« 3DSecure a été conçu par des gens qui ignorent ce qu'est le commerce en ligne ! »

• Imprimer

Les sites marchands paraissent réticents à l'adoption du protocole 3DSecure, censé améliorer la sécurité des paiements en ligne. C'est ce qui ressort de la conférence « Authentification bancaire et sécurité des paiements » qui se tenait le jeudi 11 juin, en préambule au salon 'Cartes' (du 17 au 19 Novembre 2009).

Payer sur internet suscite toujours autant d'inquiétude pour le grand public. Et quand il s'agit de sécuriser les transactions électroniques, les sites marchands semblent réticents à l'adoption d'un protocole sécurisé tel que 3D Secure, pourtant destiné aux paiements sur internet, proposé par Visa et Mastercard. C'est ce qui ressort des propos de Benoit Tabaka, Directeur Juridique de Priceminister, et de Jean Marc Mosconi, Délégué Général de Mercatel (un organisme de conseil spécialisé dans le commerce et la distribution) lors de la conférence « Authentification bancaire et sécurité des paiements » qui se tenait le jeudi 11 juin. Un protocole développé par Visa 3DSecure a été développé par Visa pour augmenter le niveau de sécurité des transactions, et il a été adopté par Mastercard. Ce protocole utilisant des messages XML permet d'une part une meilleure authentification du détenteur de la carte de paiement lors d'achats effectués sur des sites web et la vérification de la solvabilité de l'acheteur, et d'autre part confirme que l'entreprise est bien valable. Pour le client, au moment de l'achat, il s'agit de saisir une information complémentaire sur une nouvelle fenêtre affichée par la banque du porteur. Cette information peut être la date de naissance (quoi que facile à obtenir...), ou de manière plus sécurisée un code aléatoire transféré par SMS de la banque au client. On peut bien sûr imaginer d'autres façons de générer ce code de confirmation (lecteur de cartes, etc.). Internet représente 50 % des fraudes de paiements bancaires L'utilisation de 3DSecure est notamment défendue par Arnaud Meunier, Risk Manager pour la Société Générale. Il rappelle qu'à l'origine les cartes bancaires étaient en carton avec un numéro imprimé dessus. Un procédé considéré comme sûr... Plus tard sont apparus les hologrammes, puis les bandes magnétiques et enfin la carte à puce associée à un code secret. « Seulement les fraudeurs sont compétents, et ils évoluent. ». Selon lui, si aujourd'hui la fraude est très bien contenue en Europe en ce qui concerne les paiements de proximité, internet représente déjà 50 % des fraudes de paiements bancaires. La Société Générale compte donc mettre en place 3DSecure dès septembre, en utilisant la technologie SMS. Photo : Illustration (D.R. Caisse d'Epargne) Roland Entz, Directeur Général Visa Europe, précise que « Quand il y a eu transfert de responsabilité vers les banques émettrices en 2008, elles se sont tournées vers 3DSecure. ». En effet, aujourd'hui, en cas de fraude, c'est la banque du client qui paie les pots cassés, et non pas la banque du commerçant. Des réseaux de fraude internationaux Il fait enfin remarquer que la fraude ne doit pas être envisagée d'un point de vue national. La France ferait en effet figure de bonne élève au niveau de la sécurité bancaire, mais les réseaux de fraude sont internationaux. Il cite l'exemple de cartes bancaires en provenance d'Afrique, puis utilisées sur les sites marchands français. Les montants des escroqueries atteignent quelques milliers d'euros pour certains sites, mais grimpent jusqu'à 100 000 euros pour d'autres. Mais si la Banque de France exige une meilleure sécurité, l'adoption de 3DSecure n'est pas obligatoire. Et ne sera pas forcément adopté. C'est en tout cas l'avis de Benoit Tabaka, Directeur Juridique de Price Minister : « Il faut s'adapter au réel. La fraude est maitrisée. Il y avait un taux de fraude de 0,22 % en 2008. » Ce chiffre représente plus d'une centaine de milliers d'euros, mais il se retrouve très diminué après les procédures de recouvrement et d'assurance. De plus, 70 % de la fraude est familiale (par exemple, un enfant achète une console de jeux avec la carte de ses parents, qui font opposition...). Dans ces cas là, le taux de recouvrement est très bon. les concepteurs de 3D Secure ne savent pas ce qu'est le commerce Au final, Benoit Tabaka estime que 3DSecure pèche par certains aspects, en rejetant une transaction pourtant valable ou en décourageant l'acheteur. Résultat, ce type d'effets secondaires coûte une somme plus importante que la fraude. Les frais de mise en place ne sont pas non plus à négliger. Jean Marc Mosconi, Délégué Général Mercatel, un organisme de conseil spécialisé dans le commerce et la distribution, le rejoint sur ce point : « Le commerce est là pour vendre. 3DSecure a été conçu par des gens qui ne savent pas ce qu'est le commerce, il fige la relation client. Le paiement est la finalisation de la relation client, il ne doit pas être un frein. » « La sécurité pour la sécurité, c'est peut-être le moyen de tuer la poule aux oeufs d'or alors que la fraude est maitrisée. », résume Laurent Jullien, Directeur Services sans contact et Paiement Mobile chez Bouygues Telecom. « En visant 'le grand fraudeur', ne décourageons pas 80 % des clients », considère Jean Marc Mosconi, de Mercatel. 3DSecure serait plus adapté aux petits commerces Un point de vue des sites marchands auquel acquiesce Arnaud Meunier, Risk Manager de la Société Générale : « Pour une grosse société comme Priceminister, ça coûte cher et réduit peu la fraude. Les gros sites ont leur propres mesures de lutte contre la fraude. ». « En revanche, pour un plus petit commerçant, les coûts de mise en place sont réduits, et 3DSecure réduit beaucoup la fraude. ». Selon Arnaud Meunier, même les gros sites pourraient avoir un jour à s'y mettre, car la très bonne sécurisation des paiements de proximité (avec la carte en main dans les boutiques) pousse « les pirates à se rabattre vers l'Internet. » La nécessité d'une transaction ergonomique Quoi qu'il en soit, tous les intervenants s'accordent sur la nécessité de ne pas trop compliquer la procédure de paiement. « Une transaction ergonomique. », résume Roland Entz, Directeur général Visa Europe. Comment y arriver ? Pour Benoit Tabaka, Directeur Juridique Priceminister, c'est aux banques d'éduquer leurs clients. Selon lui, elles doivent aussi le rassurer en cas de fraude : quand un client découvre sur son relevé un paiement qu'il n'a pas fait et qu'il contacte sa banque, celle-ci n'a pas à le renvoyer vers le commissariat, une démarche angoissante. Enfin, il s'agit d'adapter les usages de 3DSecure : Si cette nouvelle complexité de paiement peut être légitime pour plusieurs centaines d'euros, elle pourrait s'avérer trop lourde pour des petits achats...