Visa et Mastercard à la rescousse des e-commerçants

Pour éviter que les cyberacheteurs puissent renier leurs achats, Visa et Mastercard ont développé un système d'authentification que les banques françaises sont toutes en train d'adopter.

Il y a près de huit ans, Mastercard adoptait le protocole 3D Secure, outil cryptographique que venait de créer Visa. Baptisé Verified by Visa chez l'un, Mastercard SecureCode chez l'autre, le nouveau système d'authentification basé sur ce protocole repose sur une idée simple. Au moment d'un paiement sur Internet, ne s'identifier qu'avec des informations mentionnées sur la carte bancaire ne garantit pas que l'acheteur soit réellement le titulaire de la carte. "Notre nouvelle méthode permet de réduire considérablement le risque de fraude en vérifiant que lors de la transaction, le client est bien le titulaire de la carte", explique Roland Entz, directeur général de Visa Europe en France.

"Ce système a surtout été créé pour protéger les marchands"

D'abord, le site marchand s'enregistre auprès de sa banque aux programmes Mastercard SecureCode et Verified by Visa. Le client s'inscrit également via sa banque, qui choisit de l'identifier par un mot de passe, sa date de naissance, un identifiant... Lorsque le client s'apprête à acheter un produit sur un site, le vendeur envoie une demande d'authentification et d'autorisation de transaction à la banque. La banque vérifie que l'acheteur figure bien dans le répertoire des inscrits à Mastercard SecureCode ou Verified by Visa. Si c'est le cas, elle déclenche l'ouverture d'un pop-up demandant son mot de passe (ou son identifiant) au client. S'il est correct, elle informe le vendeur qu'il peut procéder à la transaction.

"En réalité, ce système a surtout été créé pour protéger les marchands, précise André-Jacques Selezneff, responsable du business development des paiements avancés chez Mastercard Europe. Lorsqu'une transaction est rejetée, c'est à 80 % parce que l'acheteur dit à sa banque que ce n'est pas lui qui a réalisé l'achat. Cela représente 0,70 % du volume total des paiements sur Internet. Or avec une transaction qui repose sur un code personnel connu uniquement du détenteur de la carte bancaire, cet argument tombe." L'adhésion aux solutions 3D Secure garantit donc au vendeur qu'il sera payé.

Jusqu'ici, cet outil cryptographique était employé à l'étranger ou pour les transactions transfrontalières, mais pas encore en France. "Constatant l'augmentation de 140 % par an des paiements sur Internet et évidemment le manque à gagner des achats rejetés par les acheteurs, les banques françaises sont venues nous voir pour adopter ce système, se souvient André-Jacques Selezneff. De façon à ce que tout le monde joue le jeu, le GIE des Cartes Bancaires a rendu le principe obligatoire." Et a arrêté la date du 1er octobre pour ce transfert de responsabilité (en anglais nommé "merchant only liability shift") pour les paiements à distance nationaux France-France.

"Désormais, seule la banque du porteur de la carte est responsable financièrement"

Comme l'explique Roland Entz, "auparavant, en cas de fraude avérée sur une transaction de paiement sur Internet, la banque remboursait les achats effectués frauduleusement avec la carte bancaire de son client. Cette même banque pouvait ensuite se retourner vers la banque du e-commerçant, qui elle-même pouvait au final se retourner contre le commerçant par qui la vente était passée. Désormais, seule la banque du porteur de la carte est responsable financièrement. D'où ce besoin pour les banques émettrices de sécuriser davantage le paiement en ligne, afin de minimiser les fraudes."

Aujourd'hui, si le Crédit Mutuel et le Crédit Agricole ont déjà adopté le système, toutes les banques françaises sont a minima en cours de migration. En Europe, fin avril 2008, 329 banques émettrices (des clients) et 180 banques acquéreuses (des marchands) avaient migré, et 209 000 marchands s'étaient enregistrés au répertoire européen de Mastercard SecureCode. A ce jour, Visa Europe recense pour sa part 75 000 commerçants qui bénéficient du système Verified by Visa.

"Les sites marchands majeurs français qui ont adopté le système sont notamment Pixmania, Nexway, Maisons Du Monde et 1001 Listes, précise Roland Entz. De nombreux autres sites s'en dotent actuellement, pour augmenter la protection contre la fraude." Parmi ceux qui ont franchi le pas ou s'apprêtent à le faire, on trouve également Dell, Toys'R'Us, Adidas, La Fnac, Voyages-Sncf ou encore Eurostar. "Mais aussi beaucoup de compagnies aériennes comme KLM, British Airways ou encore Air France, qui souffraient plus que les autres du syndrome 'ce n'est pas moi qui l'ai acheté' : certains clients rejetaient la transaction auprès de leur banque après leur voyage, souligne André-Jacques Selezneff.

Lutter contre le syndrome syndrome 'ce n'est pas moi qui l'ai acheté'

Pour que le public s'inscrive au programme 3D Secure du réseau de sa carte bancaire, les banques adoptent deux approches différentes. Certaines envoient systématiquement une demande d'inscription, par exemple en même temps que le relevé de compte. Le taux de retour est dans ce cas assez faible. D'autres intègrent la démarche d'enregistrement au premier achat effectué en 3D Secure. Lorsqu'elle reçoit la demande d'authentification et d'autorisation de transaction, la banque constate que l'acheteur n'est pas enregistré auprès de Mastercard SecureCode ou Verified by Visa et déclenche la procédure d'inscription via un pop-up.

"Beaucoup de marchands ont commencé par dire qu'ils perdaient 30 % de clients si le paiement était sécurisé, note André-Jacques Selezneff. Mais des études récentes ont montré que maintenant, la proportion d'abandons est la même que le paiement soit sécurisé ou non. De plus, globalement, les vendeurs se réjouissent plutôt que le chiffre d'affaires du 'ce n'est pas moi qui ai acheté ça' rentre maintenant dans leurs caisses. La phase de découverte de la nouveauté ne durera pas très longtemps."