Le paiement, un vrai sujet…
Commençons par le début. La situation aujourd’hui.
Un client achète sur votre site e-commerce et paye avec sa carte bleue.
Votre site se connecte sur le site de votre banque (la banque du e-marchand donc) :
Bon, dans la réalité, c’est un poil plus compliqué, parce qu’il faut séparer deux acteurs du paiement : la plate forme de paiement et la banque.
Si la banque valide le paiement, vous allez lancer le processus pour envoyer le colis à votre client.
Le propriétaire de la carte peut poser une réclamation à sa banque (dans les 70 jours !), pour ce paiement.
Cela n’a évidement aucun sens si l’acheteur est le propriétaire de la carte… Mais si la carte a été volée, ou si le voleur a juste copié les infos de la carte pour acheter sur Internet, ça change tout.
Dans ce cas, la banque du marchand rembourse la banque du propriétaire de la carte, et bien évidement, le marchand n’est pas payé.
A lui de prouver que l’acheteur est bien le propriétaire de la carte…
Ce scénario, bien connu des e-marchand, doit changer avec la norme 3D Secure.
3D Secure ajoute un élément de sécurité, puisque dynamiquement, pendant la transaction, la banque du e-marchand va dialoguer avec la banque du propriétaire de la carte, et afficher une pop-up pour demander un mot de passe à l’acheteur :
Là, ça change tout, parce que c’est bien la banque du client qui valide que le porteur de la carte est bien son propriétaire.
Donc, ce processus améliore la sécurité des échanges pour tout le monde, mais en particulier, le e-commerçant ne devrait plus avoir à « financer » les arnaques à la carte volée.
Mais comment le client connait-il le mot de passe de sa carte ?
Si j’ai bien compris, la procédure est la suivante : lors de la première utilisation du service 3DSecure, la banque du client va demander à l’internaute de rentrer un mot de passe (à voir, cette procédure me semble très fragile, parce que si la première utilisation sur un site 3dSecure est faite par un voleur… ).
Je vous raconte tout ça parce que depuis le 1er octobre 2008, toutes les banques doivent être compatible avec cette norme.
Alors ? Pourquoi n’a-t-on rien vu ?
On a rien vu parce que c’est au e-marchand de mettre en place ce système.
Vous êtes e-marchand ? Vous allez mettre ce système en place ?
Normal d’hésiter !
- Combien va être facturé ce service ?
- Ce service, pas encore entré dans les mœurs, risque de faire peur à vos clients : l’ouverture de la popup, ou on demande un mot de passe, ça peut effectivement déstabiliser les clients ! (confirmation sur le billet de Daniel, lien en bas de ce billet : en Angleterre, lors de la mise en place du dispositif, augmentation de 40% des abandons de panier… ça fait réfléchir 😉 ).
Je pense que les choses vont « gentiment » se mettre en place. D’ailleurs, ce système est international et déjà bien répandu.
Une stratégie de migration pourrait être, par exemple, de proposer provisoirement les deux modes de paiements : garder la carte bleue classique et ajouter le logo 3dSecure.
Cela permettrait d’habituer les internautes à ce nouveau logo (euh, au fait, c’est quoi le logo ?)
Bien sûr, cette double procédure temporaire ne permettrait pas d’éviter les fraudes. Juste pour « éduquer » les clients donc.
Autres points à voir :
Ce système est bien sûr compatible quand le paiement se fait sur le site de la banque du e-marchand. Mais certains e-commerçants intègrent la procédure de paiement dans le site marchand. Cela sera-t-il possible avec 3dSecure ? Je crois que non, mais c’est à valider.
Bonnes lectures sur le sujet :
Il me semble avoir lu que la fameuse question pouvait etre la date de naissance du proprio de la carte mais pas moyen de remettre le main sur un lien. Quelqu’un confirme ?
@Max> J’ai effectivement vu ça chez Daniel, mais je sais pas ou il a pêché l’info !
