3D Secure or Not 3D Secure

Un gentil mail vient d’attirer mon attention  sur une problématique (apparemment) aigue chez les ecommerçants : le paiement sécurisé 3D Secure (j’en vois déjà parmi vous qui font « ah haaaa » et qui s’esclaffent en poussant des « 3D Secure, c’est de la merde ! », « Aux chiottes, 3D Secure ! » « A bas 3D Secure ! »).

Oui, oui, mais bon, 3D Secure mériterait un débat un peu plus à la hauteur des enjeux qu’il est censé couvrir. Pour rappel (et je viens de le lire sur un article très bien fait de commentçamarche), 3D Secure est un système de paiement censé diminuer la fraude à la carte bancaire sur les sites de ecommerce. Et comme le conclut l’article, il n’y a pas de raison que ça ne marche pas. Cela dit, voilà, il semblerait que le système anti-fraude du futur soit un sacré frein pour le taux de transformation. Avec 3D Secure, les commerçants perdent des ventes. (je vais encore user d’une métaphore, mais imaginez un peu d’aller chez IKEA, de payer en CB, et là, hop, voilà que la gentille hôtesse d’accueil vous tend un formulaire à remplir destiné à prouver que vous êtes bien le porteur de la carte. Et que faites-vous dans ce cas là ? Eh bien, vous fuyez, et c’est bien normal).

Mon cher interlocuteur (de chez MonShowRoom.com, site que je respecte fort, par ailleurs) me faisait donc part de son désarroi quant à l’usage de 3D Secure qui, certes, fait diminuer la fraude, mais aussi les ventes. Cruel dilemme, que faut-il choisir alors ?

Sur le web, on trouve plusieurs témoignages :

C’est certain, les gens prennent rarement leur plume pour exprimer leur satisfaction (« 3D Secure, c’est trop de la balle ! » ou « Je suis ecommerçant et je kiffe 3D Secure »), il n’empêche que 3D Secure semble faire l’unanimité contre lui.

Alors que faire ?

  • Bannir 3D Secure ?
  • Mieux informer les internautes sur 3D Secure ?
  • Trouver un meilleur moyen de sécuriser les paiements (pour faire comme, par exemple, en Belgique, où les banques fournissent un véritable terminal de paiement aux internautes) ?

Le débat est ouvert et je pense que pour une fois une bonne concertation entre offreurs de moyens de paiement et ecommerçants pourrait être une bonne idée pour avancer sur le débat.

77 commentaires

  1. Merci d’avoir relaté mon post. Pour suivre à la question, 3D Secure c’est sympa au final, si on enlève les 20% de transfo en moins.

    Ce qu’il aurait été vraiment sympa de faire, c’est de passer tous les e-commerçants au système. Car en effet, on peut le refuser, et les « gros » sites e-commerce que je connais n’utilisent pas 3D Secure.

    Alors, que dire à un gars qui vient de passer 2 commandes dans la semaine sur Cdiscount, et qui ensuite débarque chez CoinduGeek qui lui demande la double authentification ? Qu’on lui veut du bien ? Que Cdiscount c’est des vilains et c’est pour ça qu’ils sont numéro 1 du secteur ? aïe …

  2. La meilleure solution reste tout de même de proposer le paiement « 3D secure » ET « normal ». Cela permet de contenter les acheteurs paranos et les autres…
    Résultat : Une sécuritée accrue et un CA stable 🙂
    Il me semble que cdiscount le propose.
    A bon entendeur…

  3. Il y a un manque certains d’informations des utilisateurs. Les banques elle-même ne savent pas ce qu’est 3D Secure. Si ils avaient prévu un passage en douveur, tout en informant les utilisateurs de ce nouveau système il y aurait eu moins de problèmes. Surtout quand on voit ce qu’on peut demander . La pépite revient à crédit mutuel :
    « le client doit s’authentifier avec son identifiant de banque en ligne, puis indiquer un des codes inscrit sur sa « carte de clés personnelles » (une grille de 64 codes à 4 chiffres dans laquelle il faut piocher le bon code en fonction de la ligne et de la colonne demandée par le site web). »

  4. À mon sens, c’est le manque de cohérence de 3D Secure : on change encore de graphisme pour aller vers une nouvelle banque. Parfois l’aspect de la section 3D Secure de sa banque ressemble peu à leur site officiel. Les questions sont soient triviales (Caisse d’Épargne : date de naissance ? C’est “secure”, ça ????) soit demande un gadget (groupe HSBC) qui fourni une clé jetable. Évidemment, le client ne l’a pas sur lui au bureau ou n’a pas compris son fonctionnement.

    Bref, 3D secure aurait pu être une bonne idée, mais trop en vrac.

    Parlons plutôt d’un des nœuds restants du problème, qui remet en cause directement les banques : le code des interfaces de paiement en ligne http://dascritch.net/blog.php/post/2008/05/19/Archeologie-linguistique

  5. Il est clair qu’une harmonisation de la norme aurait été sympa. Etant client du CiC c’est le parcours du combattant pour régler via 3D Secure (idem que Credit Mutuel plus haut). J’étais client Caisse d’épargne, c’était la date de naissance (que tout le monde peut trouver sur facebook etc.). Certaines autres banques demandent un code à 6 chiffre (façon code secret de carte bancaire) qu’on créé à la première commande 3D Secure, c’est peut être la « meilleure » solution même si certains de mes clients pensent qu’ils doivent donner leur code secret de carte bancaire (!!!) et forcément refusent de régler. Pédagogie, harmonisation, transition dans la douceur : voilà comment aurait du être mise en oeuvre cette norme 3D secure. Dommage.

  6. Le système à la base protège principalement les banques et les commerçants mais il est contraignant pour le client final.

    Sachant cela il n’est pas difficile de conclure que l’adoption par ce dernier n’est pas facile.

    Il faut soit une contrainte pour le client (t’as pas le choix) ou remanié le truc pour qu’il y trouve un vrai avantage.

  7. Oublions que je suis e-commerçant, car je vais vous parler de mon expérience en temps que client de banque.

    En tant que client de banque je trouve que « 3D Secure, c’est de la merde ! ». Car 3D secure pour le client c’est une marche arrière dans la sécurité des paiement sur internet.
    Car si quelqu’un paye avec mon numéro carte sur internet et au moment de l’authentification, dite forte, cette personne entre ma date de naissance car on ne lui à pas demandé plus (comme une grande majorité des personnes sur internet, ma date de naissance est public dans de multiples endroits, CV, facebook, …), je l’ai bien bien (bien bien) profond. Car en plus de ne pas être remboursé (car le paiement à été authentifié fortement à l’aide d’une donnée PUBLIQUE, ce qui assure que c’est bien moi qui ai entré le numéros de ma CB !!!), si j’ai le malheur de me plaindre, la banque peu me rétorquer à grands coups de frais bien sentis que j’ai délibérément pas « respecté les moyens de sécurisation mis en ma possession ».

    Avant 3D secure, si ma carte était utilisais indument sur internet, j’avais des recours. Aujourd’hui si ma carte est utilisé indument sur internet, en plus de supporter seul la fraude, la banque m’impose en plus des frais comme sanction.

    N’oublions pas de remercier le lobying incessant Roland Moreno (inventeur de la carte à puce) depuis le début d’internet, qui tend à faire croire au plus grand nombre que le paiement sur internet n’est pas sure (bas oui ca n’utilise pas de puce électronique) et qui a ammené nos banque et institutions gouvernantes (pas que nationale) à nous inventer ce système sans aucune valeur ajoutée pour le client, et ma fois pas super interessante pour les e-commerçant.

