LA NORME 3D SECURE

Sommaire

4
Introduction
Définition
Statistique
Avantages et inconvénients
Principe de fonctionnement
La norme 3Dsecure est un outil de lutte contre les impayés
Fonctionnement de 3d Secure
3D Secure et le cryptogramme visuel :
La norme 3Dsecure est un outil de lutte contre les impayés
Conclusion

Introduction :

Le commerce électronique sur Internet se développe énormément et la sécurité des paiements

doit se renforcer afin d’empêcher d’éventuelles fraudes et augmenter la confiance dans le
paiement par carte.
Pour aborder le risque supplémentaire, plusieurs banques, notamment françaises, se sont
mises d’accord pour adopter une nouvelle règlementation sur les paiements par carte bancaire
sur internet. Cette règlementation s’appuie sur le protocole 3D Secure mis au point par les
deux réseaux internationaux de cartes, Visa et MasterCard.
Avec cette règlementation, la banque du client authentifie le porteur lorsqu’il paie sur un site
Internet marchand.

Définition :

3D Secure est un protocole de paiement sécurisé sur Internet développé par Visa pour
augmenter le niveau de sécurité des e-transactions, puis adopté par Mastercard.

4
Le principe de base consiste à demander au cyberacheteur, en plus de son numéro de carte
bancaire, une information indépendante de ladite carte. Sa date de naissance, par exemple, ou
un autre élément personnel.
Les sites acceptant ce type d'authentification peuvent alors apposer sur leurs pages les logos
« Verified by Visa » ou « MasterCard SecureCode »
La mise en œuvre de ce protocole va de paire avec l’activation à compter du 1er octobre 2008
de ce qu’on appelle le « Liability Shift », autrement dit le transfert de responsabilité du
marchand vers la banque du commerçant en cas d’utilisation frauduleuse de la carte bancaire
d'un client.
3D-Secure, comme son nom l'indique (Three Domain Secure), implique trois domaines
distincts:

Statistique :

En 2007, les transactions en ligne représentent 5% du nombre total de transactions

« scripturales » mais contribuent à hauteur de 32% de la fraude totale à la carte bancaire.
Avec un montant de fraude de 33M€ pour la France en 2007 et un accroissement annuel des
e-transactions supérieur à 40% par an, il est temps de réagir.
Alors que les organismes spécialisés (CNIL en France, APACS au Royaume Uni, FFIEC aux
États-Unis) encouragent l'utilisation de l'authentification forte pour sécuriser les transactions,
VISA et Mastercard ont développé le protocole 3-D Secure entre les banques et les marchands
pour lutter contre la fraude sur les achats en ligne.

Déployée par Visa et Mastercard sous les noms Verified by Visa et Secure Code, elle
concerne aujourd’hui plus de 55 000 cybermarchands dans le monde dont 28 200 pour la zone
Visa Europe. En France, la solution est utilisée par plusieurs centaines de commerçants et sera
progressivement déployée au cours des années avenirs.

Avantage et inconvénient :

Avantage : Inconvénient :

4
 Client : • Le principal avantage de
l’implémentation de 3D Secure est
que ce mécanisme offre ainsi un
certain rééquilibrage des
responsabilités entre l’acheteur et le
vendeur
• Dans la pratique, les systèmes
d'authentification faibles mettent
l'internaute dans une mauvaise
situation en cas de fraude.

• Vous êtes la seule personne à détenir • il vous faut mémoriser ce code

le code d'autorisation pour effectuer supplémentaire ou l'annotez dans un
le paiement endroit discret.

• En cas de vol de données, vos

informations bancaires sont
inutilisables sans ce code sur les sites
sécurisés 3D-SECURE.

Marchand: • Pour plusieurs cybermarchands de • L’implantation d’un tel système est

petite et moyenne tailles, un tel très couteuse surtout pour les
mécanisme d’authentification de cybermarchands de petite et
l’acheteur leur permettrait de moyenne tailles.
développer de manière acceptable
financièrement leur activité
commerciale sur le réseau mondial.

