Pannes 3DSecure à répétition : à qui la faute ?
Depuis début novembre se succèdent les pannes 3DSecure, ce système d'authentification du cyberacheteur par sa banque lors d'une vente en ligne. En pleine période d'achats de Noël, les e-commerçants, dont les audiences n'augmentent déjà pas en flèche, n'avaient vraiment pas besoin de ça. Bon nombre d'entre eux subissent pourtant de multiples incidents qui se terminent d'une façon simple : finaliser la vente est impossible. Certains débraient 3DS ou relèvent le seuil de panier qui le déclenche. Mais une majorité de petits sites marchands n'en ont pas la possibilité car leur banque ne veut prendre aucun risque.
A l'arrivée, un nombre très significatif de ventes perdues, même si le manque à gagner est difficile à chiffrer. Pour fixer les idées, souvenons-nous simplement qu'en 2013, sur les 51 milliards d'euros du marché e-commerce français selon la Fevad, le quart des transactions étaient déjà authentifiées 3DSecure d'après Ogone. Ces 35 millions d'euros de chiffre d'affaires authentifiés 3DSecure chaque jour n'ont pu que progresser avec la croissance des ventes en ligne et de la pénétration de 3DS chez les marchands.
Une contagion alarmante
Certes, ces incidents peuvent être ponctuels. Comme la panne du 7 novembre, qui a touché les paiements par carte Visa des acheteurs du Crédit Agricole qui réalisaient des achats sur des sites marchands ayant Paybox pour PSP. Selon nos informations, Paybox n'avait pas renouvelé dans les temps auprès de Visa le certificat avec lequel il obtient du Crédit Agricole l'authentification 3DS des cartes Visa. Le temps qu'il règle le problème, pas de ventes 3DS. Autre occurrence : le 31 octobre, un test de charge sur les serveurs Visa a rendu le 3DSecure inopérant pour toutes les banques.
Aucune communication officielle des banques
Etant donné que le 3DSecure a toujours généré des couacs, on pourrait s'arrêter au coup de malchance pour les e-commerçants. Sauf que les incidents n'ont cessé de se multiplier. Du 26 au 28 novembre, c'était au tour des cartes Visa et Mastercard de la Banque Populaire d'être affectées. Du 30 novembre au 1er décembre à minuit, les cartes Visa et Mastercard du Crédit Agricole et de LCL y passaient. A chaque fois, les PSP ont observé des temps de réponse trop longs de l'ACS de la banque, c'est-à-dire du serveur chargé de gérer l'authentification du porteur de carte.
C'est là que les choses se compliquent. D'abord, aucune communication officielle des banques n'a expliqué l'origine des incidents ni quantifié leurs conséquences. Or les hypothèses sont nombreuses. On peut imaginer que l'ACS lui-même, sorte de boîte noire chiffrée, subisse des défaillances. Il est également possible que la banque ne parvienne pas à réconcilier l'identité authentifiée de l'acheteur avec la transaction qu'enregistre son système monétique. Il arrive aussi que l'affichage de la page où l'acheteur doit renseigner le code 3DS reçu par SMS ne se fasse pas, or cette page est le fruit des interactions entre la banque, son réseau de carte bancaire (Visa ou Mastercard), son PSP et le gestionnaire d'ACS. En effet, le nombre important d'acteurs impliqués dans la mise en œuvre du 3DSecure emmêle encore un peu plus les interrogations. Des éditeurs fournissent aux banques les ACS. Des gestionnaires d'ACS en assurent l'infogestion pour les banques. Les prestataires en charge des systèmes monétiques des banques communiquent avec les ACS pour savoir si les authentifications ont été réalisées...
Peut-être un problème de montée en charge
"L'accroissement du nombre de pannes et l'allongement des temps de réponse des serveurs font naturellement penser à un problème de montée en charge, d'autant qu'il coïncide avec la hausse des transactions propre à la période de Noël", souligne René Cotton, cofondateur et directeur technique de la solution e-commerce Wizishop, qui le premier a dressé une liste de ces pannes. Mais même si cette hausse des requêtes 3DS pose problème, il reste à trouver où. Les banques se montrent particulièrement peu disertes sur le sujet, mais la concordance des incidents chez plusieurs d'entre elles peuvent aussi pointer vers une cause unique, telle qu'un produit ou un prestataire qu'elles auraient en commun. Worldline, processeur d'ACS pour bon nombre de banques françaises, n'a pas répondu à nos sollicitations à l'heure nous nous publions cet article.
Toujours des lenteurs du côté des ACS
En attendant, les marchands et les PSP regrettent le manque de transparence des banques. "Nous voudrions au moins pouvoir afficher un message d'erreur sur la page d'authentification 3DS, car le consommateur ne comprend pas que cela ne fonctionne pas", explique Didier Brouat, directeur du développement de Payline chez Monext. "Les gros marchands peuvent débrayer leur 3DSecure ou le piloter au panier et les transactions one-click comme celles d'Amazon et de Vente Privée ne sont pas concernées. Mais le petit marchand 3DS-only ne peut pas le débrayer."
Même si c'est moins flagrant ces jours-ci, René Cotton observe toujours de vraies lenteurs du côté des ACS. "Dans la nuit du 1er au 2 décembre, les banques ont sans doute ajouté des serveurs pour assumer la montée en charge", explique-t-il. Il n'y a donc plus qu'à souhaiter qu'elles aient suffisamment accru leurs capacités. Les deux prochains weekends seront les deux plus gros weekends e-commerce de l'année.