3D Secure v2

Vous avez tous certainement déjà entendu parlé du 3-D Secure ! Surtout si vous faites des achats sur internet puisqu’il est souvent utilisé pour sécuriser les transactions. Pour les autres, il s’agit du protocole permettant d’authentifier le porteur lors d’un paiement sur internet. Plusieurs mécanismes existent, mais le plus couramment rencontré est l’envoi d’un code à usage unique par SMS.

Plus récemment l’actualité a parlé de 3-D Secure 2.0, le successeur du 3-D Secure, qui semble suivre le même calendrier que la DSP 2. Dans cet article, nous rappellerons brièvement ce qu’est le 3-D Secure puis nous nous plongerons au cœur de la version 2.0.

Note 1 : même si actuellement 3-D Secure en est déjà sa version 2.2, nous parlerons de 3DS 2 pourur se concentrer sur les avancés majeures depuis la version 1.

Note 2 : Je ne suis pas historien et il se peut qu’il y ait quelques imprécisions sur les faits historiques. Si c’est le cas, merci de nous en faire part en commentaire, avec la référence :-).

Qu’est-ce que le 3-D Secure ?

Adopté en France depuis le 1er octobre 2008 et même imposé en juin 2010, par la Banque de France, à tous les sites marchands, le 3-D Secure a toujours été considéré comme le vilain petit canard de la monétique. Pour comprendre pourquoi, nous allons devoir voir pourquoi il a été créé, à quoi il sert, comment il fonctionne avant d’aborder ses faiblesses.

Contexte

Petit retour dans le passé pour comprendre d’où vient le 3-D Secure, ou 3DS pour les initiés. On est dans les années 2000, le feu protocole SET, mis en place pour contrer la fraude Card Not Present règne depuis presque 5 ans. Mais à cause de son coût et de sa complexité, il peine à être adopté massivement.

Parallèlement, la société Arcot Systems (aujourd’hui CA Technologies) a développé un protocole de sécurité répondant à la problématique, le 3DS. Ce dernier sera adopté :

  • en 2002 par Visa sous la marque de Verified By Visa ;
  • en 2003 par Mastercard sous la marque de SecureCode ;
  • en 2004 par JCB sous la marque de J/Secure ;
  • en 2010 par American Express sous la marque de SafeKey ;
  • en 2016 par Diner/Discover sous la marque de ProtectBuy ;
  • en 2017 par China UnionPay sous la marque de SecurePlus.

À quoi ça sert ?

Pour payer sur Internet, les protocoles de paiement, basés sur la norme ISO 8583, prévoient que l’utilisateur saisisse son numéro de carte bancaire, la date d’expiration et le cryptogramme visuel. Même si le but originel du cryptogramme visuel est censé prouver que l’initiateur du paiement est bien en possession de la carte, d’aucuns s’accorderont à dire qu’on fait mieux aujourd’hui en matière de sécurité.

3DS est donc un protocole monétique basé sur le format XML permettant d’authentifier le porteur lors d’un achat sur Internet. Par la suite, le 3DS a été repris par le consortium EMVco qui s’occupe désormais de la mise à jour des spécifications.

Contrairement à ce qui est dit, le 3DS n’est pas une mesure de protection du porteur, mais de l’accepteur. En effet, en cas de contestation pour un achat non autorisé, le porteur est protégé juridiquement et doit être remboursé ; sauf s’il est l’auteur du larcin. Le montant du litige est alors supporté par l’accepteur

En revanche, si le porteur valide l’opération, par exemple en prouvant son identité, il ne pourra plus prétendre au remboursement, laissant ainsi intact la trésorerie de l’accepteur. Dis autrement, si une carte enrôlée 3DS est volée, le fraudeur pourra toujours réaliser des achats sur des sites non compatibles 3DS, quand bien même ces derniers se fassent de plus en plus rare.

Comment ça marche ?

