Commentaires sur : 3D Secure ou « Comment faire chier tout le monde » ! http://www.blog-ecommerce.com/3d-secure E-commerce et Référencement pour E-commerce Fri, 12 Mar 2010 14:09:07 +0000 http://wordpress.org/?v=abc hourly 1 Par : David Niry http://www.blog-ecommerce.com/3d-secure/comment-page-1#comment-10069 David Niry Sun, 28 Feb 2010 10:39:46 +0000 http://www.blog-ecommerce.com/?p=1669#comment-10069 Petite update... Il semblerait que l'implémentation obligatoire pour tout le monde en Juin 2010 soit compromise... Ma banque, la BPCA, à force de se faire incendier par ses clients (dont moi-même, et je vous prie de croire que je suis capable de râler très fort :) ), a fini par changer son fusil d'épaule. Ils m'ont finalement fait signer une décharge et vont nous retirer 3D Secure dans les jours qui viennent. Je leur ai posé la question à propos de Juin 2010 et ils m'ont dit n'avoir reçu aucune confirmation officielle à ce sujet. Donc, n'hésitez pas à râler auprès de votre banque ! C'est un peu comme à l'aéroport lorsqu'un vol est annulé et qu'il n'y a que quelques places sur on vol de rechange... C'est généralement ceux qui se font entendre le plus qui finisssent par monter dans l'avion... Petite update… Il semblerait que l’implémentation obligatoire pour tout le monde en Juin 2010 soit compromise… Ma banque, la BPCA, à force de se faire incendier par ses clients (dont moi-même, et je vous prie de croire que je suis capable de râler très fort :) ), a fini par changer son fusil d’épaule. Ils m’ont finalement fait signer une décharge et vont nous retirer 3D Secure dans les jours qui viennent. Je leur ai posé la question à propos de Juin 2010 et ils m’ont dit n’avoir reçu aucune confirmation officielle à ce sujet.

Donc, n’hésitez pas à râler auprès de votre banque ! C’est un peu comme à l’aéroport lorsqu’un vol est annulé et qu’il n’y a que quelques places sur on vol de rechange… C’est généralement ceux qui se font entendre le plus qui finisssent par monter dans l’avion…

]]> Par : Noël http://www.blog-ecommerce.com/3d-secure/comment-page-1#comment-9981 Noël Sat, 13 Feb 2010 12:18:13 +0000 http://www.blog-ecommerce.com/?p=1669#comment-9981 Bonjour à toutes et tous un témoignage de plus en passant : notre site (deux ans d'existence) fonctionne avec un système d'abonnement d'un peu plus de 15€ par an, ce qui n'a pas empêché notre banque de nous imposer 3DSecure. Pourtant le risque est nul, qui va utiliser frauduleusement une carte bancaire pour payer 15€ ? Et qui va prétendre qu'on a utilisé sa carte à son insu pour payer 15€ ? Hélas, pas moyen de discuter, et nous constatons un taux d'abandon de paiement de plus de 15% dû à 3DSecure. Ca fait mal, 15% de C.A. en moins, je ne vous apprends rien... Bonjour à toutes et tous
un témoignage de plus en passant : notre site (deux ans d’existence) fonctionne avec un système d’abonnement d’un peu plus de 15€ par an, ce qui n’a pas empêché notre banque de nous imposer 3DSecure. Pourtant le risque est nul, qui va utiliser frauduleusement une carte bancaire pour payer 15€ ? Et qui va prétendre qu’on a utilisé sa carte à son insu pour payer 15€ ?
Hélas, pas moyen de discuter, et nous constatons un taux d’abandon de paiement de plus de 15% dû à 3DSecure.
Ca fait mal, 15% de C.A. en moins, je ne vous apprends rien…

