Académique Documents
Professionnel Documents
Culture Documents
Sommaire
4
Introduction
Définition
Statistique
Avantages et inconvénients
Principe de fonctionnement
La norme 3Dsecure est un outil de lutte contre les impayés
Fonctionnement de 3d Secure
3D Secure et le cryptogramme visuel :
La norme 3Dsecure est un outil de lutte contre les impayés
Conclusion
Introduction :
Définition :
3D Secure est un protocole de paiement sécurisé sur Internet développé par Visa pour
augmenter le niveau de sécurité des e-transactions, puis adopté par Mastercard.
4
Le principe de base consiste à demander au cyberacheteur, en plus de son numéro de carte
bancaire, une information indépendante de ladite carte. Sa date de naissance, par exemple, ou
un autre élément personnel.
Les sites acceptant ce type d'authentification peuvent alors apposer sur leurs pages les logos
« Verified by Visa » ou « MasterCard SecureCode »
La mise en œuvre de ce protocole va de paire avec l’activation à compter du 1er octobre 2008
de ce qu’on appelle le « Liability Shift », autrement dit le transfert de responsabilité du
marchand vers la banque du commerçant en cas d’utilisation frauduleuse de la carte bancaire
d'un client.
3D-Secure, comme son nom l'indique (Three Domain Secure), implique trois domaines
distincts:
Statistique :
Déployée par Visa et Mastercard sous les noms Verified by Visa et Secure Code, elle
concerne aujourd’hui plus de 55 000 cybermarchands dans le monde dont 28 200 pour la zone
Visa Europe. En France, la solution est utilisée par plusieurs centaines de commerçants et sera
progressivement déployée au cours des années avenirs.
Avantage et inconvénient :
Avantage : Inconvénient :
4
Client : • Le principal avantage de • Dans la pratique, les systèmes
l’implémentation de 3D Secure est d'authentification faibles mettent
que ce mécanisme offre ainsi un l'internaute dans une mauvaise
certain rééquilibrage des situation en cas de fraude.
responsabilités entre l’acheteur et le
vendeur
Principe de fonctionnement :
4
Fonctionnement de 3d Secure :
Dans la pratique, vous effectuerez vos achats sur internet comme d'habitude.
Vous entrerez toujours votre numéro de carte, date d’expiration et cryptogramme, mais après
avoir entré ces informations, vous serez redirigé vers le site de votre banque qui vous
demandera ces informations supplémentaires.
Une fois les informations fournies, vous reviendrez sur le site du commerçant qui vous
confirmera le paiement.
4
Dans ce scénario, le serveur de votre banque va confirmer au commerçant que vous êtes bien
le propriétaire de la carte.
Pour qu'un paiement soit en mode 3D-Secure, il faut que votre carte soit 3D-Secure et que le
commerçant supporte 3D-Secure.
• La quasi-totalité des cartes bancaires nouvellement fabriquées sont désormais 3D-
Secure.
• Pour les anciennes, selon les banques, le basculement 3D-Secure sera
automatique, ou on vous demandera de signer un avenant à votre contrat. Dans
tous les cas, cela ne nécessite aucun changement de carte ni de modification de
votre carte existante.
• Le passage à 3D-Secure ne doit normalement rien vous coûter.
Authentification :
Après inscription, le titulaire de la carte est prêt à acheter de n'importe quel site
marchand participant où le commerçant a intégré le 3D-Secure Merchant Plug-Server in.
• Un exemple de procédure d'authentification est le suivant:
1. Le titulaire de carte sélectionne des biens ou services et procède à la page de retrait du
commerçant.
4
2. Le serveur Merchant plug-in interroge l'annuaire de visa pour déterminer si
l'authentification ou la preuve de la tentative d'authentification est disponible pour le
numéro de carte ou non. Si le numéro de carte se trouve dans une gamme de cartes
participantes, le répertoire de visa interroge le serveur de contrôle émetteur Access
appropriés pour valider la participation du titulaire de carte ou la disponibilité de la
preuve de tentative d'authentification et envoie la réponse vers le plug-in de Server
Merchant
3. Le plug-in de Server Merchant envoie une demande d'authentification avec le serveur
de contrôle d'accès via le navigateur du titulaire de carte.
4. Le serveur de contrôle d'accès interroge le détenteur de la carte pour un mot de passe.
Ce dernier saisit le mot de passe, et le serveur de contrôle d'accès le vérifie.
