3D Secure (suite)

Mise à jour le 26/03/2010 : Voici comment retirer 3D Secure.

Suite à un long et complet commentaire de Fréderic de Paybox dans le précédent article sur le sujet, j’ai pensé qu’il serait intéressant pour tout le monde d’avoir ce retour d’expèrience, Paypox étant l’un des leaders des paiements en ligne.

Bonne lecture à tous et merci à Fréderic de son intervention, car je sais que 3D Secure angoisse beaucoup les lecteurs de ce blog :

« Chez PAYBOX nous avons constaté au lancement de 3DS un taux d’abandon (ou d’échec) sur la phase d’authentification d’environ 15 à 25%.

Cependant nous constatons que ce même taux d’abandon se réduit semaine après semaine, ceci démontrant une maturité grandissante des acheteurs.

Nous pouvons également intégrer dans ce taux d’abandon, l’ensemble des erreurs techniques associées au fait que 3DS est nouveau pour toute la chaîne de traitement et que les systèmes n’étaient pas eux-mêmes totalement mures et full-disponibles. (les soucis techniques sont maintenant corrigés chez les banques, Visa, Mastercard, et les PSP… meme si mon paiement chez AirFrance a planté hier !!!!).

Il faut en effet savoir que les acteurs sont nombreux :
– le e-commerçant
– son opérateur de paiement (Paybox / Atos / …)
– l’application MPI (Merchant Plug In) permetant les échanges 3DS,
– les directory serveurs de Visa et Mastercard
– les serveurs d’authentifications de la banque de l’acheteur (la page ou il faut signer sa transaction par un mot de passe ou une date de naissance)
– et enfin les serveurs d’autorisation, autorisant ou pas au final la transaction

Au niveau communication les banques sont toujours dans une communication très très très très discrète en direction de leurs clients porteurs, mais nous ne pouvons pas dire que l’info ne soit pas disponible sur les site des banques (il faut cependant chercher).

PAYBOX a également il y a quelques semaines ajouté sur la page de paiement (celle où l’acheteur transmet les éléments de sa carte (n° / date de validité / ccryptogramme), un message d’information prévenant l’acheteur sur l’ouverture possible d’une nouvelle page l’invitant à autehtifier son acte de paiement.

Message type : Si votre banque adhère au programme de sécurisation des paiements que le commerçant est adhérent au programme Verified by Visa et Mastercard Secure Code après avoir cliqué sur “VALIDER”, vous verrez alors un nouvel écran s’afficher vous invitant à vous authentifier avec un code différent de votre “code confidentiel carte”.

Info positive :
Les méthodes d’authentification légères par saisie de date de naissance, vont progressivement disparaître au profit de la génération d’un mot de passe différent pour chaque acte d’achat (via réception d’un SMS ou génération d’un code via un lecteur physique adhoc donné par la banque à son client porteur). Les banques vont donc devoir expliquer à leurs clients ce mode d’authentification, elles jouerons donc certainement avec qualité cette phase d’éducation et de formation de leurs porteurs de cartes).

Côté Commerçant ils sont encore beaucoup en “mode observation” pour savoir qui va le mettre le premier et le maintenir dans la durée.

En effet de nombreux commerçants ne souhaitent pas sur la mise en place de 3DS sur leur site des précurseurs mais des suiveurs. De nombreuses mises en place sont cependant programmées pour 1er trimestre ou semestre 2010(après les fêtes et après les soldes).

Dernière précision :
PAYBOX rend disponible 3DSecure sur ses 2 services dédiés aux flux e-commerce :

– PAYBOX SYSTEM : passage par une page de paiement personnalisée aux couleurs du site e-commerce, hébergée par PAYBOX.

– PAYBOX DIRECT : solution qui assure le traitement de vos paiements de façon transparente pour vos clients. Votre application de vente doit collecter les informations sensibles telles que le n° de carte et les transmet à PAYBOX via un dialogue sécurisé de serveur à serveur. La phase 3DSecure étant également assurée en mode serveur à serveur.

Et pour conclure :
A aujourd’hui uniquement 50% de nos nouveaux clients commerçants adoptant les services PAYBOX demandent le paramétrage de 3DS sur leur profil monétique. »

12 réflexions sur “ 3D Secure (suite) ”

  1. Je ne remarque pas énormément de problèmes suite au passage à 3Dsecure, en tout cas moins que les 15/25% annoncés par Paxbox ou les 50% du précédent billet.

  2. Chez Mercaway, nous proposons la possibilité à nos boutiques d’intégrer notre Module de Paiement avec ou sans notre Pack anti-fraude.

    Avec le Pack anti-fraude :

    Si l’acheteur n’indique pas ou incorrectement son code d’identification 3DS, nous appliquons un mauvais critère de notation à la transaction concernée, mais cela ne signifie pas forcément que celle-ci sera rejetée par notre système de paiement.