Principe de fonctionnement :

4
Fonctionnement de 3d Secure :

Dans la pratique, vous effectuerez vos achats sur internet comme d'habitude.
Vous entrerez toujours votre numéro de carte, date d’expiration et cryptogramme, mais après
avoir entré ces informations, vous serez redirigé vers le site de votre banque qui vous
demandera ces informations supplémentaires.
Une fois les informations fournies, vous reviendrez sur le site du commerçant qui vous
confirmera le paiement.

4
Dans ce scénario, le serveur de votre banque va confirmer au commerçant que vous êtes bien
le propriétaire de la carte.

Pour qu'un paiement soit en mode 3D-Secure, il faut que votre carte soit 3D-Secure et que le
commerçant supporte 3D-Secure.
• La quasi-totalité des cartes bancaires nouvellement fabriquées sont désormais 3D-
Secure.
• Pour les anciennes, selon les banques, le basculement 3D-Secure sera
automatique, ou on vous demandera de signer un avenant à votre contrat. Dans
tous les cas, cela ne nécessite aucun changement de carte ni de modification de
votre carte existante.
• Le passage à 3D-Secure ne doit normalement rien vous coûter.

3D-Secure est composé de deux fonctions principales : l'inscription et l'authentification »

 Inscription :
L'inscription est le processus par lequel les titulaires de carte sont initialisés pour utiliser le
service.
• Un exemple de procédure d'inscription est le suivant:
1. Le titulaire de la carte va à la page d'inscription de l'émetteurs et offre son numéro de
carte, sa date d'expiration de sa carte, et autres informations d'identification spécifiées
par l'émetteur, et tout est partagé secret, tel qu'un mot de passe ou un message
personnel comme une assurance.
2. L’Émetteur valide les informations fournies par le titulaire de la carte et informe ce
dernier de la réussite du processus d'inscription.
3. Le serveur d'inscription fournit une mise à jour avec le serveur de contrôle d'accès, y
compris le numéro de carte nouvellement inscrits et d'autres données requises pour
l'authentification des achats ultérieurs, comme le mot de passe.

 Authentification :
Après inscription, le titulaire de la carte est prêt à acheter de n'importe quel site
marchand participant où le commerçant a intégré le 3D-Secure Merchant Plug-Server in.
• Un exemple de procédure d'authentification est le suivant:
1. Le titulaire de carte sélectionne des biens ou services et procède à la page de retrait du
commerçant.

4
 2. Le serveur Merchant plug-in interroge l'annuaire de visa pour déterminer si
l'authentification ou la preuve de la tentative d'authentification est disponible pour le
numéro de carte ou non. Si le numéro de carte se trouve dans une gamme de cartes
participantes, le répertoire de visa interroge le serveur de contrôle émetteur Access
appropriés pour valider la participation du titulaire de carte ou la disponibilité de la
preuve de tentative d'authentification et envoie la réponse vers le plug-in de Server
Merchant
3. Le plug-in de Server Merchant envoie une demande d'authentification avec le serveur
de contrôle d'accès via le navigateur du titulaire de carte.
4. Le serveur de contrôle d'accès interroge le détenteur de la carte pour un mot de passe.
Ce dernier saisit le mot de passe, et le serveur de contrôle d'accès le vérifie.
5. Le serveur de contrôle d'accès renvoie la réponse d'authentification pour le plug-in de
Server Merchant via le navigateur de titulaire de carte et transmet un enregistrement
de l'authentification au serveur d'authentification historique.
6. Le serveur Merchant plug-in valide la réponse.

Exemple de fonctionnement « LCL »

Le service 3D-Secure est associé systématiquement et gratuitement à toutes les cartes LCL
effectuant des paiements sur Internet.
 Afin d’apporter toute la souplesse que vous souhaitez, LCL vous propose de
définir le code personnel de votre choix, aisément mémorisable, qui vous sera
demandé à chaque paiement. Votre enregistrement au service se déclenche
systématiquement lors du premier paiement que vous effectuez sur un site d’un
commerçant 3 D Secure.
 A l'issue du renseignement du formulaire de paiement du site marchand, une
fenêtre LCL s'affiche sur votre écran et il vous est demandé de :
1. Saisir le cryptogramme visuel de votre carte (3 chiffres figurant au dos de la carte)
dans la zone" code de sécurité.