  8. Mercaway.com utilise 3D Secure depuis plus de 2 ans. Nous avions fait le choix de l’intégrer pour les transactions hors France pour diminuer notre taux de fraude et d’impayés à l’international.

    A mon sens, l’utilisation de 3D Secure comporte certes des inconvénients mais également des avantages que l’on ne peut pas ignorer.

    Inconvénient majeur
    —————-
    1. Il est nécessaire de rappeler que l’aspect graphique et ergonomique est différent selon les banques.
    2. La bonne compréhension par l’utilisateur est donc assez aléatoire.
    3. Le taux de conversion est donc plus bas qu’une transaction classique.

    Avantages
    ——–
    1. En étudiant nos statistiques, je constate que cela ne semble pas perturber la concrétisation des gros paniers d’achat (> 300 EUR). Je dirais presque au contraire !
    2. Je constate toutefois que les novices (ie : 1ers achats sur le net) semblent perturber par son utilisation. Ce qui semble confirmer le premier point.
    3. En travaillant au cours des deux dernières sur l’ergonomie et les messages d’annonce avant et après la redirection vers la page sécurisée de la banque, nous avons obtenu des résultats bien meilleurs sur notre taux de concrétisation des transactions 3D Secure.

  9. @manu Oui. Cependant, après un rapide passage sur votre site web, votre page de paiement telle qu’elle est intégrée et « designée » empêche à mon sens d’obtenir de meilleurs résultats de concrétisation sur les transactions 3DS.

    Les contraintes techniques de certaines passerelles de paiement sont un frein majeur à une intégration plus personnalisée et attractive pour l’acheteur.

    Je me tiens à votre disposition pour en discuter et éventuellement vous proposer une alternative.

  10. Quelque un à un retour d’expérience sur l’annulation de l’option « 3D secure » avec sa banque ?

    En matière de sécurisation CB, on parle toujours d’internet, mais les acteurs historique de la VAD continus de demander des numéros de CB à écrire sur des bons de commande papier à renvoyer par courrier et personne pour trouver ça « Not Secure » !

  11. Dans le cas du lancement de notre site avec paiement 3D secure, je constate très peu d’abandon sur la page de paiement. Mais il m’est arrivé d’avoir des clients au téléphone qui se plaignent de ne pas avoir réussi le paiement (en gros c’est de notre faute car son paiement est refusé).
    Dans un cas, la cliente n’avait pas fait les démarches nécessaire auprès de sa banque pour obtenir son code, donc la banque refusait tout paiement par internet via 3D secure. Au bilan, je l’ai fait payé par chèque et elle devait aller régler son problème avec sa banque.
    Après avoir hésité à le garder, je me suis dit qu’au final on était en avance sur ce sujet, et que les gros du secteur seront bien obligé d’y venir. Voila d’ailleurs le point faible de 3D secure, c’est de ne pas avoir « obligé » tous les e-commercants à utiliser cette protection. Cela créer une sorte de concurrence déloyale et surtout le client ne connait pas le 3D secure.

  12. Il est temps de créer la cérémonie des « Gérard du Ecommerce »… La Caisse d’Epargne peut postuler directement à la catégorie : « Gérard du système de paiement sécurisé avec un niveau de sécurité inférieur ou égal au quotient intellectuel d’une moule »

  13. Pour moi, il n’y a pas de débat sur l’objectif : 3D Secure est d’abord une opportunité pour les marchands de réduire la fraude (on parle bien d’un transfert du risque du marchand vers la banque) et deviendra de tout facon rapidement une obligation (PCI/DSS & co).

    Le problème est dans l’éducation des porteurs de cartes (nos clients), qui n’a pas été faite correctement par la très grande majorité des banques.

    Cette éducation est en cours d’une part parce que les clients sont de plus en plus confrontés à 3D Secure lors de leurs expériences d’achat en ligne, et surtout parce que les banques vont devoir déployer des systèmes d’authentification forte courant du 2eme semestre 2010. Ce déploiement devra forcement s’accompagner de l’éducation de leurs clients (comment utiliser le token, la grille de mot de passe, etc.).

    On est donc plus à mon sens sur la question : qd dois-je basculer sur 3D Secure ?
    – Si j’ai de gros paniers et/ou un taux de fraude important, je dois passer sur 3D Secure et éduquer moi même mes clients pour limiter la perte de transfo (bien travailler sa page paiement, faire un zoom via ses emailing, une petite video d’aide, etc.),
    – Si j’ai de petits paniers et/ou un taux de fraude faible, je peux encore attendre,
    – Si je suis entre les deux, je suis bien embêté 🙂

    Dernier point technique, la durée de validité d’une autorisation CB est de 6J. Elle est par contre de 3J avec 3D Secure. La Fevad milite pour qu’elle passe à 6J mais en attendant c’est à prendre en compte lorsque vous calculerez le rapport bénéfice / risque de la mise en place de 3D Secure.

  14. Moi j’essaie depuis quelques jours de payer des agesa (sur leur interface BNP) qui me demande la date de naissance du porteur de la carte… professionnelle (crédit mutuel).
    En essayant avec les dates des 2 détenteurs de signature, de la date de création de la société ou la date de création du compte ça ne marche pas…

    Bon, je ne me suis pas démonté, j’ai pris ma carte perso autre banque (bnp) qui s’avère avoir une « vérification par code SMS ». SMS ? Tiens c’est marrant ils l’ont envoyé sur le numéro de téléphone portable que je n’ai plus depuis 3 ans…

    3D se-« dans ton cul »-re

  15. @Sam : (on parle bien d’un transfert du risque du marchand vers la banque)

    C’est la ou est le véritable problème. Si réellement le risque était transféré sur la banque, il n’y aurait rien à contester en effet.
    Dans les faits le risque est transféré sur les porteurs de cartes.

    Et je ne suis pas d’accord avec la durée de validité du l’authentification 3DS, pour moi c’est 7jours :
    Avant octobre 2008, j’avais un débit automatique sur carte à 10j (en cas d’oubli car je débite manuellement à l’expédition).
    Après octobre 2008, mon contrat (CIC) a été revu à 7jours justement pour cause de validité 3DS. Et c’est grâce à cela, qu’en demandant un prélèvement à 9jours (pour des raisons de gestion fondées) que j’ai réussi à me passer du 3DS sur un autre site (contrat BanquePop cette fois ci), malgré toutes les mises en garde de l’ingénieur flux, et les remontrance des techniciens de chez Natexis qui voulaient tous me mettre à 7jours.

  16. Mauvaise foi (ou pas)

    3D Secure peut représenter un sacré avantage concurrentiel, notamment sur les boutiques où le client dépense beaucoup d’argent, pour être rassuré. (et là je rejoins le fait qu’il faut communiquer, exemple : « Nos concurrents n’ont pas 3D Secure, venez chez nous » ou « Chez nous, le paiement est VRAIMENT sécurisé »).

    Un client ne décalera pas son achat : le temps de mettre la main sur ses identifiants 3D Secure (le concept de la date de naissance est en effet une vaste blague), je ne pense pas qu’il achètera chez un concurrent en se disant « Eux m’ennuient moins, pas de code 3D Secure, je préfère perdre moins de temps tout en prenant des risques » (car vous lui aurez fait peur). Je pense encore moins qu’il se dira « Finalement je ne veux plus de ce produit, ça m’ennuie d’acheter en toute sécurité ».

