3D Secure & PSD2

Si vous avez déjà confirmé un paiement en ligne en saisissant un code, en approuvant une notification push ou en utilisant Face ID, vous avez déjà interagi avec 3D Secure, ou 3DS. C’est la couche de vérification supplémentaire qui aide à confirmer l’identité d’un acheteur et à protéger à la fois le marchand et la banque contre la fraude.

3DS en bref

Le nom signifie Three-Domain Secure, en référence aux trois parties impliquées :

  • le domaine de l’acquéreur (marchand et PSP)
  • le domaine de l’émetteur (banque du titulaire de la carte)
  • le domaine d’interopérabilité (le réseau de cartes reliant les deux côtés)

Lorsqu’un paiement est effectué, le marchand envoie une demande d’authentification à travers ces trois domaines. L’émetteur décide ensuite s’il faut laisser la transaction passer « sans friction » — sur la base de données comme l’appareil, l’adresse IP et l’historique des transactions — ou soumettre le client à une vérification (SMS, approbation dans l’application, biométrie, etc.). Le résultat est renvoyé à la passerelle en quelques secondes, et s’il est positif, le paiement se poursuit vers l’autorisation.

Pourquoi cela existe

La fraude par carte en ligne était autrefois très répandue. La première version, 3DS1, lancée par Visa en 2001 sous le nom « Verified by Visa », a introduit des contrôles basés sur un mot de passe. Cela fonctionnait, mais l’expérience était maladroite et provoquait souvent des abandons au moment du paiement. Je me souviens de mon père cliquant sur « Je le configurerai la prochaine fois » à chaque fois qu’il voyait cette page. Le 3DS2 moderne a corrigé cela. Plus de fenêtres contextuelles, prise en charge complète du mobile et parcours sans friction lorsque le risque est faible. Il a également introduit l’authentification biométrique et un échange de données beaucoup plus riche entre le marchand et l’émetteur, rendant les approbations plus rapides et plus intelligentes.

Pour les marchands, le principal avantage est le transfert de responsabilité. Si une transaction est authentifiée via 3D Secure, le risque de Chargeback lié à la fraude passe du marchand à l’émetteur de la carte. Cette protection à elle seule vaut la peine d’être mise en œuvre, surtout sur les marchés où la fraude en ligne est élevée.

PSD2 & 3DS2

En Europe, 3D Secure est passé d’une couche de sécurité de bonne pratique à une obligation légale. La directive révisée sur les services de paiement (PSD2) a introduit l’authentification forte du client (SCA), qui exige deux facteurs indépendants pour la plupart des paiements électroniques :

  • quelque chose que le client connaît (PIN ou mot de passe)
  • quelque chose que le client possède (téléphone ou jeton matériel)
  • quelque chose que le client est (empreinte digitale ou reconnaissance faciale)

3D Secure 2 est devenu le principal moyen pour les paiements par carte de se conformer à cette règle. En substance, la PSD2 n’a pas inventé l’authentification forte. Elle l’a imposée. Et 3DS2 a offert un moyen de respecter la réglementation sans dégrader l’expérience utilisateur.

Mais derrière le moment fluide « Approuver dans votre application bancaire » se cache un écosystème technique complexe. Chaque prestataire de services de paiement (PSP) doit maintenir des intégrations certifiées avec les serveurs 3DS des réseaux de cartes et rester conforme à leurs protocoles et formats de messages en évolution. Visa, Mastercard, Amex et d’autres mettent régulièrement à jour leurs spécifications 3DS, ce qui signifie que les PSP doivent continuellement recertifier leurs systèmes et s’assurer que leurs passerelles peuvent parler les derniers dialectes de la messagerie 3DS. Ce n’est pas une intégration « configurez et oubliez » — c’est un système vivant qui nécessite une attention constante pour que les transactions continuent à s’authentifier avec succès.

Du côté de l’émetteur, les banques s’appuient sur des Access Control Servers (ACS). Ce sont des systèmes spécialisés, fournis par des éditeurs tels que Thales, Broadcom, GPayments ou Netcetera, qui gèrent le processus d’authentification. Lorsqu’un titulaire de carte initie une transaction 3DS, l’ACS de l’émetteur vérifie la demande, détermine si la transaction peut se poursuivre sans friction et, sinon, déclenche une vérification via la méthode choisie par la banque (notification push, SMS ou contrôle biométrique). L’ACS renvoie ensuite un résultat d’authentification via le réseau de cartes vers le PSP, qui l’utilise pour poursuivre l’autorisation.

Cette poignée de main à plusieurs niveaux dépend de la coordination fluide de plusieurs systèmes : la passerelle du marchand, l’acquéreur, le serveur de répertoire du schéma de cartes et l’ACS de l’émetteur. Lorsque l’une de ces couches prend du retard ou échoue à la certification, les transactions peuvent commencer à chuter.

Exemptions

Bien que la PSD2 ait fait de la SCA la règle, elle a aussi prévu de la flexibilité. Certains paiements peuvent contourner l’authentification active dans le cadre d’exemptions SCA définies, permettant des paiements plus fluides sans enfreindre la loi. Ces exemptions sont conçues pour maintenir des taux de conversion élevés tout en conservant des niveaux de risque acceptables :

  • Transactions de faible montant — généralement inférieures à 30 €, bien que des limites cumulées s’appliquent.
  • Paiements récurrents ou d’abonnement — après le premier paiement entièrement authentifié, les prélèvements suivants pour le même montant et le même bénéficiaire peuvent être exemptés.
  • Bénéficiaires de confiance — les clients peuvent mettre des marchands sur liste blanche auprès de leur banque pour de futures transactions.
  • Analyse du risque de transaction (TRA) — si l’acquéreur et l’émetteur utilisent tous deux des systèmes de fraude certifiés à faible risque, la SCA peut être contournée pour les transactions éligibles.

Le compromis : transfert de responsabilité

Lorsqu’une transaction est authentifiée via 3D Secure et approuvée, la responsabilité des Chargeback liés à la fraude passe du marchand à l’émetteur. Mais lorsque des exemptions sont utilisées à la place, cette protection peut ne pas s’appliquer. Cela devient un exercice d’équilibre stratégique : utiliser 3DS et gagner en protection au prix d’une friction potentielle, ou demander une exemption et profiter d’un paiement plus fluide tout en acceptant le risque de fraude.

C’est là que les PSP modernes excellent. Ils agissent comme des moteurs d’orchestration, choisissant dynamiquement s’il faut déclencher 3DS, appliquer une exemption ou réessayer via un autre parcours, en fonction des données de transaction, du comportement de l’émetteur et des profils de risque. Une bonne orchestration fait la différence entre une étape 3DS maladroite et une expérience fluide.

3DS en pratique

Pour les consommateurs, 3D Secure fait désormais partie du quotidien du paiement en ligne — une balise de sécurité invisible qui vous tapote parfois l’épaule. Pour les marchands et les PSP, c’est une cible en mouvement constant de conformité, de certification et d’optimisation. Chaque mise à jour du protocole 3DS, chaque changement de comportement de l’émetteur et chaque nouveau schéma de fraude nécessitent des ajustements dans tout l’écosystème.

En bref, 3D Secure a apporté la confiance à l’ère d’Internet des paiements. PSD2 a rendu cette confiance obligatoire. Ensemble, ils ont transformé le commerce en ligne non seulement en stoppant la fraude, mais aussi en codifiant le principe selon lequel chaque transaction numérique doit savoir qui paie réellement.

Précédent
Sujets importants liés aux paiements autour des cartes
Les bases
Suivant
Produits de devise — DCC & MCP
Les bases
Buy Me a Coffee
undefined