  3. @Jean-Yves Sur un site (pas mes produits Alsaciens, un autre pour qui je travaille) ou la cible est des personnes n’ayant que très peu d’expérience sur internet, le 3DS cause des problèmes à 90% de nos clients lors de la première commande.
    Au point ou nous somme obligé de téléphoner à la banque du client pour expliquer à leurs conseillés bancaires de quoi ils ont besoin. (tous nos clients sont connus par contrats avant de passer leurs achats sur internet, et le panier moyen est >500€).
    Et en téléphonant aux banques on se rend compte que bcp de conseillers bancaires ne savent pas de quoi on parle !!! Et c’est la que c’est honteux.
    En téléphonant aux banques j’en ai entendu des vertes et des pas mures de la part des conseillers bancaires (notamment à la Poste ou c’est le plus drôle).

  4. Nous avions constaté les mêmes taux d’échec lorsque 3DS était activé chez nous. Le principe de ce système reste encore assez flou pour les internautes (voir même pour les conseillers banquiers), le problème majeur étant pour ma part la diversité des méthodes de sécurisation selon les banques (date de naissance, code, sms…). Une méthode commune aurait été la bienvenue, accompagnée d’informations plus précises relayées d’avantage par les médias : journaux, blogs… (A moins de bosser directement dans le e-commerce je pense que très peu d’internautes connaissent l’existence de 3DS…). En théorie le système est une bonne idée, une nouvelle protection contre les tentatives de fraude peut être un argument supplémentaire pour rassurer le client. En pratique il a un peu de mal a se faire approuver, déstabilisant finalement l’internaute…

  5. Le 3D sécure à été pour nous un fléau qui a duré plusieurs mois. La banque populaire nous l’imposait automatiquement sans pouvoir le retirer. C’est en rencontrant un gros ecommercant du jouet sur le département où nous sommes que j’ai appris que toutes les banques ne l’imposaient pas. J’ai alors prit contact avec l’une de ces banques (CIC) et j’ai « menacer » ma banque de partir si cela ne bougeait pas. Une semaine plus tard le 3D sécure était enlevé. Nous avons alors vu une baisse des commandes abandonnées de façon très significative.

    Je crois sincèrement que le 3D secure ne se fera une place que si il y a une véritable campagne d’information auprès des clients des banques. A ce jour, c’est nous qui informions le client de cette nouvelle sécurité à travers la relance des ces commandes abandonnées.

  6. @Jonathan Malka
    « Si l’acheteur n’indique pas ou incorrectement son code d’identification 3DS, nous appliquons un mauvais critère de notation à la transaction concernée, mais cela ne signifie pas forcément que celle-ci sera rejetée par notre système de paiement. »

    L’implémentation de 3DSecure telle que définie par Visa et Mastercard stipule que la transaction DOIT être refusée en cas d’authentification incorrecte (PARes=N)…

  7. @Teuh

    MasterCard
    ———
    Continuer/interrompre la transaction si l’identification échoue.
    Si le titulaire de carte ne s’est pas identifié avec succès, MasterCard recommande d’interrompre la transaction.
    Si la transaction continue, le marchand ne jouit pas de la garantie de paiement.

    VISA / MasterCard
    ————–
    Continuer/interrompre la transaction si un problème technique empêche de se connecter au répertoire de VISA durant la vérification de l’enrôlement 3D-Secure.
    Si un problème technique, empêche d’accéder au répertoire de MasterCard, MasterCard recommande de continuer le processus de paiement sans procéder à l’identification du titulaire de carte.
    Néanmoins, dans ce cas, le marchand ne jouit pas de la garantie de paiement.

    Continuer/interrompre la transaction si le système d’identification du titulaire est temporairement indisponible.
    Si le système d’identification de l’émetteur de carte est temporairement indisponible, l’identification du titulaire est impossible.
    Dans ce cas, VISA recommande de procéder au paiement. Néanmoins, le marchand ne jouit pas de la garantie de paiement.

  8. Bonjour Olivier,

    Je fais remonter un très ancien article…mais ca n’empêche pas qu’il soit toujours d’actualité.

    J’ai la désagréable impression que depuis que j’ai à nouveau désactivé 3DS sur mon site, le nombre de transaction refusée au paiement est en pleine explosion.

    Certe, il s’agit de commande avec un panier moyen très élevée (souvent plus de 1000€uros), mais je n’avais pas un tel nombre de refus il y a encore quelques semaines avant que je ne le désactive à nouveau. (Nous avons changé le site et des éléments sur mercanet et de ce fait 3DS s’était remis en place par défaut).

    Avez-vous eu connaissance de ce genre de remarques?

  9. Le 3D Secure est un véritable frein au ecommerce. Je viens d’avoir pour ma part une cliente par téléphone qui ne savait pas comment procéder pour payer en ligne…

    Quelle ne fut pas ma surprise lors de la prise de commande par tel (on ne le fait quasi-jamais) et du paiement (elle était à la Banque Postale) : 4 premiers chiffres de son numéro de CCP, nom de son ami préféré durant son enfance, numéro de portable, date de naissance et code de vérification envoyé par SMS… encore plus compliqué c’est pas possible…

    Elle a halluciné quand je lui ai posé de telles questions…et moi aussi…

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.

Vous pouvez utiliser ces balises et attributs HTML : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>