26.3.12

Le 3D Secure est-il l'ennemi du e-commerçant ?

Vaut-il mieux gérer 1% de commandes frauduleuses ou perdre 15% de commandes à cause du 3D Secure ? En somme le débat pourrait s’arrêter la : un e-commerçant doit-il vraiment choisir entre subir des commandes frauduleuses ou subir une perte plus ou moins importante de commande car les clients abandonnent leur paiement en arrivant sur une page d’authentification 3DS ?


A y regarder de plus près le débat semble bien complexe que cela.  Petit rappel avant de rentrer dans le vif du sujet (source : Wikipédia) : 3-D Secure est un protocole sécurisé de paiement sur Internet. Déployé sous les appellations commerciales Verified By Visa et MasterCard SecureCode, 3-D Secure a été développé par Visa et Mastercard pour permettre aux marchands de limiter les risques de fraude sur Internet, liés aux tentatives d’usurpation d’identité. Il consiste à s’assurer, lors de chaque paiement en ligne, que la carte est bien utilisée par son titulaire. Dans ce cas où, à la fois le commerçant et la banque du porteur de la carte sont équipés, une étape supplémentaire a lieu au moment du paiement. En plus du numéro de carte bancaire, de la date d'expiration de la carte et des trois chiffres du code de sécurité (imprimés au dos de la carte), l’internaute doit saisir un mot de passe, tel que sa date de naissance (authentification simple) ou un code dynamique à usage unique (authentification forte). Jusque-là tout va bien….


Mais les banques (françaises) n’ont rien trouvé de mieux que de ne pas s’entendre sur le mode d’authentification pour ne proposer à tous les porteurs de Carte Bancaire qu’une seule et unique solution (comme cela est le cas pour l’usage d’e-carte bleue par exemple).  Tenez-vous bien, selon la banque émettrice de la carte, les modalités d'authentification varient (source Wikipédia) :
  • Crédit mutuel et CIC ; le client doit au choix, soit indiquer l'un des codes inscrits sur sa « carte de clés personnelles » (une grille de 64 codes à 4 chiffres dans laquelle il faut piocher le bon code en fonction de la ligne et de la colonne demandée par le site web) et un code reçu par e-mail à l'adresse liée à son compte bancaire, soit indiquer un code reçu par SMS sur le n° de téléphone associé à son compte bancaire ;
  • Axa Banque ; un code unique est envoyé par SMS
  • Caisse d'épargne ; un code est envoyé par SMS ;
  • HSBC ; le client doit indiquer sa date de naissance ; depuis juin 2010 un code est envoyé par SMS1 ;
  • BNP Paribas ; le client doit indiquer sa date de naissance ; depuis juillet 2009 un code est envoyé par SMS2 ;
  • Société générale et Boursorama ; le client doit indiquer sa date de naissance, depuis septembre 2009 un code est envoyé par SMS ;
  • Crédit agricole (dont LCL) ; depuis 2010, un code est envoyé par SMS, à défaut le client doit indiquer un mot de passe personnel crée lors de la première utilisation ;
  • BRED Banque populaire ; une clé d'authentification Ipab, clé cryptographique format clé USB ;
  • Groupama Banque ; le client doit indiquer son nom, le code postal de sa résidence et sa date de naissance ;
  • La Banque postale ; un code est envoyé par SMS ou une possibilité d'indiquer les quatre premiers chiffres de son numéro de contrat ;
  • Crédit coopératif ; un code est généré sur le "lecteur sésame" déverrouillé par l'insertion de la carte bleue du porteur et la saisie du code PIN de la carte4 ;
  • ING Direct ; un code est envoyé par SMS.