Voici un essai de récupération des données demandées par différentes banques :
http://www.ecommerce404.fr/2008/09/3d-secure-et-les-differentes-banques/
J’ai pêché l’info aupres de la cellule paiements de la Société Générale et c’est confirmé par plusieurs personnes ayant deja utilisé ce systeme en France
A l’etranger le code peut etre choisi par l’internaute, en France le choix a été fait par les banque de mettre d’emblée la date de naissance… en attendant un systeme plus sur que 3D secure l’an prochain (normalement)
Bonjour,
le principal avantage de 3D secure c’est d’offrir la garantie de paiement au e-marchand : plus d’impayés carte bancaire. C’est sans doute ce qui explique la montée en puissance de 3D chez nos voisins anglais : +600% en 2 ans.
c’est un peu stupide de mettre d’emblée la date de naissance comme mot de passe.
Une carte volée se trouve bien souvent dans un portefeuille volé. et qu’est ce qu’on y trouve dans ce portefeuille ? Les papiers d’identité avec la date de naissance.
Puisque ce sont les banques qui assument la fraude alors que ce sont elles mêmes qui ont choisi… Mais bon, je ne comprends pas trop ce choix.
3D Secure est énormément utilisé au Japon notamment, où les utilisateurs sont habitués à ce process. Ne pas le proposer dans les moyens de paiement est même déconseillé.
Le mot de passe qui est demandé varie d’un pays à l’autre : au Japon, on demande l’équivalent d’un code PIN alors qu’en France c’est la date de naissance. Voir le billet de Yves – eCommerce 404 à ce sujet :
http://www.ecommerce404.fr/2008/09/3d-secure-et-les-differentes-banques/
Quant à la procédure de paiement intégrée au sein même du site marchand, il y a encore quelques mois ce n’était pas possible. En plein milieu du tunnel d’achat, on debraye sur une pop up moche et non customisable dans laquelle on demande à l’utilisateur de renseigner son code 3D Secure. Si vous parlez Japonais, il y a un exemple d’utilisation de 3D Secure sur le site fullflash de Cartier.jp
Et, bêtement, on a une idée de la proportion de carte en circulation qui sont potentiellement 3D Secure ?
@Alexis> Si j’ai bien compris, toutes les cartes bleues sont en fait compatible 3DSecure.
Hm Ogone m’a proposé 3D Secure il y a quelques semaines pour 3centimes par transaction. Mais ma conseillère ne m’avait pas du tout parlé de code PIN. Je vais un peu réfléchir pour le coup.
Article très intéressant et sur lequel je me permets d’apporter quelques précisions concernant la fraude en ligne.
Qu’on se le dise, 3D Secure on en parle depuis des années, ça commence à être installé mais ça ne changera rien !
Il faut tout d’abord savoir que chaque année, plus de 50 millions d’Euros de ventes restent impayées et que ce chiffre ne fait qu’augmenter !
Et qui supporte le coût de la fraude ? Le cyber commerçant. 3D Secure ou pas.
Quelles solutions existent aujourd’hui pour lutter contre la fraude ?
Des solutions qui vous garantissent 70 % de vos transactions, que vous savez non frauduleuses, et qui sont incapables de vous répondre sur les 30 % restants…
Quel cyber commerçant est prêt à abandonner 30 % des ses clients ?
Aucun.
Ces mêmes sociétés proposent donc des assurances paiement à des prix exorbitants pouvant aller jusqu’à 4 % du CA !
SECUVAD est né de ce constat : il n’existe aujourd’hui aucune solution de détection de fraude fiable, complète et rapide.
Pour relever ce défi, deux sociétés complémentaires se sont associées :
IIIAAA : société informatique spécialisée en Data Management et création d’algorithmes d’intelligence Artificielle, récent lauréat du concours OSEO
SPVAD : société spécialisée depuis 15 ans dans la détection de fraude sur Internet et le recouvrement de créances.
SECUVAD est le seul outil permettant une détection automatique des transactions suspectes et un traitement manuel par des experts des transactions à risque.
> SECUVAD permet de détecter 95 % des fraudes.
> Le modèle s’enrichit tous les jours de nouveaux comportements frauduleux.
> Le scoring des transactions est 100 % automatique.
> Seules les transactions suspectes sont traitées en détail par des experts de la fraude.
> Ces experts travaillent en étroite collaboration avec les autorités judiciaires.
SECUVAD est un outil plug and secure, qui ne nécessite aucun développement informatique chez le client.