    Enfin, sachez que nous n’avons pas terminé, chers Français, d’être rétrogrades et frileux : « En France, seuls 11% des paiements par carte bancaire sont réalisées en mode 3-D Secure, contre 65% en Belgique, 69% en Allemagne, 92% aux Pays-Bas et même 95% au Royaume-Uni »

    Source http://fr.newswiretoday.com/news/779/

    Le top aurait été de rendre obligatoire le 3D Secure.

  17. @Alban : ne pas confondre remise en banque et durée de validité de l’autorisation CB. L’autorisation 3D Secure est valable 3J et 6J pour une CB « normale ». Donc avec 3DS, tu es couvert 3J par la banque (transfert risque). Passé ce délais, tu es sur une non couverture standard. Faut donc vite faire les colis (sans parler des problématiques avec les livraisons à date qui dépassent les 3J…).

  18. 3D Secure ne résout en rien le problème de la fraude.
    Les fraudeurs se sont adaptés et se font déjà tourner des numéros CB avec le code 3D.

    Le moyen de lutter efficacement contre la fraude, c’est de la détecter bien évidemment, mais aussi et surtout de la traiter, sur le terrain de la répression judiciaire.
    SECUVAD est aujourd’hui la seule société à agir en ce sens.

    3D Secure n’est qu’un procédé supplémentaire d’authentification du moyen de paiement, pas du porteur !
    A terme 3D Secure sera assimilable, pour les cyber commerçants, à une assurance impayés… du moins sur les transactions éligibles !
    Certains Tiers de confiance proposent déjà ce genre d’assurance.
    Et honnêtement, connaissez-vous beaucoup d’assureurs qui assurent du mauvais risque ?… 😉

    Restant à l’entière disposition de tout commerçant pour discuter de ce sujet passionnant ou de tout autre sujet relatif à la fraude sur Internet, aux moyens de s’en prémunir et de recouvrir ses impayés,

    bien cordialement,

    Xavier BOUTEILLER
    Directeur Commercial SECUVAD
    Tél. : 06 61 11 37 37

    SECUVAD
    107 avenue Georges Clemenceau
    92000 NANTERRE
    Service commercial : 09 81 67 06 18
    Service technique : 04 67 13 01 57
    Service juridique : 0825 560 855

    http://www.secuvad.com
    La fraude à la carte
    Détection / Prévention / Répression / Recouvrement

  19. 3Ds reste une BONNE IDEE. Le système protège tout le monde : le banquier, le commerçant et le client victime d’un vol ou d’un phishing. Donc en théorie c’est censé arranger tout le monde et il ne devrait pas y avoir de débat là dessus. Seulement voilà, 3Ds a débarqué comme çà, du jour au lendemain, sans que personne n’en ai jamais entendu parler, premier point. Deuxième point, les banques en ont fait ce qu’elles voulaient (voir les exemples cités plus haut), on est arrivé à un joyeux bordel. Troisième point, et comme j’ai pu le lire plus haut, nous nous efforçons sur nos e-commerces de simplifier et réduire au maximum nos étapes de commandes, de n’y laisser que l’essentiel et de travailler au maximum l’ergonomie, et on nous claque une nouvelle étape, une redirection vers une page au design non homogène que l’on ne maîtrise pas contenant des explications auxquelles les clients ne comprennent rien.
    Dans le genre entrée ratée 3Ds en France a fait très très fort, et il est compréhensible que les e-commerçants n’en veulent pas ! A moins de repenser complètement le système, 3Ds n’est pas près d’être accepté.

  20. Et juste pour ajouter un petit peu d’huile où vous voulez, sachez que les sites pourvoyeurs de numéros de CB volés/générés/etc incluent de plus en plus l’information 3DS en plus des infos classiques de numéros, porteur, adresse, tél et date de naissance.
    3DS est donc déjà « périmé » pour les carders russes, maintenant qui paiera…? Banque ou client, mais plus les cyber-commerçants.

  21. @Matthieu
    Le nombre de bonnes idées qui ont fini de manière foireuses… on ne les compte plus. La dernière qui me vienne à l’esprit c’est de faire cavaler les gens en panne à 30 mètres de leur véhicule pour poser un triangle sur l’autoroute, j’aimerais bien connaître le nombre de victimes… le communisme aussi, belle idée au départ… au moins cinquante millions de morts… bref… on dira ce qu’on voudra : vouloir la sécurité absolue sur le web, c’est tout aussi stupide que de la réclamer dans la vie « réelle »

  22. L’idée de 3DS n’ait pas mauvaise en soit, mais son déploiement lui est catastrophique.

    Les banques auraient du se concerter pour trouver un système commun de vérification du propriétaire de la CB et surtout communiquer sur le 3DS.

    Système à revoir messieurs les banquiers….

  23. Perso, j’ai demandé à ma banque (credit mutuel) d’enlever 3D Secure.
    Ils me demandent 2 mois de CA Vad en dépot de garantie.
    Incroyable, mais vrai

  24. Bonjour,

    Je viens apporter mon témoignage d’outre Quiévrain.

    J’ai l’impression que tous les problèmes que vous rencontrez en France avec 3D-Secure vient d’un énorme problème d’information vis à vis de ses clients.

    J’utilise 3DS sur mon site depuis janvier 2006 et je peux vous faire d’un petit retour d’expérience en vitesse entre deux expéditions.

    En Belgique, les autorisations 3DS sont valables 2 semaines et non pas 2 ou 3 jours comme je l’ai lu plus haut. C’est un délai standard et non pas négocié.

    Les banques belges ont toutes fourni à leurs clients un « digi-pass », sorte de calculette moulinant un code public et un code privé fournissant un identifiant unique à chaque transaction. Les banques surtout communiquent énormément auprès de leurs clients que ce soit par courrier, sur les extraits de compte ou sur leurs sites internet.

    Apparemment en France les banques en sont restés à un code fixe et permanent ou à l’identification via la date de naissance (quel secret!!!!!!!!).

    Résultat des courses:

    Clients belges: moins de 1% d’abandon de payement.
    Clients français: 40% d’abandon de payement.

    Conclusion, 3-DS est un très bon système de protection, mais si les banquiers français ne se bougent pas les fesses et n’informent pas leurs clients correctement, je pense que cette galère va encore durer longtemps.

  25. Bon… je suis donc le seul supporter de 3D 😉
    On l’a depuis des années sur l’étranger et depuis le liability shift (1er octobre 2008) sur les CB françaises.
    Aucune détérioration du taux de transfo et pourtant depuis un an et vu ce qui court sur le sujet, on surveille.
    100 % de garantie sur les cartes françaises et 0 impayés pour le commerçant, perso je trouve ça plutôt pas mal.

    Ce ne sont pas les banquiers qui ont inventé ce système, c’est VISA et MASTERCARD et de toute façon ces 2 organismes n’ont pas laissé le choix à la France qui soit dit en passant a été la dernière à le mettre en place…

    Bref, comme le dit Bertrand… conférence FEVAD sur le sujet en janvier (et c’est pas la première…)

  26. Le 3D Secure, c’est vraiment bien du coté des fraudes, je n’en ai clairement plus du tout! Par contre, avant, il n’y en avait pas tant que ça! Je préfère limite avoir des fraudes plutôt que faire baisser mon taux de transfo!

    Après avoir tenté avec la banque de l’enlever, ce qui m’a-t-on dit est impossible, j’ai tout simplement sur-informé mes clients en leurs parlant limite comme des enfants pour qu’ils comprennent bien quel code est a rentrer.

    Perso, sur internet, passé quelques minutes d’incompréhension, je laisse tomber et je vais chercher ailleurs. Si les banques n’informent pas leurs clients du « comment ca marche » les e-commerçants vont continuer a lutter…

    Bref pour moi : c’est clairement un fiasco! On met un système en place et on le dis a personne c’est se foutre du monde!