4
 2. Définir votre code personnel (un mélange de chiffres et de lettres de 6 à 10 caractères).
3. Confirmer votre code personnel.
4. Sélectionner une des questions secrètes qui vous sont proposées.
5. Saisir votre réponse à la question secrète.
6. Valider votre enregistrement

Le service 3 D Secure prévoit une authentification du titulaire de la carte, par la saisie

systématique d'un code personnel, lors de chaque paiement effectué sur un des sites des
commerçants français ou étrangers affichant le logo «Verified by Visa» ou « MasterCard

4
Secure Code» . Ces logos indiquent que le site utilise le service de sécurisation des paiements
3D-Secure.
A l'issue du renseignement du formulaire de paiement du site du commerçant, une fenêtre
LCL s'affiche et vous demande le saisit de votre code personnel puis de le confirmer. Le
serveur d'authentification LCL contrôle alors sa validité.
 En cas de saisie erronée du code personnel, le paiement ne peut avoir lieu sur
le site du commerçant 3 D Secure.

3D Secure et le cryptogramme visuel :

Un paiement par carte sur internet nécessite généralement:

 Le numéro de la carte
 La date d'expiration
 Le cryptogramme visuel

Le cryptogramme visuel, ce sont les 3 nombres au dos de votre carte qu'on vous demande
généralement de saisir lors d'un achat sur internet.
Or ces informations peuvent être lues visuellement sur la carte et recopiées, permettant ainsi
le paiement sans présence de la carte, et donc la fraude.
Avec 3DSecure, des informations complémentaires vous seront demandées pour valider le
paiement.
Quelqu'un qui recopierait les informations de votre carte ou même qui vous la volerait ne
pourrait pas effectuer des achats chez les marchands utilisant 3DSecure, car il ne connaît pas
ces informations complémentaires.

La norme 3Dsecure est un outil de lutte contre les impayés

Lors de tout achat internet normal (non-3DSecure), à aucun moment votre identité n'est
prouvée (code PIN ou signature). Cela veut dire qu'il suffit de contester un paiement pour que
votre banque vous rembourse.
La responsabilité est du côté de la banque du commerçant, auprès de laquelle votre banque
réclamera la somme.
Lors d'un achat en mode 3DSecure, si l'authentification est un succès, il y a un transfert de
responsabilités vers votre banque. (Puisqu'elle a affirmé que c'était bien vous qui étiez en train
de payer, elle ne peut plus contester et doit transférer l'argent à la banque du commerçant.)
Et bien entendu, votre banque transfèrera cette responsabilité vers vous : Vous ne pourrez plus
contester un paiement 3DSecure et vous faire rembourser.
C'est pour cela qu'il est important que votre banque adopte une méthode d'authentification
solide.
Notez que si l'authentification est un échec et que la banque du commerçant réclame le
recouvrement de la somme, votre banque est censée refuser. Si elle l'accepte malgré tout, vous

4
pourrez contester ce débit et vous faire rembourser (puisque rien n'aura prouvé que c'est vous
qui avez effectué le paiement).

Conclusion

3D Secure repose sur la mise en place d'un contrôle supplémentaire lors d’un achat en ligne.
Son but est simple : garantir au marchand que la banque émettrice de la carte estime qu'elle
est utilisée par son titulaire légitime lors de l'achat. La banque émettrice authentifie les
titulaires de carte grâce à leur mot de passe vérifié par l'émetteur. Si ultérieurement, le
titulaire de la carte refuse la transaction, il s'agira d'une question à résoudre entre la banque
émettrice et le titulaire de la carte sans impliquer le marchand.
3D Secure est un système qui ne garantie pas la sécurité des transactions mais un moyen pour
réduire les risques de fraude et bien qu’il ne soit pas assez répondu, cela n’est du qu’a son
coût d’implantation et au manque de confiance des usagers dans le E-Commerce, surtout pour
le cas des pays arabes tel que la Tunisie bien qu’elle ne manque pas d’intellect.