]]> Par : DELAUNAY http://www.blog-ecommerce.com/3d-secure/comment-page-1#comment-9832 DELAUNAY Fri, 29 Jan 2010 11:44:55 +0000 http://www.blog-ecommerce.com/?p=1669#comment-9832 3D-Secure a été fait pour les ... e-commerçants !! Ne croyez pas que les banques françaises ont immédiatement joué le jeu pour mettre en place 3D-secure. Elles trainaient des pieds jusqu'à ce que la banque de la France les menace. Avec 3D-secure la transaction ne peut plus être repudiée: le commerçant est certain de ne jamais être débiter après la transaction suite à une plainte du porteur c'est la banque qui assume ce préjudice. En calire, 3D-secure transfert le préjudice de la fraude du commerçant à la banque. Mais 3D-secure est-ce pour autant de la merde (pour reprendre la terminologie très employé dans ce blog)? Non, 3D-secure n'est pas un protocole de sécurité mais seulement la répartition des responsabilités dans lees transaction en ligne (3 domaines). Petit hic: c'est l'émetteur de la carte qui définit la méthode de sécurité à mettre en oeuvre dans le commerce en ligne et non pas le commerçant (celui-ci ne peut que choisir sa banque). cf workflow d'échange de données mentionné plus haut par paybox La solution est à 2 niveaux: - la "user experience" des porteurs de cartes va évoluer: tout le monde va comprendre qu'il y a désormais une étape supplémentaire à franchir pour les transaction en ligne. Il faudra digérer cela dans les mois et années qui viennent - les banques ont intérêt à mettre en place un système transparent pour leurs client détenteurs de cartes afin qu'ils réalisent des transactions en ligne de manière simple, presque voire aussi qu'avant 3D-secure. Il est curieux que des acteur tel que Apple soit capable de rendre ludique les hautes technologie et que dans le domaine de l'authentification forte, on y parvient pas. Les banques ne sont pas innocentes dans ce constat, mais il serait trop long de le détailler ici... On va voir fleurir des émetteurs de cartes bancaire offrant un moyen de paiement conforme à 3-secure mais accompagné d'une sécurité forte mais transparente et souple pour l'usager 3D-Secure a été fait pour les … e-commerçants !!
Ne croyez pas que les banques françaises ont immédiatement joué le jeu pour mettre en place 3D-secure. Elles trainaient des pieds jusqu’à ce que la banque de la France les menace.
Avec 3D-secure la transaction ne peut plus être repudiée: le commerçant est certain de ne jamais être débiter après la transaction suite à une plainte du porteur c’est la banque qui assume ce préjudice. En calire, 3D-secure transfert le préjudice de la fraude du commerçant à la banque.
Mais 3D-secure est-ce pour autant de la merde (pour reprendre la terminologie très employé dans ce blog)?
Non, 3D-secure n’est pas un protocole de sécurité mais seulement la répartition des responsabilités dans lees transaction en ligne (3 domaines). Petit hic: c’est l’émetteur de la carte qui définit la méthode de sécurité à mettre en oeuvre dans le commerce en ligne et non pas le commerçant (celui-ci ne peut que choisir sa banque). cf workflow d’échange de données mentionné plus haut par paybox

La solution est à 2 niveaux:
- la « user experience » des porteurs de cartes va évoluer: tout le monde va comprendre qu’il y a désormais une étape supplémentaire à franchir pour les transaction en ligne. Il faudra digérer cela dans les mois et années qui viennent
- les banques ont intérêt à mettre en place un système transparent pour leurs client détenteurs de cartes afin qu’ils réalisent des transactions en ligne de manière simple, presque voire aussi qu’avant 3D-secure. Il est curieux que des acteur tel que Apple soit capable de rendre ludique les hautes technologie et que dans le domaine de l’authentification forte, on y parvient pas. Les banques ne sont pas innocentes dans ce constat, mais il serait trop long de le détailler ici…

On va voir fleurir des émetteurs de cartes bancaire offrant un moyen de paiement conforme à 3-secure mais accompagné d’une sécurité forte mais transparente et souple pour l’usager

]]> Par : Lisa http://www.blog-ecommerce.com/3d-secure/comment-page-1#comment-9250 Lisa Tue, 08 Dec 2009 13:14:45 +0000 http://www.blog-ecommerce.com/?p=1669#comment-9250 Achetant très régulièrement je n'ai pourtant jamais eu à rentrer un second code durant le processus d'achat... J'ai donc été très étonnée de découvrir ça sur Chronopost. Achetant très régulièrement je n’ai pourtant jamais eu à rentrer un second code durant le processus d’achat… J’ai donc été très étonnée de découvrir ça sur Chronopost.

]]> Par : Alex Chauvin http://www.blog-ecommerce.com/3d-secure/comment-page-1#comment-9247 Alex Chauvin Tue, 08 Dec 2009 11:22:44 +0000 http://www.blog-ecommerce.com/?p=1669#comment-9247 @Lisa: en avez-vous parlé avec Chronopost ou votre banque ? 3DS est obligatoire chez les organismes bancaires depuis le 01/10/08, c'est pas hier dans l'Internet. Et même s'il on peut encore discuter du bien fondé de ce procédé, de l'information aux clients, de la techno, de la fraude, de certaines implémentations discutables, de là à vouloir nous en débarrasser c'est un peu fort peut-être. Pour l'éviter, il suffit de commander sur des boutiques qui ne l'ont pas encore mis en place et hop, débarrassé. Bonne journée, Alex. @Lisa: en avez-vous parlé avec Chronopost ou votre banque ? 3DS est obligatoire chez les organismes bancaires depuis le 01/10/08, c’est pas hier dans l’Internet.
Et même s’il on peut encore discuter du bien fondé de ce procédé, de l’information aux clients, de la techno, de la fraude, de certaines implémentations discutables, de là à vouloir nous en débarrasser c’est un peu fort peut-être.
Pour l’éviter, il suffit de commander sur des boutiques qui ne l’ont pas encore mis en place et hop, débarrassé.