5. Le serveur de contrôle d'accès renvoie la réponse d'authentification pour le plug-in de
Server Merchant via le navigateur de titulaire de carte et transmet un enregistrement
de l'authentification au serveur d'authentification historique.
6. Le serveur Merchant plug-in valide la réponse.
Le service 3D-Secure est associé systématiquement et gratuitement à toutes les cartes LCL
effectuant des paiements sur Internet.
Afin d’apporter toute la souplesse que vous souhaitez, LCL vous propose de
définir le code personnel de votre choix, aisément mémorisable, qui vous sera
demandé à chaque paiement. Votre enregistrement au service se déclenche
systématiquement lors du premier paiement que vous effectuez sur un site d’un
commerçant 3 D Secure.
A l'issue du renseignement du formulaire de paiement du site marchand, une
fenêtre LCL s'affiche sur votre écran et il vous est demandé de :
1. Saisir le cryptogramme visuel de votre carte (3 chiffres figurant au dos de la carte)
dans la zone" code de sécurité.
4
2. Définir votre code personnel (un mélange de chiffres et de lettres de 6 à 10 caractères).
3. Confirmer votre code personnel.
4. Sélectionner une des questions secrètes qui vous sont proposées.
5. Saisir votre réponse à la question secrète.
6. Valider votre enregistrement
4
Secure Code» . Ces logos indiquent que le site utilise le service de sécurisation des paiements
3D-Secure.
A l'issue du renseignement du formulaire de paiement du site du commerçant, une fenêtre
LCL s'affiche et vous demande le saisit de votre code personnel puis de le confirmer. Le
serveur d'authentification LCL contrôle alors sa validité.
En cas de saisie erronée du code personnel, le paiement ne peut avoir lieu sur
le site du commerçant 3 D Secure.
Le cryptogramme visuel, ce sont les 3 nombres au dos de votre carte qu'on vous demande
généralement de saisir lors d'un achat sur internet.
Or ces informations peuvent être lues visuellement sur la carte et recopiées, permettant ainsi
le paiement sans présence de la carte, et donc la fraude.
Avec 3DSecure, des informations complémentaires vous seront demandées pour valider le
paiement.
Quelqu'un qui recopierait les informations de votre carte ou même qui vous la volerait ne
pourrait pas effectuer des achats chez les marchands utilisant 3DSecure, car il ne connaît pas
ces informations complémentaires.
Lors de tout achat internet normal (non-3DSecure), à aucun moment votre identité n'est
prouvée (code PIN ou signature). Cela veut dire qu'il suffit de contester un paiement pour que
votre banque vous rembourse.
La responsabilité est du côté de la banque du commerçant, auprès de laquelle votre banque
réclamera la somme.
Lors d'un achat en mode 3DSecure, si l'authentification est un succès, il y a un transfert de
responsabilités vers votre banque. (Puisqu'elle a affirmé que c'était bien vous qui étiez en train
de payer, elle ne peut plus contester et doit transférer l'argent à la banque du commerçant.)
Et bien entendu, votre banque transfèrera cette responsabilité vers vous : Vous ne pourrez plus
contester un paiement 3DSecure et vous faire rembourser.
C'est pour cela qu'il est important que votre banque adopte une méthode d'authentification
solide.
Notez que si l'authentification est un échec et que la banque du commerçant réclame le
recouvrement de la somme, votre banque est censée refuser. Si elle l'accepte malgré tout, vous
4
pourrez contester ce débit et vous faire rembourser (puisque rien n'aura prouvé que c'est vous
qui avez effectué le paiement).
Conclusion
3D Secure repose sur la mise en place d'un contrôle supplémentaire lors d’un achat en ligne.
Son but est simple : garantir au marchand que la banque émettrice de la carte estime qu'elle
est utilisée par son titulaire légitime lors de l'achat. La banque émettrice authentifie les
titulaires de carte grâce à leur mot de passe vérifié par l'émetteur. Si ultérieurement, le
titulaire de la carte refuse la transaction, il s'agira d'une question à résoudre entre la banque
émettrice et le titulaire de la carte sans impliquer le marchand.
3D Secure est un système qui ne garantie pas la sécurité des transactions mais un moyen pour
réduire les risques de fraude et bien qu’il ne soit pas assez répondu, cela n’est du qu’a son
coût d’implantation et au manque de confiance des usagers dans le E-Commerce, surtout pour
le cas des pays arabes tel que la Tunisie bien qu’elle ne manque pas d’intellect.