E-commerçants : faut-il avoir peur de 3DSecure ?

Nous évoquions dans notre dernier article l’opportunité pour un e-commerçant de proposer le paiement par carte bancaire via un contrat de vente à distance (VAD) auprès d’une banque, en plus des possibilités de paiement offertes par la plate-forme Paypal. Ce choix était surtout motivé par la nécessité d’optimiser ce fameux entonnoir de conversion (chemin parcouru par le visiteur sur le site pour arriver à la finalisation d’une commande) dont les effets sur le chiffre d’affaire n’est plus à démontrer. Cependant, nous n’avions pas abordé le 3DSecure, ce protocole de sécurité censé protéger l’e-commerçant de la fraude à la carte bancaire, mais dont l’impact sur le chiffre d’affaire pourrait remettre en cause la pertinence de sa mise en œuvre.

3DSecure, qu’est-ce donc ?

3Dsecure (3-Domain Secure) est un protocole de sécurité visant à limiter les risques de fraude lors d’une transaction bancaire sur un site e-commerce, notamment en assurant que la transaction est effectuée par le détenteur de la carte avec laquelle le paiement s’effectue. En d’autres termes, 3DSecure se propose d’apporter dans les transactions bancaires sur les sites marchands la sécurité et la garantie de l’identité du client qu’apporte le code secret dans les transactions bancaires classiques, en boutique physique ou aux guichets automatiques.

Dans une transaction bancaire en ligne classique, le processus de paiement par carte bancaire implique deux tiers : le client, porteur de la carte, et la banque de l’e-commerçant qui recevra le paiement. Dans une transaction 3DSecure, un troisième tiers s’y invite (d’où le 3D) : la banque du porteur de la carte, dont le rôle sera de garantir l’identité de ce dernier.

Jusque là, sur le papier, tout va bien ! Mais qu’en est-il donc de sa mise en œuvre ?

Un projet mal engagé

3DSecure est implémenté par les réseaux bancaires Visa et Mastercard sous les codes commerciaux respectifs « Verified by Visa » et « SecureCode ». Il est rentré en vigueur en France à partir de 2008. Dans la pratique, quand vous effectuez un paiement sécurisé 3DSecure, après avoir renseigné votre numéro de carte bancaire, sa date de validité et le cryptogramme situé au dos celle-ci, vous êtes redirigé sur le site de votre banque qui vous demandera une information supplémentaire qui servira à vous identifier comme porteur de la carte de paiement utilisée.

C’est là que les choses commencent à se gâter ! Tout d’abord, une communication insuffisante, voire quasi inexistante, de la part des banques a fait que la plupart des acheteurs se sont retrouvés, sans en avoir jamais entendu parlé auparavant, devant une page supposée venir du serveur de leur banque leur demandant une information personnelle. Lorsque nous avons nous même été confrontés à cette page la première fois en tant qu’acheteur, nous avions plutôt pensé à une tentative de phishing (usurpation d’identité).

Ensuite, le deuxième reproche fait à l’implémentation du 3DSecure en France concerne les multiples et diverses méthodes d’authentification choisies par les banques. Cela va de la date de naissance du porteur de la carte à un code envoyé sur son portable en passant par le nom de son animal de compagnie ou son dessin animé préféré. Vous remarquerez que certaines de ces informations n’ont rien de secret vu la tendance qu’ont les gens à être prolixes sur leur vie privée sur les réseaux sociaux. Cette multitude d’implémentation du protocole n’aidera, hélas, ni le client, ni l’e-commerçant à s’y retrouver. Fort heureusement, la Banque de France s’est décidé à siffler la fin de la récréation en préconisant l’adoption par toutes les banques françaises d’un système d’authentification de type « one-time password » qui consiste en un code que l’acheteur reçoit sur son portable et qui n’est valable que le temps de cette transaction.

Des chiffres catastrophiques

Ces débuts en rangs dispersés sur fond de communication chaotique n’auront pas favorisé l’adoption du 3DSecure en France. En guise de comparaison, en Angleterre où le 3DSecure est déployé depuis 2004, les banques ont choisi une authentification de type code PIN similaire aux transactions hors Web, déjà connus des usagers. Il en résulte que 95 % des transactions par carte sur le net sont des transactions 3DSecure. En France, seules 13 % des transactions le sont.

Quant à l’impact sur le chiffre d’affaire, il est estimé que le 3DSecure a causé une perte de l’ordre de 15 % chez les e-commerçants l’ayant adopté. D’ailleurs, les poids lourds de l’e-commerce français ne s’y sont pas trompés : aucun d’entre eux n’a gardé le 3DSecure activé sur son site. Avec un certain poids à faire valoir auprès de la banque, cela leur est plutôt facile, ce qui n’est pas le cas des petits e-commerçants qui n’ont aucun moyen de pression sur leur banque pour faire cesser le massacre.

Et sur Muslimusk donc ?

Nous avons installé sur Muslimusk.com le paiement par carte bancaire via un VAD depuis bientôt un an (août 2010) et le moins que l’on puisse dire et que notre boutique n’est pas épargnée par les effets négatifs du 3DSecure. Cela se traduit par 15 à 18 % des transactions par carte bancaire sur l’interface de la banque qui n’aboutissent pas du fait d’un échec d’authentification 3DSecure, soit presque qu’autant de commandes perdues. Ces chiffres sont d’autant plus dommageables que notre panier moyen de 25-30 euros nous expose que peu à la fraude par carte bancaire. D’ailleurs, nous n’en avons jamais été victimes.

Est-il donc vraiment pertinent d’adopter un protocole de sécurité aussi handicapant ? Quand on sait que la fraude par carte bancaire dans le e-commerce ne représente que 0,24 % (60 millions d’euros) du chiffre d’affaire que génère ce secteur (25 milliards d’euros), on peut en effet se demander pourquoi laisser 15 % de son chiffre d’affaire pour se protéger d’un risque si peu significatif.

Faut-il donc avoir peur du 3DSecure ? En attendant une généralisation et une homogénéisation des méthodes, il nous fera certainement plus peur que la fraude.