  27. Comme le signale Xavier de Secuvad (avec qui je ne suis aucune lié!), 3D c’ est juste une ‘assurance’, et encore… bonne chance pour vous faire rembourser certaines fraudes!

    Le souci est clair:
    – aucune communication/information des bques
    – aucune campagne ‘nationale’ style ‘Attention, le 01/01/10 tout le monde passe au 3D, renseignez-vous auprès de votre bque’
    – autant de système de vérifications que de banque! (chez HSBC, contrairement à ce que j’ ai lu plus haut, on m’ a demandé ma date de naissance, et gag, ils l’ ont pas accéptée!!)
    – donc confusion du consomateur qui a justement besoin de ça comme encouragement sur le net!

    Sinon, il y a en gros 2 types d’ e-commerçants: ceux à risque et ceux sans risque.
    On a la chance de n’ avoir jamais eu une seule fraude en 5 ans, pas même une tentative! Donc le 3D, ce sera sans nous!
    Pour les commerces à risque, là il faut voir votre baisse de tx de transfo. Ex, si vous perdez 20% de transfo, primo, vous allez enrichir vos concurrents non 3D, secundo, vous connaissez vos %age potentiel de fraude donc il vous suffit de faire le calcul. Seul bémol, on risque peut-être de voir une augmentation de fraude sur certains sites non 3D qui vendent des produit hautement ‘désirables’… Si je vendais de l’ électronique (Ecran plat, laptops, etc…) je réfléchirais tout de même bien avant! Pourquoi pas proposer une pop-up sur la page de paiement en expliquant ce qu’ est le 3D et en proposant une aide par téléphone?

  28. 3d secure, c’est une invention des banques pour les banques sans aucune concertation entre elles (informations différentes à communiquer selon la banque).

    Le 3d secure évite aux banques de faire fonctionner leurs assurances afin de rembourser les actes frauduleux…voici la réelle vocation du 3D secure

    Je viens de réaliser un site e-commerce pour un client c’est la catastrophe en terme de transformation le 3D secure.

    Le 3d secure est assimilé pour certains à du phishing ne comprenant pas pourquoi ils sont redirigés vers leur banque pensant ainsi qu’il y a tentative de détournement de compte.

  29. De notre côté, on propose 3D Secure depuis le lancement du site. Nous n’avons pour le moment pas eu d’abandon de transactions (que nous traçons). Néanmoins, je pense qu’il est nécessaire que tout le monde soit au même niveau et que les normes et standards bancaires soient appliqués à tout le monde de la même façon… Je pense que ce sera le meilleur moyen d’éduquer les utilisateurs…

  30. Le 3D Secure c’est comme la Grippe A, avant de décider s’il faut se faire vacciner ou non il faut avoir toutes les informations possibles. Et en la matière il est des acteurs hautement sérieux qui organisent des vraies conférences, notamment la FEVAD que je me permets de citer :

    « Le point sur 3Dsecure

    Pour la 1ère fois 2 changements majeurs sont évoqués pour favoriser le développement de 3Dsecure. Pour vous aider à mieux comprendre tous les enjeux de 3D Secure, nous allons organiser une session d’information avec les dirigeants du GIE Cartes Bancaires le

    Mercredi 20 janvier – 15 h

    Cette réunion a pour objectif de répondre à toutes les questions que vous posez en tant que e-commerçants. Elle permettra également de faire part de vos attentes /retours d’expérience par rapport au 3Dsecure.

    Avec la participation de Jean-Marc BORNET,
    Administrateur Groupement des Cartes Bancaires « CB »

    Nous comptons sur vous pour être présent ou pour mandater un représentant de votre entreprise à cette réunion.

    * Le point sur la mise en oeuvre de 3Dsecure
    * Le point de vue des acteurs
    * Les perspectives 2010″

    Toutes les infos doivent-être dispo sur http://www.fevad.com

    Enjoy !

  31. Le CIC nous a passé sous 3D Secure, sans nous en informer, et nous n’avons plus la possibilité d’y échapper.
    Comme évoqué plus haut, le souci est l’information du client qui ne comprend pas ce système. La difficulté pour nous est d’expliquer au client le fonctionnement du 3D Secure car chaque banque utilise une vérification différente.
    Connaissez vous un exemple de page expliquant clairement le 3D Secure au client ?
    J’ai créé une page sur notre site avant le passage sur l’écran de la banque, mais ce n’est pas terrible.
    Merci.

  32. Bonjour à tous,

    Décidément ce thème est un excellent pourvoyeur de commentaires, quelque soit la source…

    Nous avons 3Dsecure chez Bikeo depuis le début de l’année 2009. Certes il y a quelques soucis d’abandon, mais la plupart sont récupérés avec un peu de travail et de communication. 0 fraude ce qui est intéressant pour nous. Nous assurions auparavant nos commandes avec une solution très connue qui n’était pas toujours appréciée par nos clients. Le cout de cette assurance à plus que largement couvert nos pertes de transformation. Néanmoins, la progression du CA et du nombre de commande pour nous gomme cette perte pour cette année.

    Pour information néanmoins, les banques avancent à petits pas certes, mais avancent quant même. Code envoyé par SMS à la SG depuis peu lors du paiement en lieu et place de la date de naissance (cf http://simple.devue.org/1212/3dsecure-secure/), ce qui va être assez difficile à inclure dans les listings des hackers.

    Lorsque les petits (@Olivierb et les un peu moins) e-commerçants auront éduqué le marché, les gros iront probablement vers cette solution en s’en servant comme levier marketing et différenciateur pour les premiers à dégainer. Les banques proposerons alors toutes des outils beaucoup plus fiable d’authentification du porteur de la carte (terminal, SMS…)

    Attendons encore quelques mois (après les soldes par exemple) pour voir comment tout cela évolue.

    Bonne fin d’année, Alex.

  33. Salut,

    Je suis ecommercant pour une boutique de luxe, et apres une quantité INCROYABLE de pertes de tranformations des le lancement du 3D SECURE, je peux aujourd’hui (apres 6 mois) que cela fonctionne tres bien et que nous rencontrons a peine 2/5% de perte. Donc je suis peut etre le seul 🙂 mais 3D SECURE cela fonctionne bien 🙂

  34. Bonjour à tous,

    Pour moi le seul soucis du 3D Secure a été la non information des porteurs de CB par leur banque.
    Si la communication avait été bien faite à la base (comme pour la remise du code confidentiel à 4 chiffres), 3D Secure aurait été un succès… mais c’est aujourd’hui aux e-commerçants d’effectuer à 100% l’éducation des internautes ! Avec message en page de paiement + relance téléphonique + relance email, etc…

  35. Pour revenir à mon post du 2009-12-16 21:42
    Nous avons eu notre premier abandon de commande hier à cause de 3D Secure… On va appeler le client aujourd’hui pour essayer de rattraper le coup…

    A suivre

  36. Bonjour,

    Nous avons constaté un grand nombre de pertes de ventes depuis la mise en place de 3DS. Un volet de la discussion porte sur le fait que les banques françaises n’ont pas fait le travail de communication nécessaire auprès des détenteurs de cartes. D’autres évoquent aussi le fait que les banques n’utilisent pas toutes le même moyen d’authentification. Mais en fait, ce problème ne se pose pas à l’échelle française, ni même belge ou allemande. Lorsque vous commercez à l’international, ce qui est devenu une réalité pour de nombreux sites Internet comme le nôtre, il faut raisonner à l’échelle internationale. Et lorsque vous savez que de nombreux sites nord-américains ne vous demande pas même le cvv pour effectuer une transaction, imaginez la réaction de l’internaute américain auquel on demande le cvv puis sa date de naissance? Au Canada, une employée de banque m’a même dit un jour qu’il ne fallait jamais donner son cvv à qui que ce soit, et encore moins sur Internet ! Et croyez moi, la rumeur ne s’arrête pas à cette seule employée de banque.
    Après avoir essuyé un trop grand nombre d’abandons de transactions, nous avons finalement pris la décision de demander la levée de 3DS. Après tout, il n’y a pas de raison pour que nous perdions des transactions alors que les gros sites ne sont pas obligés de lever 3DS.
    Pourtant, malgré nos demandes répétées, notre banque n’a toujours pas répondu à nos différentes demandes. Quelqu’un pourrait-il me confirmer qu’il est parvenu à lever l’option 3DS sur une page Cyberplus (Banques Populaires)?

