3D Secure

3-D Secure est un protocole de paiement sécurisé sur Internet.

Il a été développé par Visa pour augmenter le niveau de sécurité des transactions, et il a été adopté par Mastercard. Il permet une meilleure authentification du détenteur de la carte de paiement lors d'achats effectués sur des sites web. 3-D Secure ne doit pas être confondu avec le code de sécurité de la puce inclus dans la carte bancaire.

Description

Le concept de base de ce protocole (basé sur XML) est de lier le processus d'autorisation financière avec une authentification en ligne. Cette authentification est basée sur un modèle comportant 3 domaines (d'où le nom 3D) qui sont:

• Le commercant ((en) Acquirer Domain)
• La banque ((en) Issuer Domain)
• Le système de carte bancaire ((en) Interoperability Domain)

Le protocole utilise des messages XML envoyés via des connexions SSL (qui garantissent l'authentification du serveur et du client par des certificats numériques).

Modalités

Selon la banque émettrice de la carte, les modalités d'authentification varient :

• LCL (Crédit Lyonnais) : le client doit donner un code personnel (de 6 à 10 caractères), qu'il a choisi lors de la première utilisation.
• Crédit Mutuel : le client doit s'authentifier avec son identifiant de banque en ligne, puis indiquer un des codes inscrit sur sa "carte de clés personnelles" (une grille de 64 codes à 4 chiffres dans laquelle il faut piocher le bon code en fonction de la ligne et de la colonne demandée par le site web).
• BNP Paribas, Banque Postale, Axa Banque et Caisse d'Epargne : le client doit indiquer sa date de naissance.
• Société Générale : le client doit indiquer sa date de naissance, à partir de septembre 2009 : un code sera envoyé par sms.
• Crédit Agricole : le client doit indiquer un mot de passe personnel, crée lors de la première utilisation^[1].
• BRED Banque Populaire: une clé d'authentification Ip@b, CD format carte de crédit.

Critiques

• Le label "Vérifié par Visa" a été l'objet de critiques^[2][3] parcequ'il est difficile de faire la différence entre un pop-up authentique et celui qui aurait été généré par un site frauduleux. En effet le pop-up provient d'un domaine qui n'est pas forcément celui du site où a été fait l'achat, ni celui de la banque d'où provient la carte, et pas non plus celui de visa.com. Du fait, le système "Vérifié par Visa" a été lui-même la cible de phishing^[4].
• De même, pour les banques dont la validation 3-D Secure se fait via la date de naissance, le risque de fraude potentiel reste fort, car aujourd'hui, grâce aux nombreux réseaux sociaux (de type Facebook par exemple), il est très facile d'obtenir la date de naissance d'un internaute et donc contourner cette protection.

Voir aussi

• e-commerce
• paiement sur internet
• Secure Electronic Transaction (SET)

Notes et références

• (en) Cet article est partiellement ou en totalité issu d’une traduction de l’article de Wikipédia en anglais intitulé « 3-D Secure ».

• Portail de la cryptologie