Une fois que le porteur a saisi son triplet (numéro de carte, date d’expiration, cryptogramme visuel) et validé l’achat, la demande d’autorisation est envoyée à l’accepteur. Son module 3DS envoie la transaction à l’annuaire d’enrôlement des cartes (Directory Server) correspondant au réseau sélectionné par le porteur ou le commerçant au moment du paiement, afin de vérifier l’éligibilité de la carte au programme 3DS. Le cas échéant, la page de paiement du porteur est redirigée vers la page de sa banque pour l’authentifier. Lorsque le porteur est authentifié, le paiement continue classiquement. La réponse à l’autorisation contient quelques informations sur le résultat du processus 3DS (porteur authentifié, …)

Note : le processus a été largement simplifié. Mais n’hésitez pas si vous souhaitez plus de détails.

Ses défauts

La redirection effectuée pour authentifier le porteur rompait le parcours utilisateur lors de son achat. D’autant que la promotion du produit n’a clairement pas été à la hauteur de l’enjeu. Aussi la redirection a-t-elle contribué à la baisse du taux de conversion du marchand. D’ailleurs certains marchands demandaient à la banque de désactiver le paiement 3DS pour tous les achats ou sous certaines conditions, endossant la responsabilité en cas de litiges.

Enfin, si le moyen d’authentification est laissé à l’appréciation de l’émetteur, la plupart a opté pour le code envoyé par SMS. Mais le SMS n’est plus considéré comme un média sécurisé. L’a-t-il seulement déjà été ?

Note : certains bons élèves proposent d’autres solutions plus sécuritaires comme la validation de l’opération sur une application de paiement après s’être authentifié.

3-D Secure v2

Malgré ses défauts, le 3DS aura vécu près de 2 décennies avant d’être rendu désuet par la 2ème Directive sur les Paiements. En effet, les normes techniques réglementaires (RTS) SCA imposent une authentification forte dans un certain nombre de cas, en prenant le soin d’interdire le code envoyé par SMS comme moyen d’authentification valide.

EMVCo a donc revu sa copie et a rectifié les erreurs de jeunesse du 3DS. La nouvelle mouture permet de :

  • ne pas authentifier le porteur pour les transactions dont le risque est faible
  • apporter de nouvelles méthodes d’authentification
  • améliorer le parcours client en assurant l’authentification au sein du site commerçant ou de l’application

Débrayage de l’authentification

La nouveauté du 3DS2 réside dans sa capacité à pouvoir débrayer l’authentification du porteur en fonction du contexte. En effet, le 3DS est composé de deux modes :

  • sans friction : pas d’authentification du porteur
  • challenge : authentification forte du porteur ou Strong Customer Authentication (SCA)

C’est à l’émetteur de choisir le mode de traitement de la transaction parmi les deux évoqués ci-dessus. Pour cela, il se base sur les données véhiculées à travers le protocole 3DS2. Nous retrouvons des données liées :

  • au paiement : numéro de carte, montant, adresse de livraison, etc.
  • à l’authentification du porteur sur le site du commerçant : date et heure, méthode, …
  • au marchand : 1ère commande ou non, score de l’analyse de risque réalisé par le commerçant, …
  • au compte client du porteur : date de création, date du dernier changement de mot de passe, …
  • à l’équipement du porteur : taille de l’écran, coordonnées GPS de l’équipement, …

Toutes ces données sont brassées par l’émetteur qui décidera s’il débraye ou non l’authentification du porteur. Les cas de débrayage autorisés sont explicités dans la DSP 2 :

  • les transactions inférieures à 30 euros
  • les transactions présentant un faible risque
  • les transactions récurrentes (sauf la 1ère)
  • les transactions vers des bénéficiaires de confiance

À noter qu’en plus des cas ci-dessus qui sont exempts d’authentification forte, la DSP 2 exclut également un certain nombre de cas de son champ d’application :

  • Commande par mail ou par téléphone (Mail Order / Telephone Order, plus connu sous le nom de MoTo)
  • L’émetteur ou l’acquéreur sont situés en dehors de l’Espace économique européen
  • Les cartes de paiement anonymes dont le montant ne dépasse pas 150 euros
  • Transactions à l’initiative du commerçant (remboursement par exemple)

Fonctionnellement la cinématique du 3DS2 ressemble au schéma ci-dessous :

Note : les échanges techniques n’ont pas été mis pour ne pas surcharger le schéma. Par ailleurs, un article dédié à 3DS2 et plus centré sur les messages tels que VEReq, PAReq, vous permettra de comprendre plus en détail les échanges entre les différents acteurs.

