3-D Secure

3-D Secure: 3-D Secure est un protocole sécurisé de paiement sur Internet.

Déployé sous les appellations commerciales Verified By Visa et MasterCard SecureCode, 3-D Secure a été développé par Visa et Mastercard pour permettre aux marchands de limiter les risques de fraude sur Internet, liés aux tentatives d’usurpation d’identité. Il consiste à s’assurer, lors de chaque paiement en ligne, que la carte est bien utilisée par son titulaire. Dans ce cas où, à la fois le commerçant et la banque du porteur de la carte sont équipés, une étape supplémentaire a lieu au moment du paiement. En plus du numéro de carte bancaire, de la date d'expiration de la carte et des trois chiffres du code de sécurité (imprimés au dos de la carte), l’internaute doit saisir un mot de passe, tel que sa date de naissance (authentification simple) ou un code dynamique à usage unique (authentification forte).

Sommaire

1 Description

2 Modalités

3 Critiques

4 Baisse des ventes

5 Voir aussi

6 Notes et références

Description

Le concept de base de ce protocole (basé sur l'échange de messages XML) est de lier le processus d'autorisation financière avec une authentification en ligne. Cette authentification est basée sur un modèle comportant 3 domaines (d'où le nom 3D) qui sont:

Le commerçant et la banque qui recevra les fonds ((en) Acquirer Domain)

La banque qui a délivré la carte de paiement ((en) Issuer Domain)

Le système de carte bancaire ((en) Interoperability Domain)

Le protocole utilise des messages XML envoyés via des connexions SSL (qui garantissent l'authentification du serveur et du client par des certificats numériques).

Modalités

L'activation du système se fait pour le client lors du 1^er achat sur un site web 3D-Secure.

Selon la banque émettrice de la carte, les modalités d'authentification varient :

Crédit mutuel et CIC : le client doit au choix, soit indiquer un des codes inscrit sur sa « carte de clés personnelles » (une grille de 64 codes à 4 chiffres dans laquelle il faut piocher le bon code en fonction de la ligne et de la colonne demandée par le site web) ET un code reçu par email à l'adresse liée à son compte bancaire, soit indiquer un code reçu par SMS sur le n° de téléphone associé à son compte bancaire.

Axa Banque : le client doit indiquer sa date de naissance.

Caisse d'épargne : un code est envoyé par SMS

HSBC : le client doit indiquer sa date de naissance; depuis juin 2010 un code est envoyé par SMS^[1].

BNP Paribas : le client doit indiquer sa date de naissance; depuis juillet 2009 un code est envoyé par sms^[2].

Société générale et Boursorama : le client doit indiquer sa date de naissance, depuis septembre 2009 un code est envoyé par SMS.

Crédit agricole (dont LCL) : Depuis 2010, un code est envoyé par sms, à défaut le client doit indiquer un mot de passe personnel crée lors de la première utilisation^[3].

BRED Banque populaire : une clé d'authentification Ipab, clé cryptographique format clé USB.

Groupama Banque : le client doit indiquer son nom, le code postal de sa résidence et sa date de naissance.

La Banque postale : Un code est envoyé par sms ou une possibilité d'indiquer les 4 premiers chiffres de son numéro de contrat.

Crédit coopératif : Un code est généré sur le "lecteur sésame" déverouillé par l'insertion de la carte bleue du porteur et la saisie du code PIN de la carte^[4].

ING Direct : Un code est envoyé par sms

3D Secure peut aussi être actif sur des cartes de paiement/crédit (débitant au comptant ou à crédit sur un compte courant classique) :

Cartes PASS (de Carrefour) : le client doit saisir son nom et prénom, sa date de naissance et reçoit un code par SMS sur son téléphone portable (numéro à renseigner la première fois).

Critiques

Le label « Vérifié par Visa » a été l'objet de critiques^[5]^,^[6] parce qu'il est difficile de faire la différence entre un pop-up authentique et celui qui aurait été généré par un site frauduleux. En effet le pop-up provient d'un domaine qui n'est pas forcément celui du site où a été fait l'achat, ni celui de la banque d'où provient la carte, et pas non plus celui de visa.com. Du fait, le système « Vérifié par Visa » a été lui-même la cible de phishing^[7].

De même, pour les banques dont la validation 3-D Secure se fait via la date de naissance, le risque de fraude reste fort, car aujourd'hui, grâce aux nombreux réseaux sociaux (de type Facebook par exemple), il est très facile d'obtenir la date de naissance d'un internaute et donc contourner cette protection.

Une transaction 3D Secure ne doit jamais être modifiée, de facto dès que le commerçant fait du débit partiel ou une duplication de la demande pour un débit supérieur, la protection 3D Secure n'est plus garantie.