  37. Je n’ai pas d’expérience avec Cyberplus, mais pour Mercanet (BNP) il nous a fallu 2 semaines environ, en appelant régulièrement et en demandant directement au banquier de faire pression sur la cellule Mercanet (qui ensuite fait la demande a Atos)… Les procédures restent assez longues et confuses, contraignantes pour le commerçant. Je ne serais que conseiller le recommandé… 3Ds reste une option.

    Pour la Fevad, « 3D Secure jouera à court terme son rôle de rassurance auprès des cyberacheteurs… tout en aidant les organismes bancaires à assumer leurs nouvelles responsabilités vis-à-vis des e-commerçants », « (…) nombreux commerçants ont préféré reporter après les fêtes de fin d’année la mise en oeuvre de 3D Secure sur leurs sites ».
    Mon opinion : les commerçants demandent dans la majorité des cas le retrait de 3Ds, et absolument aucun (j’en suis convaincu) ne demandera sa réactivation. La solution est vouée à l’échec. Elle a réussi à provoquer un capharnaüm monumental, ne rassure personne et emmerde tout le monde.

  38. Perdu 45 minutes hier à essayer de réaliser un paiement en ligne pour ma société.
    Au Crédit Mutuel, par défaut, tout ne semble pas activé pour les cartes de crédit professionnels étant donné qu’une personne morale (carte CB de la SARL) n’est pas une personne physique et donc ça coince.
    De plus, la procédure d’authentification pour un titulaire d’un compte au Crédit mutuel est très lourde. Identifiant à 15 chiffres et code dans un tableau.
    Bref… Heureusement que certains commerçants en ligne proposent des alternatives tels que paypal ou autres banques n’ayant pas encore souscrites à 3D secure.

    En tant qu’utilisateur ayant déjà réalisé au moins 300 achats par le net, j’ai du mal à adhérer.
    En tant que Webmaster créant des sites de vente en ligne, je suis frileux d’imposer un système contraignant aux acheteurs et qui fera perdre des ventes aux acheteurs.

  39. Sécuriser davantage les transactions est à mon sens une bonne chose.
    Et dieu merci mettre son numéro de CB sur un site marchand devient de plus en plus banal et ne fait plus peur.
    Mais le manque de communication sur 3D secure est total…pour l’internaute comme pour le e-commerçant.
    A chaque ouverture d’un nouveau compte VAD, 3DS est en général mis en place par défaut.

    Ce qui est à mon avis un non sens c’est que le process de paiement peut être différent selon les banques.
    Si vous avez 2 cartes dans 2 banques = 2 process différents possibles.
    On peut soit vous demander votre date de naissance (absurde et dérisoire en terme de sécurité)
    Ou bien une grille de Sudoku à compléter !
    Soit un code confidentiel que vous devez connaître (envoyé par courrier par votre banque)
    >> l’internaute machinalement inscrit son code CB de guichet…et BIM ça plante, ce n’est pas le bon…1X, 2 X et hop il s’en va (ce qui est normal) et vous perdez une vente.

    Je suis assez sceptique depuis le début sur ce nouveau système, et (pour le moment) je le déconseille à mes clients.
    Mais là j’en fais les frais à titre perso.

    J’ai commandé récemment sur un nouveau site web.
    Après avoir renseigné mes infos CB, le contrôle 3DS (environnement SocGen) me demanndé ma date de naissance (OK, classique de nos jours)
    Puis mon num de tel portable assortit d’une question secrète (le nom de ma mère, celui de mon chien, ou de mon plat préféré…au choix) qui me permettra plus tard de modifier ce num de tel.
    Le tout afin de recevoir un texto (3 à 4 min plus tard) contenant un code à 4 chiffres à saisir dans le formulaire final pour valider ma commande. (heureusement mon téléphone captait)

    Wouaw ! il me fallait vraiment ces produits !
    Et j’avoue avoir eu peur un instant de devoir envoyer un fax par la suite avec ma carte d’identité…je n’ai pas de fax chez moi 😉

    Résumons donc il faut :
    + son Num de CB,
    + le cryptogramme à 3 chiffres,
    + sa date de naissance (ou un code obscur),
    + le nom de sa mère,
    + son num de portable,
    + du réseau GSM,
    et bientôt l’âge du Capitaine !

    Résultat de ce process fastidieux : l’acheteur galère pour commander, va ailleurs (sur un site dont il connaît le process par exemple) et le taux de transfo chute inévitablement,
    A force de rajouter des étapes de vérification (légitimes?) l’acheteur lambda est perturbé et peut s’inquiéter sur ce nouveau process qu’il ne connaît pas et qui peut lui paraître comme du fishing = la méfiance s’installe ou plutôt revient car aucune communication claire et unanime n’est faite sur le sujet.

    Christophe

  40. bonjour,

    Je me permet d’apporter un éclairage nouveau sur le sujet 3D Secure:

    J’ai récemment interviewé Ogone à propos de 3D Secure. Il publieront une étude la semaine prochaine qui révèle que sur leur parc de clients, l’échec d’authentification 3D Secure est de 13,4% en France.

    je vous invite à consulter ce lien:
    http://www.ecommercewall.com/2010/03/paiement-en-ligne/ogone-3d-secure/

    je vous remercie et je vous souhaite une bonne continuation,

    PHT

  41. Merci pour ce lien.
    Les taux d’échecs « à l’authentification ».
    Mais est ce que ça dénombre ceux qui ne rentrent pas dans le système et qui annulent tout de suite ?

    Personnellement, vu la lourdeur de la procédure 3Dsecure (Crédit Mutuel pour ma part), je suis venu à privilégier les systèmes de paiement alternatifs tels que par exemple le paiement CB par Paypal.
    Paypal est certes moins convivial à l’affichage que le système d’une banque mais reste au final moins contraignant que 3Dsecure.

    Les ingénieurs ont réussi à nous « pondre » un système trop compliqué alors que la tendance générale de l’informatique va à la simplification.

    Eviter la fraude, c’est bien, mais je suis en colère car on a imposé le système aux boutiques sans consulter les utilisateurs, clients acheteurs et vendeurs.
    Bref… C’est un développement informatique d’un autre age… comme leur système 3Dsecure.