Bonne journée, Alex.

]]> Par : Lisa http://www.blog-ecommerce.com/3d-secure/comment-page-1#comment-9246 Lisa Tue, 08 Dec 2009 11:12:44 +0000 http://www.blog-ecommerce.com/?p=1669#comment-9246 Ah ben voilà je me demandais ce que c'était que cette vérif quand j'ai voulu me commander un chronopost. Mon dieu mais quelle "merde" ce truc franchement ! Déjà je n'avais aucune idée de mon second code et en plus la page ne faisait que planter du coup impossible de savoir si ma carte bleue avait été prélevée ! Pitié débarassez-nous de ça ! Ah ben voilà je me demandais ce que c’était que cette vérif quand j’ai voulu me commander un chronopost.

Mon dieu mais quelle « merde » ce truc franchement ! Déjà je n’avais aucune idée de mon second code et en plus la page ne faisait que planter du coup impossible de savoir si ma carte bleue avait été prélevée !

Pitié débarassez-nous de ça !

]]> Par : Olivier http://www.blog-ecommerce.com/3d-secure/comment-page-1#comment-9185 Olivier Sat, 05 Dec 2009 23:14:45 +0000 http://www.blog-ecommerce.com/?p=1669#comment-9185 Très intéressant ce débat. Notre conseil: -Intégrer une solution indépendante à la solution bancaire classique type Atos. Nous avons retenu Ogone qui permet également de s'interfacer très simplement avec toutes les CB, 1euro.com, Paypal... -Utiliser FIA-NET qui reste la meilleure solution pour aide le commerçant à scorer ses commandes et éviter la fraude. L'assurance FIA-NET n'est pas utile pour les panier moyens < à 100 euros. En théorie, le 3DS est une bonne idée mais -Aucune information d'envergure n'a été réalisée, le grand public n'est pas du tout informé, -L'intégration technique a été bâclée: au CIC il faut se promener avec un bout de carton pour s'authentifier et retenir son code d'accès au site de la banque (13 chiffres non personalisables !?) mais dans certaines banque la date de naissance suffit (alors qu'elle traine souvent pas loin de la CB dans le portefeuille !!) -Je ne suis pas convaincu de la réelle motivation des banque à réduire la fraude. Avec les contraintes du contrat VAD, c'est toujours le commerçant qui trinque: la marchandise est livrée, il est re-débité sur le champ, la banque n'enquête JAMAIS et elle ajoute généralement quelques frais... Impossible pour de faibles montants d'engager des poursuites. Généraliser l'intégration d'un lecteur sur les claviers sera LA solution: authentification forte et non répudiation... le rêve ! Très intéressant ce débat.

Notre conseil:
-Intégrer une solution indépendante à la solution bancaire classique type Atos. Nous avons retenu Ogone qui permet également de s’interfacer très simplement avec toutes les CB, 1euro.com, Paypal…
-Utiliser FIA-NET qui reste la meilleure solution pour aide le commerçant à scorer ses commandes et éviter la fraude. L’assurance FIA-NET n’est pas utile pour les panier moyens < à 100 euros.

En théorie, le 3DS est une bonne idée mais
-Aucune information d'envergure n'a été réalisée, le grand public n'est pas du tout informé,
-L'intégration technique a été bâclée: au CIC il faut se promener avec un bout de carton pour s'authentifier et retenir son code d'accès au site de la banque (13 chiffres non personalisables !?) mais dans certaines banque la date de naissance suffit (alors qu'elle traine souvent pas loin de la CB dans le portefeuille !!)
-Je ne suis pas convaincu de la réelle motivation des banque à réduire la fraude. Avec les contraintes du contrat VAD, c'est toujours le commerçant qui trinque: la marchandise est livrée, il est re-débité sur le champ, la banque n'enquête JAMAIS et elle ajoute généralement quelques frais… Impossible pour de faibles montants d'engager des poursuites.

Généraliser l'intégration d'un lecteur sur les claviers sera LA solution: authentification forte et non répudiation… le rêve !

