa Secure, Mastercard Identity Check ou American Express SafeKey.

Pour les entreprises, l’avantage de 3D Secure est clair: demander des informations supplémentaires vous permet d’intégrer une couche supplémentaire de protection contre la fraude et de vous assurer que vous n’acceptez que les paiements par carte de clients légitimes. En guise d’incitation supplémentaire, l’authentification d’un paiement avec 3D Secure transfère la responsabilité des rejets de débit dus à une fraude de votre entreprise à la banque de votre client. Cette protection supplémentaire est la raison pour laquelle 3D Secure est souvent appliqué aux achats importants comme les billets d’avion.

Malheureusement, l’utilisation de 3D Secure 1 présente également certains inconvénients: l’étape supplémentaire requise pour effectuer le paiement ajoute une friction au flux de paiement et peut conduire les clients à abandonner l’achat. De plus, un certain nombre de banques obligent toujours leurs titulaires de carte à créer et à mémoriser leurs propres mots de passe statiques pour terminer la vérification 3D Secure. Ces mots de passe sont faciles à oublier, ce qui peut entraîner des taux d’abandon de panier plus élevés.

Les nouveautés apportés par la nouvelle version de 3D secure

EMVCo, une organisation composée des six grands réseaux de cartes bancaires, a récemment publié une nouvelle version de 3D Secure. C’est le 3D Secure 2 qui est également appelé EMV 3-D Secure, 3D Secure 2.0 ou 3DS2. Le 3D Secure 2 vise à remédier aux nombreux lacunes qui a été détécté dans le 3D Secure 1 en introduisant une authentification moins perturbatrice et une meilleure expérience utilisateur.

L’authentification sans friction

Le 3D Secure 2 permet aux différents entreprises et à leur fournisseur de paiement d’envoyer davantage d’éléments de données sur chaque transaction à la banque du titulaire de la carte. Cela inclut les données spécifiques au paiement telles que l’adresse de livraison, ainsi que les données contextuelles, telles que l’identifiant de l’appareil du client ou l’historique des transactions précédentes.

La banque du titulaire de la carte peut utiliser ces informations pour évaluer le niveau de risque de la transaction et sélectionner une réponse appropriée:

  • Si les données sont suffisantes pour que la banque sache que le véritable titulaire de la carte effectue l’achat, la transaction passe par le flux «sans friction» et l’authentification est effectuée sans aucune entrée supplémentaire de la part du titulaire de la carte.
  • Si la banque décide qu’elle a besoin d’une preuve supplémentaire, la transaction est envoyée via le flux «défi» et le client est invité à fournir des informations supplémentaires pour authentifier le paiement.

Bien qu’une forme limitée d’authentification basée sur les risques était déjà prise en charge avec 3D Secure 1, la possibilité de partager davantage de données à l’aide de 3D Secure 2 vise à augmenter le nombre de transactions pouvant être authentifiées sans autre intervention du client.

Expérience utilisateur accrue

Contrairement à 3D Secure 1, 3D Secure 2 a été conçu après l’essor des smartphones et permet aux banques d’offrir plus facilement des expériences d’authentification innovantes via leurs applications bancaires mobiles (parfois appelées «authentification hors bande»). Au lieu de saisir un mot de passe ou de simplement recevoir un message texte, le titulaire de la carte peut authentifier un paiement via l’application bancaire en utilisant simplement son empreinte digitale ou même la reconnaissance faciale. Nous attendons de nombreuses banques qu’elles prennent en charge ces expériences d’authentification plus fluides avec le 3D Secure 2.

La deuxième amélioration de l’expérience utilisateur est que le 3D Secure 2 est conçu pour intégrer le flux de défi directement dans les flux de paiement Web et mobiles, sans nécessiter de redirection de page complète. Si un client s’authentifie sur votre site ou page Web, l’invite 3D Secure apparaît maintenant par défaut dans un fenêtre modal sur la page de paiement (flux du navigateur).

Si vous créez une application en utilsiant les SDK mobiles conçus pour 3D Secure 2, vous aurez la possibilité de créer un flux d’authentification «dans l’application» et d’éviter les redirections de navigateur.

Le 3D Secure 2 et le SCA

L’application du SCA (Strong Customer Authentication) en septembre 2019 rend 3D Secure 2 d’autant plus important si vous voulez le paiement en ligne en Europe. Comme ce nouveau règlement vous obligera à appliquer plus d’authentification sur les paiements européens, l’expérience utilisateur améliorée de 3D Secure 2 peut aider à réduire l’impact négatif sur la conversion.

Le protocole 3D Secure 2 lui-même permettra également aux fournisseurs de paiement tels que Stripe de demander des exemptions à SCA et de sauter complètement l’authentification pour les paiements à faible risque. Les paiements qui nécessitent un SCA devront passer par le flux «challenge», tandis que les transactions qui peuvent être exemptées de SCA peuvent être envoyées via le flux «sans friction». Cependant, il convient de noter que si le fournisseur de paiement demande une exemption pour les paiements nécessitant un SCA et que la transaction passe par le flux «sans friction», il ne bénéficie pas du transfert de responsabilité.

Quand est-ce que les banques vont utiliser le 3D Secure 2 ?

L’adoption généralisée de 3D Secure 2 dépend des émetteurs de cartes bancaires individuels prenant en charge la nouvelle norme. Bien que les premières banques aient commencé à prendre en charge 3D Secure 2 pour leurs titulaires de carte, il est probable qu’une mise en œuvre plus large prendra du temps et variera selon les pays et les régions.

En Europe, il est prévu que de nombreuses banques passeront à 3D Secure 2 entre avril et septembre 2019, pour être prêtes à appliquer l’authentification forte du client. Il est prévu que les banques d’autres régions commenceront progressivement à prendre en charge 3D Secure 2 à la fin de 2019.

L’intégration de ces changements dans Stripe

Stripe prend en charge le flux de navigateur 3D Secure 2 sur les nouvelles API de paiement et de «Checkout». Ces derniers permettent d’appliquer de manière dynamique le 3D Secure aux paiements à haut risque pour protéger les entreprises contre les fraudes. Le 3D Secure 2 sera appliqué lorsqu’il sera pris en charge par la banque du titulaire de la carte, et recourrons au 3D Secure 1 lorsque la nouvelle version n’est pas encore prise en charge.

Lors de la création d’une application mobile, les SDK iOS et Android mis à jour permettent de créer un flux d’authentification intégré à l’application pour offrir une expérience d’authentification «native» et éviter de rediriger les clients en dehors de l’application. Même si la banque du titulaire de la carte ne prend pas encore en charge 3D Secure 2, les SDK mobiles reviendront dynamiquement à l’affichage de 3D Secure 1 dans une vue Web intégrée à l’application.

Les mots clés rattachés à cet article : 3D Secure  -  Paiement en ligne  -  Sécurité  -  Stripe

Nos clients

Une vingtaine de clients nationaux et internationaux