3DSecure : le bilan Le transfert de responsabilité : une bonne idée qui tourne mal
Le 1er octobre 2008 s'est opéré en France un transfert de responsabilité, communément désigné par l'expression "liability shift". Lors d'un paiement à distance, en particulier sur Internet, il est dorénavant de la responsabilité des banques d'authentifier les transactions et de ne plus seulement les valider. Auparavant, lorsqu'un paiement par carte bancaire était répudié par son porteur, sa banque pour le rembourser venait récupérer le montant de la transaction sur le compte de l'e-commerçant. Or depuis 2001, avec la technologie 3DSecure, les banques sont capables de vérifier au moment du paiement que l'acheteur est bien le détenteur de la carte bancaire utilisée.
A la rentrée 2008, les sites marchands ont donc vu arriver avec soulagement le transfert de responsabilité qu'ils réclamaient depuis des années. Sous les noms "Verified by Visa" et "MasterCard Secure Code", 3DSecure est entré en application. Désormais, en cas de fraude, le "fautif" est la banque émettrice (celle de l'acheteur), qui n'a pas su authentifier le client. Et s'il a souscrit l'option 3DSecure auprès de sa banque et inclus cette nouvelle étape à son processus de transaction, le site marchand ne peut plus se retrouver avec des impayés.
Un vrai plus également du côté du cyberacheteur, pour lequel le dispositif est censé constituer un élément de réassurance fort : même si on lui vole son numéro de carte bancaire, on ne pourra pas l'utiliser pour faire des achats sur Internet.
Mais dans les faits, cette vraie bonne idée a manifestement créé beaucoup plus de problèmes qu'elle n'en a résolus. En premier lieu parce que les cyberacheteurs se sont un jour vu demander un code personnel ou leur date de naissance pour conclure leur transaction et le plus souvent ne savaient pas pourquoi. Retrouver ce code, comprendre qu'il ne s'agissait pas d'une tentative de phishing... beaucoup ont préféré abandonner leur panier. Lorsque le serveur bancaire ne refusait pas simplement d'authentifier la transaction.
Catastrophe immédiate : "en octobre 2008, notre banque acquéreur a actionné 3DSecure pour tous ses clients, dont Pixmania, sans nous demander notre avis, se souvient le directeur exécutif de l'e-commerçant, Ulric Jérome. Tout d'un coup, nos clients, qui n'avaient pas été avertis, ont submergé d'appels notre service client. Nous nous en sommes rendu compte dans la journée et au bout de quelques heures, nous avons demandé à la banque de débrancher 3DSecure."