Baisse des ventes

La baisse moyenne de chiffre d'affaires se situe entre 10% et 15% sur les commandes des marchands en ligne utilisant 3D Secure^[8] largement compensé^{[citation nécessaire]} par le fait que dans le cas de sites 3D-Secure, c'est la banque et non le ecommerçant qui supporte le poids des fraudes à la carte (transfert des responsabilités voulu par la loi).

Voir aussi

Code de sécurité

e-commerce

paiement sur internet

Secure Electronic Transaction (SET)

Notes et références

↑ http://www.hsbc.fr/1/2/hsbc-france/3DS

↑ http://www.bnpparibas.net/banque/portail/particulier/Fiche?type=folder&identifiant=Securisez_vos_paiements_sur_Internet_20080618122128

↑ https://www.campg-enligne.credit-agricole.fr/g1/ssl/vitrine/informations/3dsecure/3d_secure_master_visa_actu.htm

↑ http://www.credit-cooperatif.coop/menu-bas/informations-utiles/foire-aux-questions-sesame/#1-14

↑ IT Week (en)

↑ article Guardian (en)

↑ Phishing Scams (en)

↑ Ecommerce Wall, « Paiement en ligne Ogone : "notre étude révèle que sur notre parc de clients, l'échec d'authentification 3D Secure est de 13,4% en France" » sur http://www.ecommercewall.com, Pierre-Henri Tataranno, 2010. Consulté le 18 mars 2010

(en) Cet article est partiellement ou en totalité issu de l’article de Wikipédia en anglais intitulé « 3-D Secure » (voir la liste des auteurs)

Portail de la sécurité informatique

Portail de la cryptologie

Catégories :
Système de paiement
Commerce électronique

Contenu soumis à la licence CC-BY-SA. Source : Article 3-D Secure de Wikipédia en français (auteurs)

Игры ⚽ Нужно решить контрольную?

Regardez d'autres dictionnaires:

Secure messaging — is a server based approach to protect sensitive data when sent beyond the corporate borders and provides compliance with industry regulations such as HIPAA, GLBA and SOX. Advantages over classical secure e Mail are that confidential and… … Wikipedia
Secure multi-party computation — (also known as secure computation or multi party computation (MPC)) is a sub field of cryptography. The goal of methods for secure multi party computation is to enable parties to jointly compute a function over their inputs, while at the same… … Wikipedia
Secure communication — includes means by which people can share information with varying degrees of certainty that third parties cannot know what was said. Other than communication spoken face to face out of possibility of listening, it is probably safe to say that no… … Wikipedia
Secure Messaging — (englisch für „Sicheres Mailen“) bezeichnet ein serverbasiertes sicheres E Mail System. E Mails sind dabei bei der Übermittlung vor Einsichtnahme Dritter geschützt, Vertraulichkeit ist gewährleistet. Secure Messages haben eine hohe… … Deutsch Wikipedia
Secure voice — (alternatively secure speech or ciphony) is a term in cryptography for the encryption of voice communication over a range of communication types such as radio, telephone or IP. Contents 1 History 2 Analog Secure Voice technologies 3 Di … Wikipedia
Secure messaging — (englisch für „Sicheres Mailen“) bezeichnet ein serverbasiertes sicheres E Mail System. E Mails sind dabei bei der Übermittlung vor Einsichtnahme Dritter geschützt, Vertraulichkeit ist gewährleistet. Secure Messages haben eine hohe… … Deutsch Wikipedia
Secure Shell — or SSH is a network protocol that allows data to be exchanged using a secure channel between two networked devices. RFC 4252] Used primarily on Linux and Unix based systems to access shell accounts, SSH was designed as a replacement for TELNET… … Wikipedia
Secure Computing — Corporation Rechtsform Corporation Gründung 1984 Auflösung … Deutsch Wikipedia
Secure by default — Secure by default, in software , means that the default configuration settings are the most secure settings possible, which are not necessarily the most user friendly settings. In many cases, security and user friendliness is waged based on both… … Wikipedia
Secure by design — Secure by design, in software engineering, means that the software has been designed from the ground up to be secure. Malicious practices are taken for granted and care is taken to minimize impact when a security vulnerability is discovered. For… … Wikipedia
Secure Pack Rus — Тип защита информации, защита от НСД Разработчик CиЭйЭн Операционная система Microsoft Windows Server 2003 Enterprise Edition и Microsoft Windows XP Professional Языки интерфейса русский Последняя версия SPR 3.0 … Википедия

Dictionnaires et Encyclopédies sur 'Academic'

3-D Secure

Sommaire

Description

Modalités

Critiques

Baisse des ventes

Voir aussi

Notes et références

Regardez d'autres dictionnaires:

Share the article and excerpts

Dictionnaires et Encyclopédies sur 'Academic'

Wikipédia en Français

3-D Secure

Sommaire

Description

Modalités

Critiques

Baisse des ventes

Voir aussi

Notes et références

Regardez d'autres dictionnaires:

Share the article and excerpts

Direct link