Nouvelles méthodes d’authentification

Le succès de la biométrie ces dernières années a permis l’émergence de nouvelles expérimentations (cartes biométriques, Talk to pay, …). 3DS2 ne fait pas exception et intègre de nouvelles méthodes d’authentification avec la biométrie en figure de proue. Il est également possible d’authentifier le porteur à travers l’application de la banque. Ces méthodes d’authentification sont autant d’alternatives pour endiguer l’envoi du code par SMS qui fait l’objet de faiblesses organisationnelles (SIM swapping, …) mais également techniques (SIM jacking, …).

Amélioration du parcours client

Rien de moins fluide que la redirection du porteur pour s’authentifier en plein achat. Le 3DS2 permet l’authentification dite “pop in“. Il s’agit d’une fenêtre apparaissant sur le dessus de la page, en lieu et place de la redirection. Cette fenêtre peut également s’adapter à la taille de l’écran puisque cette dernière fait partie des données envoyées à l’émetteur. Le code au sein de la fenêtre est chargé depuis le système d’authentification de l’émetteur. Mais du point de vue du porteur, tout se passe sur la page du commerçant. Il n’y a ainsi pas de rupture dans son parcours d’achat.

Les achats depuis les applications mobiles ne sont pas en reste. En effet, bon nombre de fournisseurs mettent à dispositions des kits de développement (SDK) pour que l’authentification soit intégrée à l’application mobile.

Litiges

Le commerçant peut également demander s’il souhaite ou non que le porteur soit authentifié. L’émetteur prendra le paramètre en compte lors de sa décision. Bien entendu, si l’authentification est débrayée conformément à la préférence du commerçant, il en endossera la responsabilité. À lui de voir à quel niveau il estime son taux d’abandon !

Mais si le commerçant n’indique rien, la responsabilité sera renversée et l’émetteur sera responsable de l’impayé.

* la règle applicable est présentée dans cette article.

Deadline

Le socle technique 3-D Secure v2 devrait être en place depuis le 14 septembre 2019, date d’application de l’authentification forte de la DSP 2, sonnant également le glas de l’authentification par SMS. Au vu du nombre d’acteurs dans l’incapacité de respecter la deadline, l’Autorité bancaire européenne (ABE) a autorité les autorités nationales à décider de la période de transition. Ainsi en France, la Banque de France a fixé au 31 décembre 2020 l’ultimatum.

Les limites

Si le 3DS2 présente de nombreux avantages, il faut constater que cela prendra encore un peu de temps pour qu’il soit généralisé. En effet, le passage sans accroc à 3DS2 nécessite des efforts coûteux (licences, agréments, …) et techniques (migration de protocole d’autorisation, enrôlement des cartes, …).

8 commentaires à propos de “3D Secure v2”

  1. Bonjour Kevin

    Très bon article.
    Il vaut mieux parler de “3-D Secure v2” ou “3-D Secure EMVCo”.

    Dans le paragraphe “Comment ça marche ?”
    – l’annuaire est appelé également “Directory Server”, ce mot parle beaucoup.
    – avec 3DS v2, l’annuaire utilisé(entre CB, Visa, MC) doit correspondre à la marque sélectionnée par le porteur ou le commerçant au moment du paiement

    Dans le paragraphe “Ses défauts”
    – les RTS SCA prévoient que les émetteurs équipent leurs porteurs d’une solution d’authentification forte (double facteur), l’OTP SMS tel qu’on le connait aujourd’hui devrait disparaître

    Dans le paragraphe “Débrayage de l’authentification”
    – dans “Transactions à l’initiative du commerçant ” cela inclus les cas où le porteur à donné un mandat au e-commerçant, comme pour débiter les échéances d’un abonnement par exemple
    – ce sont + les RTS SCA que la DSP2 qui précisent les modalités techniques
    -n’ait pas peur d’utiliser le mot “frictionless”

  2. Bonjour Kevin,
    Article très intéressant. Vous parlez d’échanges VEReq, PAReq sous votre diagramme illustratif. Un deuxième article pour rentrer plus en détail sur le 3DS2.0 serait une super idée pour initier des amateurs comme moi sur le sujet.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.