]]> Par : David Niry http://www.blog-ecommerce.com/3d-secure/comment-page-1#comment-9184 David Niry Sat, 05 Dec 2009 23:02:51 +0000 http://www.blog-ecommerce.com/?p=1669#comment-9184 Tiens, il se trouve qu'Ogone vient justement de publier un rapport sur 3D Secure au niveau Européen: http://www.ogone.com/ncol/web_News_resultecom-2.asp?BRANDING=ogone&ISP=&SubID=3&SOLPRO=&MODE=&ACountry=FR&CSRFSP=%2Fncol%2Fweb%5Fhomepage2%2Easp&CSRFKEY=162F74C051F20ADD5462E270C93CAC74A028BA69&CSRFTS=20091206000001 Je crois que les chargés de l'enquête devraient lire ce blog et ils auraient la réponse à leur question. Tiens, il se trouve qu’Ogone vient justement de publier un rapport sur 3D Secure au niveau Européen:

http://www.ogone.com/ncol/web_News_resultecom-2.asp?BRANDING=ogone&ISP=&SubID=3&SOLPRO=&MODE=&ACountry=FR&CSRFSP=%2Fncol%2Fweb%5Fhomepage2%2Easp&CSRFKEY=162F74C051F20ADD5462E270C93CAC74A028BA69&CSRFTS=20091206000001

Je crois que les chargés de l’enquête devraient lire ce blog et ils auraient la réponse à leur question.

]]> Par : Samy Rabih http://www.blog-ecommerce.com/3d-secure/comment-page-1#comment-9183 Samy Rabih Sat, 05 Dec 2009 22:35:42 +0000 http://www.blog-ecommerce.com/?p=1669#comment-9183 Et sans parler de 3D Secure, rien qu'avoir FIA Net qui vous appelle pour vérifier vos coordonnées, ca donne pas envie d'acheter chez le dit commerçant ... Et sans parler de 3D Secure, rien qu’avoir FIA Net qui vous appelle pour vérifier vos coordonnées, ca donne pas envie d’acheter chez le dit commerçant …

]]> Par : David Niry http://www.blog-ecommerce.com/3d-secure/comment-page-1#comment-9182 David Niry Sat, 05 Dec 2009 22:17:36 +0000 http://www.blog-ecommerce.com/?p=1669#comment-9182 @rico: je ne sais pas d'ou tu tires tes stats de 5%, mais en ce qui nous concerne, on est à 40% d'abandon / erreurs de paiement dû à 3D Secure. Et c'est entièrement la faute des banques comme celle ou tu travailles car elles n'ont pas informé leurs clients. La plupart des gens que nous avons rappelé ne savent même pas ce que c'est, et l'un d'entre eux nous appelé en pensant qu'il était victime de phishing car il trouvait bizarre qu'on lui demande sa date de naissance... Le comble !!! Je suis 100% d'accord avec Olivier (que je salue au passage suite à notre brève rencontre au salon e-commerce :))... 3D Secure, tel que c'est implémenté aujourd’hui et avec le manque de communication des banques, c'est de la merde !!!! Je file chez Ogone, car je suis a la BPCA (Banque Populaire Cote d'Azur) et ils refusent de me le retirer, même si je signe une décharge, prétextant que la décision est prise au niveau régional et pas au cas par cas... c'est surtout qu'ils ne veulent pas se mouiller, comme toutes les banques. Ils ont bons pour encaisser leur frais, mais dès qu’il s’agit d’aider le client c’est toujours pareil… y’a personne. Sauf si tu t’appelles CDiscount ou Pixmania, et là ils te laissent signer toutes les décharges que tu veux. -David, un petit e-commerçant en colère :( @rico: je ne sais pas d’ou tu tires tes stats de 5%, mais en ce qui nous concerne, on est à 40% d’abandon / erreurs de paiement dû à 3D Secure. Et c’est entièrement la faute des banques comme celle ou tu travailles car elles n’ont pas informé leurs clients. La plupart des gens que nous avons rappelé ne savent même pas ce que c’est, et l’un d’entre eux nous appelé en pensant qu’il était victime de phishing car il trouvait bizarre qu’on lui demande sa date de naissance… Le comble !!!

Je suis 100% d’accord avec Olivier (que je salue au passage suite à notre brève rencontre au salon e-commerce :))… 3D Secure, tel que c’est implémenté aujourd’hui et avec le manque de communication des banques, c’est de la merde !!!! Je file chez Ogone, car je suis a la BPCA (Banque Populaire Cote d’Azur) et ils refusent de me le retirer, même si je signe une décharge, prétextant que la décision est prise au niveau régional et pas au cas par cas… c’est surtout qu’ils ne veulent pas se mouiller, comme toutes les banques. Ils ont bons pour encaisser leur frais, mais dès qu’il s’agit d’aider le client c’est toujours pareil… y’a personne. Sauf si tu t’appelles CDiscount ou Pixmania, et là ils te laissent signer toutes les décharges que tu veux.

-David, un petit e-commerçant en colère :(

]]>