  42. Salut Olivier,
    L’étude Ogone à propos de 3D Secure devrait être publiée la semaine prochaine, on aura donc plus d’informations.
    je suis d’accord avec toi sur la complexité du système. Pourtant ce type de protocole semble plutôt bien fonctionner dans les autres pays européens…

    à bientôt,

  43. Foutaise que ces statistiques! Comme dit Olivier, les chiffres masqueront une dure réalité. Nous sommes actuellement en procédure contre notre banque. Celle-ci argue qu’il n’y a aucun échec dû à 3DS. En fait, c’est bien simple, elle ne prononce jamais le terme 3D Secure, comme s’il fallait éviter d’en parler. Elle évoque les codes d’échecs (nombre de tentatives dépassé, abandon, code erroné,…) en disant qu’il s’agissait sans doute de fraudes à la carte. Mais elle oublie d’évoquer la probabilité selon laquelle les porteurs ignorait le code et ont donc purement et simplement abandonné la transaction, que d’autres auront vainement tenté de taper des codes au hasard, etc. Et si je me fie au nombre grandissant de clients qui nous appellent en nous indiquant que la page de paiement leur demande un code qu’ils ne connaissent pas et qu’ils souhaiteraient poursuivre leur commande de façon plus traditionnelle (paiement à la livraison…), on comprend mieux la supercherie.
    Ne vous laissez pas berner par vos banques. Faites votre calcul.
    Même si vous ne perdez que 5% de vos transactions, n’oubliez pas qu’en moyenne, les bénéfices des entreprises françaises représentent 3 à 5% de leur CA… Si vous perdez ne serait-ce que 5% de vos ventes par la faute de votre banquier, c’est tout simplement inacceptable. Et si vous perdez de l’argent, dites vous bien que votre banquier ne vous fera aucun cadeau. Pourquoi donc lui en faire???

    Pour notre compte, et au risque de paraître ridicule à certains, nous avons selon nous perdu 10.000EUR au moins du fait de 3DS en 2009, ce qui représente le quart de notre bénéfice. J’imagine que pour certains, c’est une goutte d’eau, mais regardez comment la SG a réagi vis à vis de Kerviel lorsqu’elle a découvert qu’elle avait perdu le quart ou la moitié de ses bénéfices??? Pas pitié, ni même de moralité.

    Enfin, il ne faut pas perdre de vue qu’Ogone est juge et partie dans cette histoire. Quel crédit peut-on donc accorder à de tels chiffres???

  44. Vu le nombre de commentaires de ce billet, je vois que ce débat est un des plus épineux du ecommerce. Pourquoi tant de problèmes en France, alors que dans les autres pays ce système semble mieux accepté. Il serait intéressant d’avoir une analyse objective à ce sujet.

  45. Je ne connais que le système de ma banque, le Crédit Mutuel. Pas celui des autres banques.

    Dans tous les cas, une fois le n° de carte de crédit saisi, il faut encore
    – saisir les 12 chiffres du compte en banque = sortir le classeur et trouver le bon n°
    – puis saisir le mot de passe de son accès cybermuth qu’on utilise jamais car il est sauvegardé dans le navigateur.
    – enfin si ça a marché, on reçoit une épreuve colonne/ligne (B5 par exemple) et on doit en donner le résultat.

    Je serais curieux de connaître le fonctionnement de 3DSecure des autres banques française.

    Pourquoi après une saisie d’un n° de carte de crédit qui permet d’identifier son propriétaire auprès de la banque, n’y a-t-il pas l’épreuve directement ? Un SecureID de RSA par exemple ou l’épreuve classique de notre petit carton…

    Pourquoi faire si compliqué ?
    A quand la participation d’une banque à ce blog ? 🙂

  46. Bonjour,

    Je me permet de copier / coller un commentaire du responsable d’Ogone France sur votre site pour éclairer ce débat:

    D’après le GIE CB, au 20 janvier 2010, 17334 marchands étaient 3D-Secure sur 39598 recensés, soit 43,8 %.
    Ce qui représente 10,22 % en nombre et 15,13 % en valeur des transactions (autorisations réalisées par des commerçants CB avec des cartes CB, Visa ou MasterCard).

    Sachez que vous avez aussi plus d’informations sur le site d’Ogone:
    http://www.ogone.com/ncol/web_homepage2.asp?ACountry=FR

    A très bientôt,

    PHT

  47. Information très intéressante PHT. SI je compte bien, cela signifie très clairement que l’on fait supporter aux petits sites la charge du déploiement de 3DS car près de 45% des commerçants ne pesant que 10-15% des transactions ne peuvent qu’être de petits commerçants.
    Merci les banques. Les riches seront toujours plus riches !

    Au fait, j’ai beau cherché sur le site d’Ogone, je ne trouve pas la trace de cette étude. Peux-tu me dire où tu as trouvé cette étude plus précisément pour que je puisse la consulter dans son intégralité?

    Merci de ta coopération

    Alex

  48. Information très intéressante PHT. SI je compte bien, cela signifie très clairement que l’on fait supporter aux petits sites la charge du déploiement de 3DS car près de 45% des commerçants ne pesant que 10-15% des transactions ne peuvent qu’être de petits commerçants.
    Merci les banques. Les riches seront toujours plus riches !

    Au fait, j’ai beau chercher sur le site d’Ogone, je ne trouve pas la trace de cette étude. Peux-tu me dire où tu as trouvé cette étude plus précisément pour que je puisse la consulter dans son intégralité?

    Merci de ta coopération

    Alex

  49. Bonjour Alex,

    Il y a un lien sur la partie droite du site d’Ogone France « résultats de l’étude 3D Secure »
    Pour le moment c’est une synthèse, l’étude complète ne devrait pas tarder à arriver

    Concernant ton autre propos, je crois que lorsqu’une transaction échoue, le client, l’e-commerçant et la banque sont perdants, personne ne s’enrichit.

    merci,

    A bientôt
    PHT

  50. En fait, ce que je veux dire en disant que les riches sont toujours plus riches, c’est que l’implantation de 3DS n’a pas été imposée aux gros sites (c’est ce que prouvent les stats du GIE puisque les 45% de commerçant concernés pas 3DS ne pèsent que 10 à 15% des ventes réalisées sur le net. Les gros sites ne sont donc pas touchés par les échecs qui découlent de l’implantation de 3DS et continuent à s’enrichir au détriment des petits qui supportent l’implantation de 3DS et les échecs qui en découlent inévitablement. Et il faut comprendre que lorsqu’un client échoue sur un site, il va dans de nombreux cas acheter son produit chez un site concurrent qui lui n’est pas doté de 3DS…qui statistiquement, a plus de chance d’être un gros site (cf les statistiques du GIE CB).
    Moralité, les gros sites deviennent toujours plus gros. cqfd 🙂

  51. Chez PAYBOX, 3Dsecure reste un service à activer et/ou désactiver à la demande, rien n’est donc irréversible.

    Il est également possible de mixer « paiements avec 3DS » et « paiements sans 3DS » en fonction du niveau de risque détecté et de la connaissance du client.

    Nous indiquons très clairement si le paiement est 3DS ou NON ainsi que le niveau de garantie de la transaction.

    D’ici quelques semaines, nous allons rendre disponible au sein de l’accès back-office un onglet statistique dédié à l’analyse des abandons :
    – Au moment de la saisie des éléments de la carte
    – Au moment critique de la phase d’authentification 3DS.

    Il sera également possible de prendre contact avec les acheteurs ayant abandonné en leur adressant par exemple un email d’information et de réassurance, afin de transformer cette fois-ci sa tentative d’achat.

    A votre dispo pour plus d’infos.

