pt
Moulé à la louche depuis 1999
Les trucs qui m'énervent... et je vais pas prendre de pincettes
Internet, informatique, logiciel libre, économie, politique, vie courante et tout le reste...

3DSecure : Pour votre pomme !

Lundi 08 septembre 2008

3DSecure ?

Jusqu'à présent quand vous faisiez des achats sur internet avec votre carte bancaire, il suffisait de demander un remboursement à votre banque en cas de fraude. Simple et efficace.

A partir du 1er octobre, ce ne sera plus possible. A cette date, Visa activera le système 3DSecure ("Verified by VISA" chez Visa, "SecureCode" chez MasterCard).

Une explication s'impose: A l'heure actuelle, les commerçants sur internet perdent de l'argent à cause de la fraude, et les internautes sont embêtés également. VISA et les banques ont donc imaginé un système d'authentification renforcé: 3DSecure.

En plus du numéro de carte, date d'expiration et "cryptogramme visuel", on va vous demander des informations supplémentaires lors d'un achat sur internet (uniquement pour les achats chez les commerçants utilisant ce système). Ces informations supplémentaires servent à s'assurer que la personne qui est en train d'utiliser la carte est bien le propriétaire de la carte.

Dans la théorie, c'est bien

Quelqu'un qui vous pique votre carte ne pourra pas acheter sur internet sur les sites commerçants labellisés "3DSecure", car il ne possède pas ces informations supplémentaires. Certaines banques vous fourniront un boitier à code ou un token RSA: C'est un petit boitier avec un écran LCD qui vous donne un code unique et non réutilisable. C'est sûr.

Mais il n'y a pas qu'un aspect technique: il y a aussi un transfer de responsabilités: Si vous êtes passé par le système 3DSecure pour votre achat, vous ne pourrez plus contester la transaction et votre banque ne vous remboursera pas. En soit, ce n'est pas un problème si votre banque a un bon système d'authentification, comme ces petits boitiers.

Mais si vous avez une mauvaise banque ?

Dans la pratique...

Dans la pratique, actuellement, certaines banques (Caisse d'Epargne et BNP, par exemple) n'ont pas ce genre de boitier, et vous demandent juste votre date de naissance. Il est absolument scandaleux que des banques se contentent de la date de naissance pour vous authentifier.

La date de naissance est une informations facile à trouver (Google pour certains). Autrement dit: Si quelqu'un vous pique votre carte, il lui suffiera de trouver votre date de naissance pour faire un achat, et ça sera pour votre pomme. Votre banque ne vous remboursera pas.

Il est du devoir de ces banques de fournir un système d'authentification sûr. Il ne suffit pas de balancer les responsabilités à la gueule de l'internaute, les banques doivent aussi faire leur part du boulot.

Acheter sans 3DSecure ?

Eviter 3DSecure va devenir de plus en plus difficile.

Côté commerçant, 3DSecure n'est pas obligatoire mais ils ont tout intérêt à y passer étant donné que cela va éliminer presque totalement les pertes occassionnées par la fraude (dites merci au transfer des responsabilités). Un paiement 3DSecure ne peut pas être contesté, et le commerçant est assuré d'avoir son argent. Pas difficile de comprendre pourquoi c'est intéressant pour eux. Il y a fort à parier que les plus gros commerçants finiront par refuser toutes les cartes qui ne sont pas 3DSecure.

Les banques n'ont pas non plus envie d'assumer les conséquences des fraudes: Elles vont faire tout leur possible pour transférer cette responsabilité vers vous en vous enrôllant dans le système 3DSecure. Vous pouvez vous attendre à des avenants à votre contrat. Pour les nouvelles cartes, pas d'échappatoire possible: Les nouveaux contrats incluent tous 3DSecure.

Pourtant 3DSecure m'intéresse parcequ'il peut potentiellement sécuriser mes achats sur internet, mais pas si la banque fait ça par dessus la jambe, ce qui semble être la majorité des cas.
Voir tous les billets