Comme vous pouvez l’imaginer, pour le consommateur, c’est clairement la jungle et cela ne favorise pas le développement d’une solution qui devait initialement sécuriser les acheteurs en ligne. Entre les SMS, les grilles de chiffres façon bataille navale et les lecteurs type calculette, autant dire que cela ne donne pas forcément envie de finaliser sa transaction en ligne. Et ça, les e-commerçants l’ont bien compris…

Aujourd’hui, il est relativement rare de croiser un paiement 3D Secure sur un site de grande ampleur voir sur le Top 50 des sites de la FEVAD par exemple. Il est cependant plus courant de payer en 3D Secure sur un plus petit site, pour qui subir des commandes frauduleuses peut être fatal ! Même si l’authentification 3D Secure devrait être obligatoire pour tous les sites (en tout cas les banques aiment à le faire croire), dans les faits, le déploiement du 3D Secure prend du temps.  Les échecs de paiement liés au 3DS seraient de l’ordre de 13,4 % suivant une étude réalisée par Ogone en 2010. Or la fraude représente dans le pire des cas de l’ordre de 1% des commandes d’un site. Alors les e-commerçants ont fait leurs comptes et les banques ont inventé…le 3D Secure débrayable ! En insistant (lourdement ou pas suivant la taille du site e-commerce), la banque acquéreur peut donc désactiver le 3D Secure à la demande.

C’est donc au e-commerçant de choisir entre fraude et authentification forte…Mais à mon sens une autre voie est possible : le 3D Secure à la carte.

Le 3D Secure à la carte revient pour un site e-commerce à choisir pour chaque transaction d’activer ou pas l’authentification forte de l’acheteur en fonction de scénarios à définir suivant des critères qui pourraient être les suivants par exemple :
  • Est-ce que je connais déjà ce client ? Quelle est la récurrence d’achats ? Et oui, par définition, le fraudeur n’est pas quelqu’un de fidèle donc un site peut choisir d’effectuer une transaction 3DS s’il ne connait pas le client et éviter le filtre 3DS sur les transactions suivantes.
  • Quel est le montant de la commande ? Entre un site qui vend une sonnerie de téléphone à 1,99 € et un site qui vend du mobilier de jardin avec un panier à 2500 €, le risque n’est pas le même
  • Est-ce que toutes les informations liées à la commande sont cohérentes ? : coordonnées du client, adresse de livraison, adresse IP, pays d’origine de la carte bancaire….
Tout ceci nécessite effectivement un peu de développement de la part de l’e-commerçant et cela revient à mettre en place un scoring interne de fraude pour valider ou non le déclenchement de l’authentification par 3D Secure. L’autre solution serait de demander aux banques de s’unir pour améliorer l’ergonomie des solutions 3DS mais la…il va falloir attendre.

Dropgifts : comment mettre du 2.0 sur un concept déjà existant

Ce matin, dans le flux d'informations, je suis tombé sur cette news postée par TechCrunch France : Dropgifts invente la carte cadeau 2.0

Très friand de nouveauté sur le marché en raison de mes activités professionnelles (éditeur entre autres de la 1ere solution de cartes cadeaux 100% web nommée Sesamea), je me rend donc sur le site pour lire en détails ce que va apporter Dropgifts et surtout quelle est cette dimension 2.0 donnée à une carte cadeau.

Quelle ne fut pas ma surprise en me rendant compte que ce site présenté comme une vraie innovation est en fait un savant mélange de concepts déjà existants : prenez les cartes cadeaux Sesamea et le système de cagnotte Bankeez, secouez fort...voici Dropgifts.

Je ne comprends pas comment peut-on mettre encore du 2.0 sur un concept web (je pensais que le 2.0 était mort depuis quelques années) et pourquoi le fait de proposer une inscription avec facebook connect est une révolution ? Si en effet, poster un message sur son mur facebook pour prévenir ses amis de "cagnotter" pour une carte cadeau est une révolution, alors je suis dépassé par les miracles de la technologie ;-)

Quel est votre avis sur le sujet ? Voyez vous ce nouveau site comme une vraie innovation ou un savant copycat de concepts existants ?

20.3.12

Axa Banque ouvre les données aux développeurs !

Incroyable ! Moins de deux mois après l'annonce retentissante de CAStore par le Crédit Agricole, qui constituait une première mondiale, Axa Banque dévoile à son tour une initiative en direction des développeurs d'applications, avec APIs (interfaces de programmation) d'accès aux données bancaires et concours, doté d'un prix de 50 000 euros.


A lire sur : C'est pas mon idée ! : Axa Banque ouvre les données aux développeurs !

Démonstration du Google Wallet