  52. J’ai en effet constaté que chez certains très gros vendeurs, le 3Dsecure n’est pas activé. C’est que du bonheur.
    Je pense que ça pu être négocié avec leur banque…
    De mon coté, vendant uniquement des services, j’ai contacté ma banque, il y a 15 jours, afin de savoir si je pouvais désactiver le système… Pas de réponse.
    Je les ai contacté suite à l’envoi d’un chèque d’un client accompagné d’une lettre d’une page indiquant qu’au moment du paiement, ça lui demandait des codes et qu’il n’a rien compris…
    Un de plus…

  53. Bonjour !
    3DS et transfert de responsabilité ?!
    Client Cybermut et 3DS depuis le lancement de notre site (il y a presque 2 ans), nous avons également très vite constaté des abandons et des échecs importants. Nous avons ainsi contacté notre banque, qui nous a « fait craindre le pire en cas d’impayé » en nous avertissant que les fraudes seraient à notre charge, si nous renoncions à 3DS. Proposant des alternatives sur notre site (Paypal, virements bancaires et chèques), nous avons ainsi préféré conserver cette option 3DS (en la posant en second plan après Paypal), tout en informant largement – en amont – nos clients.
    Aujourd’hui, nous apprenons qu’un de nos clients, ayant passé plusieurs commandes dans le même mois, était en fait un fraudeur. 2 transactions nous ont ainsi été re-débitées, malgré le fait qu’elles aient été validées 3DS et ainsi doublement « garanties » par le système (voyants au vert sur l’interface en BO Cybermut + numéros d’autorisation valides) – Ce client étant localisé en Algérie, nous avons tout de même, à l’époque des commandes, pris la précaution d’appeler la hotline Cybermut, qui a confirmé mordicus que « si vous avez une autorisation, avec 3DS, vous ne courrez aucun risque d’impayé ». FAUX ! du-moins, c’est aujourd’hui la réponse du service anti-fraude Crédit Mutuel qui a fait procéder au débit de ces 2 montants sur notre compte (avec une date de valeur rétroactive, càd, valeur à date des paiements) FAUX ? oui. Voici leur argument : comme les cartes utilisées pour ces commandes sont des cartes commerciales, le transfert de responsabilité ne se fait pas. C’est pour notre pomme. Il s’agirait d’une exception. Exception que nous découvrons évidemment…
    Se pose un double problème : le système ne donne pas ce type d’informations – il est déjà impossible de connaître le nom du porteur de la carte, et ainsi de faire un rapprochement avec le nom de l’acquéreur, ce qui dans notre cas précis nous aurait alerté – le payeur et l’acheteur sont différents – Alors, il est donc également tout à fait impossible de savoir si la carte utilisée est une carte commerciale, et donc si l’exception est engagée.
    Second problème : voyants au vert, numéro d’autorisation dûment validés, avec ça on devrait être tranquille. Et bien il semblerait que non !!! Alors que penser de ce système cybermut-3DS, présenté comme sécurisé et sûr, qui ne sait même pas signaler au marchand qu’un paiement est potentiellement risqué, et qui, pire encore, ne signale pas que cette carte est une carte commerciale, et que donc, en cas de problème, le paiement ne sera pas garantis, car pas de transfert de responsabilité ? Que penser d’un « système bancaire » qui valide sans aucune alerte ou nuance dans son analyse (c’est vert & on a un numéro d’autorisation, je le rappelle…) une carte et son paiement, et qui finalement n’accepte pas le transfert de responsabilité ? Pourquoi une carte non sécurisée (c’est le service anti-fraudes qui me l’affirme : c’est une carte canadienne, et non 3DS) passe-t-elle le cap du 3DS et de l’autorisation ? Nous donnant pleinement confiance dans cette transaction, que nous livrons, pour nous voir débités quelques semaines plus tard ?
    Aujourd’hui encore, lorsque l’un de nos clients effectue un paiement important et utilise 3DS, nous ne savons pas s’il y a un risque, et si ce risque est pour nous… C’est aberrant, et à mon avis malhonnête.
    Que pensez-vous de cette situation ? Avez-vous déjà rencontré cette situation ?
    Notre banque – évidemment – ne compte pas nous re-créditer. Pensez-vous que ce soit légal ? D’autant que le service anti-fraudes avait déjà enregistré des contestations pour ce même client, pour des commandes passées chez nous… mais nous n’en savions rien !! (comme il s’agissait de cartes « privées », le transfert de responsabilité opérait bien dans ce cas, et ils n’ont pas jugé utile de nous en avertir. lamentable…) Si nous avions eu connaissance de ces incidents, nous aurions évidemment stoppé les dernières livraisons…
    C’est incroyable, mais vrai.

  54. Merci Fabrice pour ton témoignage qui illustre malheureusement mon précédent post :

    « A terme 3D Secure sera assimilable, pour les cyber commerçants, à une assurance impayés… du moins sur les transactions éligibles ! (..)
    Et honnêtement, connaissez-vous beaucoup d’assureurs qui assurent du mauvais risque ?… 😉 »

    A noter que pour financer le coût du risque du transfert de responsabilité, les banques ont généreusement augmenté leurs tarifs monétiques de façon assez honteuse. Si sur le papier cette augmentation des tarifs était prévisible, on voit bien qu’en pratique 3DS est en fait une assurance, qui sera peu activée, si bien qu’au final ce nouveau système, qui aurait dû couter cher aux banques, va potentiellement leur rapporter un maximum…

    Restant à l’entière disposition de tout commerçant pour discuter de ce sujet passionnant ou de tout autre sujet relatif à la fraude sur Internet, aux moyens de s’en prémunir et de recouvrir ses impayés,

    bien cordialement,

    Xavier BOUTEILLER
    Directeur Commercial SECUVAD
    Tél. : 06 61 11 37 37

    SECUVAD
    107 avenue Georges Clemenceau
    92000 NANTERRE
    Service commercial : 09 81 67 06 18
    Service technique : 04 67 13 01 57
    Service juridique : 0825 560 855

    http://www.secuvad.com
    La fraude à la carte
    Détection / Prévention / Répression / Recouvrement

  55. Salut Fabrice,

    Ta mésaventure ne m’étonne guère. Comme je l’ai indiqué plus haut, j’ai pris la décision de poursuivre notre banque. L’assignation pour une demande d’expertise en référé a déjà été délivrée et après 1 demande de renvoi de la banque, les hostilités démarrent concrètement dans une dizaine de jours. Accepterais-tu d’en discuter avec moi hors forum?

    Pour me contacter, il te suffit d’aller sur la page « contact » ou la page « suggestions » de mon site http://www.wamkey.com.

  56. Bonjour tout le monde.

    Les hostilités sont lancées. Après une première instance favorable qui, malgré l’acharnement de notre banque, a ordonné la désignation d’un expert pour étudier notre cas, nous voici au pied du mur. Un premier rdv avec l’expert et la partie adverse a eu lieu ce jour. Nous avons besoin désormais d’éléments prouvant que tous les sites n’ont pas été logés à la même enseigne durant ces 2 dernières années. Plus particulièrement, nous avons besoin de connaître des sites Internet qui fonctionnaient avec Cyberplus paiement (Banques Populaires) et qui ont pu obtenir la suppression de l’option 3DS. Si vous êtes dans ce cas, vous serait-il possible de me contacter directement au travers du lien de contact sur mon site: http://www.wamkey.com

    Merci d’avance de votre aide.

