3DSecure : le bilan Une mise en route particulièrement ardue

Aujourd'hui, aucun grand e-marchand français ne travaille avec 3DSecure, ou bien il le propose en option uniquement, assure Ulric Jérome. "Ceux qui le font sont les petits marchands, qui ne savent pas que 3DSecure est en place chez eux, ou qui n'ont pas les moyens de faire pression sur les banques pour qu'elles le retirent."

 

Pixmania a donc décidé de faire comme si le dispositif n'existait pas et a conservé toute son équipe sécurité de 25 personnes. L'e-commerçant utilise 3DSecure pour les devises autres que l'euro, car sa banque acquéreur est différente. De son côté, si Pecheur.com propose toujours aux acheteurs étrangers un serveur fonctionnant sous 3DSecure, en raison des fraudes plus fréquentes et de leurs montants plus élevés, le site de niche a fini par débrancher son deuxième serveur de paiement, pour permettre aux clients français de payer en simple SSL.

 

Du côté de la Fevad, on constate effectivement que le 3DSecure est loin d'être adopté par tous : "Environ 50 % des e-commerçants l'utilisent, mais il ne concerne que 13 % du total des transactions en ligne, note son délégué général Marc Lolivier. Il est donc surtout installé chez les petits e-commerçants, à qui l'on n'a pas demandé leur avis."

 

Autre raffinement, le taux d'échec peut augmenter brusquement d'un jour à l'autre, ou d'une banque à l'autre, et les e-commerçants ont souvent du mal à comprendre les motifs de rejet des authentifications. "Ils se retrouvent alors seuls face à leur banque", ajoute Marc Lolivier.

 

Or depuis octobre 2009, les difficultés liées à la mise en place de 3DSecure ne font que s'accentuer. A cela plusieurs raisons. D'abord, le nombre de porteurs de cartes bancaires "enrollés 3DSecure" par les banques s'est amplifié. "En octobre 2008, 30 % l'étaient, puis 70 % en août 2009 et quasiment 100 % fin 2009", affirme Olivier Bernasson chez Pecheur.com, qui a suivi de près l'évolution du dispositif.

 

Par ailleurs, certaines banques ont changé de système d'authentification en cours de route. BNP Paribas est par exemple passé au SMS en juillet 2009, suivi en septembre par la Société Générale.  

 

Ensuite, la période des achats de Noël a vu arriver beaucoup de nouveaux cyberacheteurs qui, novices en matière de paiement électronique, se retrouvaient encore plus désorientés par 3DSecure. Olivier Bernasson pointe en outre toute une série d'insuffisances techniques du côté des serveurs d'authentification 3DS des banques émettrices, qui communiqueraient mal avec les plates-formes de paiement. "Voici par exemple la proportion de refus '3D Failure' sur notre serveur Webaffaires (Crédit du Nord) au moins de décembre 2009, analysé par notre plate-forme de paiement Atos" :

 

Proportion des refus sur les demandes d'authentification 3DSecure faites à la banque de Pecheur.com
Date, en 2009Part des erreurs "3D Failure" sur les demandes d'authentification
Source : Pecheur.com
5 décembre15,25%
6 décembre19,75%
7 décembre37,93%
8 décembre22,12%
9 décembre24,14%
10 décembre18,39%
11 décembre24,68%
12 décembre27,71%
13 décembre22,77%
14 décembre27,16%
15 décembre30,30%
16 décembre19,48%
17 décembre25,93%
18 décembre34,07%
19 décembre22,73%
20 décembre20,51%
21 décembre16,13%
22 décembre33,33%
23 décembre33,33%
24 décembre42,86%
25 décembre24,00%
26 décembre22,58%
27 décembre34,29%
28 décembre15,79%
29 décembre26,15%
30 décembre22,86%
31 décembre19,35%
1 janvier27,78%
2 janvier32,50%
3 janvier21,82%
4 janvier23,53%

 

 

Autour du même sujet