  57. Hello Alex !
    Désolé de revenir aussi tardivement… J’en avais oublié ce post. Mais pas le problème 🙂
    Si tu veux me contacter, no problem…
    Jettes un mail sur http://www.my-deco-shop.com rubrique contact (webmaster par exemple)
    Je pense qu’entre e.commerçants honnêtes, on doit pouvoir s’échanger des infos utiles. D’ailleurs, ça m’étonne qu’il n’y ait pas déjà une association qui se soit montée pour « régler » voire « accorder » certaines choses avec ces toutes puissantes banques qui vous tiennent par les c…
    Ou alors, si elle existe déjà, je suis intéressé, dans tous les sens du terme.
    Tu nous tiens au courant pour ton affaire, Alex ? bonne chance en tous cas. La nomination d’un expert semble effectivement être de bon augure.
    Comme évoqué précédemment, je ne suis pas à la BP, donc je ne pourrais t’être utile pour cette question précise. Mais je suis certain qu’en cherchant sur le web, tu vas en trouver quelques uns. Ça me semble évident que certains ont pu virer l’option en signant une décharge, évidemment…

  58. 3DS n’est pas un problème, c’est bien une façon de protéger le porteur de la carte contre l’usage frauduleux de sa CB.
    Les problèmes liés à l’usage du 3DS sont:
    1) Les banques qui ne veulent pas faciliter la mise en oeuvre de 3DS car le problème d’un paiement est reporté sur la carte de leurs clients et non pas du commerçant.
    2) Des mises en oeuvres trop peu « secure », une date ou tout autre info triviale. Il faut des méthodes fortes telle un code à durée de vie réduite reçu par téléphone.
    3) Les banque n’offre ni le support de mise en oeuvre ni se méthode automatisé simple pour permettre à leurs clients de modifier le n° de téléphone recevant le code. Que se passe-t-il si je voyage à l’étranger et que j’utilise un téléphone pro et non mon téléphone perso… Plu de paiement sur Internet!
    Si mon téléphone est volé avec ma carte, celui-ci peut payer en 3DS et le porteur est responsable! Car il est alors difficile de contacter le service d’opposition sans téléphone…
    Bref de nombreux problème de mise en oeuvre et de gestion.

    Pour autant le principe rest très louable.

  59. Bonsoir,

    Je suis un peu dépassé par le 3DS … faut-il le conserver ou pas.
    Ma société (située en Belgique) dépasse le million en chiffre d’affaire annuel sur le web avec presque 65% de vente sur la France dont une majorité par CB. Je remarque en effet beaucoup de plaintes depuis que nous utilisons 3D-SECURE (depuis près de 2 ans) … mais les choses vont sensiblement en s’améliorant, on dirait que certains s’habituent. Je viens de faire un relevé des ventes de décembre et nous avons 12% d’abandon de panier (en enlevant les suspicions de fraude je redescends à presque 8%) … ce qui reste non négligeable !

    Ce qui est dingue est que le seul pays où nous rencontrons ce pays est la France … pour info, voici comment çà se passe en Belgique. Tout le monde ici a ce qu’on appelle un digipass, un petit appareil dans lequel on glisse sa CB et qui permet de générer une signature électronique (une série de chiffres). Nous l’utilisons depuis plus de 10 ans (c’est automatique, toutes les banques en délivrent et çà ne coûte presque rien) pour accéder à notre compte bancaire en ligne (c’est une habitude ici la majorité des gens gèrent et paient leur factures sur la partie on-liene de leur banque). Un jour le 3D-SECURE est apparu, on ne nous avait rien dit … et bien pas de soucis, un joli écran nous indique qu’il faut prendre sa CB, son digipass, mettre la carte dedans, tapez notre mot de passe sur la digipass, taper le code que nous donne le site marchand et on obtient un code en retour par la digipass pour valider le paiement. Et oui, c’est aussi simple que çà, 100% intuitif, tout le monde trouve çà génial et çà ne pose aucun problème (et si vous perdez votre digipass, allez à la banque, en 15 minutes on neutralise l’ancienne et vous recevez une nouvelle).

    Bref tout çà pour vous dire que pour moi le problème ne vient pas de 3D-SECURE mais du fait que les banques ne communiquent pas du tout avec leurs clients (certains agents bancaires ne sont toujours pas informés du système 3D-SECURE) et ces derniers tombent des nues quand on leur envoie un code sur leur portable qu’ils n’ont plus depuis 2 ans ou qu’on leur demande de prendre un code sur une grille de codes qu’ils ont reçues il y a trois ans et qu’ils ont jetée ne sachant pas à quoi çà servait.

    Ce qui est dingue est qu’on peut admettre un délais d’adaptation … mais là, face au mutisme des banques françaises, je me pose des questions … ce serait tellement simple d’envoyer un courrier à chaque client, d’ajouter des panneaux informatifs dans les agences, sur les pubs, sur le site des banques, … mais bon qui suis-je pour conseiller les banques.

    J’espère que ce problème s’arrangera car oui les eCommerçants ont besoin d’un système de sécurité car la fraude n’est pas toujours détectable (et il suffit d’une bonne grosse fraude pour le sentir bien passer), mais non les utilisateurs ne devraient pas avoir un diplôme BAC+7 pour comprendre le fonctionnement d’un système de sécurité et l’utiliser … il doit être sécurisant et I N T U I T I F !!!!

    Bon courage à tous mes eCollègues,
    Fabian

  60. Bonsoir,

    Tout à fait d’accord avec Fabian. Je suis mais aussi établi en Belgique avec une boutique en ligne tournant depuis ~10 ans. Chez nos clients Belges, le taux d’échec de payement suite à identification 3DS est proche de zéro depuis le début de l’introduction de la 3DS. Il faut dire que les banques ont fait un énorme effort d’information depuis le début.
    En France par contre sur le dernier mois il est de 25%. Mais, enfin on dirait que la civilisation commence à arriver, il y a un an le taux d’échec était de 50%.
    Petite anecdote pour expliquer le niveau des banques françaises: comme beaucoup de commerçants frontaliers, je possède également un compte professionnel dans une banque française. Un jour en travaillant sur des opérations en ligne, j’ai été bloqué dans mes opérations et dans l’obligation de renseigner un numéro de portable pour pouvoir continuer à travailler sur mes comptes. Petit problème, le site n’acceptait que les numéros de gsm commençant par 06 c’est à dire uniquement un numéro de GSm français que je ne possède bien évidemment pas.
    J’ai donc du renseigner une numéro bidon commençant par 06 et là j’ai pu continuer à travailler sans problème.
    Résultat des courses:
    – je ne peux pas utiliser mon compte professionnel français sur internet puisque le code atterrira je ne sais où
    – je ne peux qu’espérer que ma banque n’enverra pas d’info importante sur ce numéro.

    Mon agence contactée, m’a indiqué qu’il n’était pas possible d’encoder un numéro autre que français (vive l’Europe) et que si je faisais supprimer le numéro indiqué, je ne pouvais plus utiliser mon compte en ligne.

    CONCLUSION: QUESTION SECURITE ET INFORMATION A LA CLIENTELE LES BANQUES FRANCAISES EN SONT ENCORE AU WEB 0.1 ET A LA NOTRE TRIPLE Z.

    P.S. Certaines banques françaises en sont encore à demander la date de naissance comme confirmation d’ identification. Vous avez dit sécurité?

  61. plus rien ne m’étonne … mais le pire c’est que je suis n Belgique affilié à la BNP Paribas qui est française maintenant ;o)

    Je pense que la solution est d’ouvrir une banque de notre petit Royaume en France, plus personne n’aura de problème avec le 3D-SECURE ;o)

    Bonne soirée,
    Fabian

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Merci de taper les caractères de l'image Captcha dans le champ

Merci de saisir ces caractères dans le champ
ci-dessous afin de valider votre commentaire.

Capitaine

Article de : Capitaine

Olivier Sauvage est le fondateur de Capitaine-commerce.com et de Wexperience, agence spécialisée en expérience utilisateur digitale.