Paiement en ligne ! Ils n’ont rien compris…

Publié par René sur le Blog ecommerce de WiziShop dans la rubrique Les actualités, le jeudi 25 juillet 2013 | 18 commentaires

J’ai initialement rédigé cet article le 11 juin 2013 mais déprogrammé ensuite car l’amendement dont je parle a été retiré entre temps.

Or, le retour de cet amendement plane au sein de notre chère assemblée nationale et les propos tenus par monsieur Geoffroy Goffinet de la banque de France, lors de la conférence « les enjeux e-commerce » organisé par la FEVAD, me font penser qu’il est important que cet article voit le jour. Le voici donc réécrit au vu des nouveaux éléments.

Au commencement, un amendement…

Le 11 juin 2013 nous apprenions que le député Michel Lefait ainsi que quinze de ses confrères avaient déposé un amendement au projet de loi relatif à la consommation.

Cet amendement visait à rajouter dans la partie sur la vente à distance (et donc la vente en ligne) cet article à la future loi :

Art. L. 133‑15‑1 – Un système d’authentification du client, utilisé lors de toute opération de paiement par internet entre un particulier et un professionnel, est mis en place au plus tard le 1er janvier 2014. Ce système est commun à tous les professionnels, d’application obligatoire et basé sur un code non réutilisable. Un comité composé à parité de représentants des organismes bancaires, des professionnels de la vente à distance et des consommateurs est chargé de déterminer les modalités techniques de mise en place de ce dispositif.

Avant d’analyser les motivations et les déclarations de monsieur le député Michel Lefait tentons de comprendre ce que cet article de loi impliquerait.

Un système d’authentification du client, utilisé lors de toute opération de paiement par Internet entre un particulier et un professionnel, sera mis en place au plus tard le 1er janvier 2014.

Lors d’un paiement en ligne (carte bancaire, visa, mastercard, paypal…) le professionnel devra rajouter un système lui permettant de s’assurer que c’est bien le possesseur du moyen de paiement qui est en train de l’utiliser. On reconnaît là les griffes de 3D Secure, j’y reviendrais plus tard.

Et ceci devra être mis en place très rapidement, le 1er Janvier 2014 ne laisse que peu de temps pour s’adapter. Mais le plus intéressant se trouve plus loin.

Ce système est commun à tous les professionnels, d’application obligatoire et basé sur un code non réutilisable.

Tous les sites de vente en ligne devront utiliser obligatoirement le même système. Petite subtilité, le même système ne veut pas dire le même mode opératoire, nous reconnaissons à nouveau notre ami 3D Secure, enfin presque et là encore j’y reviendrais plus tard.

Un comité composé à parité de représentants des organismes bancaires, des professionnels de la vente à distance et des consommateurs est chargé de déterminer les modalités techniques de mise en place de ce dispositif.

Nous allons donc mettre au tour de la table les banques, la FEVAD (les sites de vente en ligne) et UFC Que Choisir (les consommateurs) pour définir très rapidement les modalités du dispositif. Et autant vous dire que vu le peu de temps qu’ils devaient avoir, le dispositif était déjà tout trouvé et ne demandait que peu d’adaptation.

3D Secure mon ami !

Mal conçu, peu connu du grand public et tout aussi mal des professionnels bancaires, délaissé par les grands sites e-commerce, mal aimé des petits à qui il a été imposé pendant des années, le 3D Secure est en train de préparer par le biais de nos parlementaires son omniprésence sur tous les sites du territoire…

Le but de 3D Secure est d’authentifier le porteur de la carte de paiement lors du paiement en ligne. Bloquant ainsi toute personne malveillante tentant de faire un achat en ligne avec votre carte sans votre autorisation. Sur le papier c’est top, plus aucune fraude, ni pour le commerçant, ni pour le client. Mais nous savons tous qu’entre la théorie et la pratique il y a un monde !

Premier gros problème du dispositif, la méthode d’authentification est différente entre chaque banque.

Ainsi certaines demanderont la date de naissance, d’autres enverront un code par sms ou par email, d’autres encore vous demanderont de recopier le code se trouvant sur une grille papier. Et pour les plus rigolotes (oui oui certaines banques ont de l’humour) elles demanderont une combinaison de ces méthodes.

Deuxième problème, aucune de ces méthodes n’est clairement adaptée au paiement en ligne.

  • La date de naissance ? Incompatible avec le projet d’amendement car celui-ci souhaite que l’on demande un code unique. De plus, il est aujourd’hui assez aisé de trouver la date de naissance de quelqu’un, donc d’un point de vue sécurité on repassera…
  • La grille papier ? Là encore, d’un point de vue sécurité avoir une carte dans son portefeuille implique qu’en cas de vol elle risque d’être volée en même temps. De plus, il faudra renouveler la carte tous les X paiements en ligne pour ne jamais réutiliser un code, fastidieux…
  • Le sms ? L’achat devient donc impossible lorsque l’on a pas de réseau (zone d’ombre, étranger, batterie à plat) et celui-ci a en plus la fâcheuse tendance de mettre du temps à être envoyé, un comble quand on se bat pour avoir le processus d’achat le plus fluide possible.
  • L’email ? Cette solution reste la moins mauvaise même si là encore la fluidité du processus d’achat en prend un coup. Mais malheureusement cette méthode est peu utilisée par les banques.

De plus, il ne faudra pas oublier de prévenir la banque si vous changez d’adresse email ou de numéro de téléphone portable sinon plus d’achat en ligne possible sur les sites du territoire.

Autre très gros défaut de ce système et non des moindres, aucune communication n’a été faite au près du grand public, rien, zero, nada, walou.

3D Secure a simplement été mis en place par défaut, lors de sa sortie, sur tous les nouveaux contrats VAD. Petite anecdote, au début de WiziShop nous utilisions aussi 3D Secure lors du règlement des factures par nos commerçants et même eux ne comprenaient ce qu’il fallait faire. Parmi les emails d’incompréhension de leur part, nous en avons eu un qui nous a dit ne pas vouloir payer en ligne car nous lui demandions son code secret, ce qui n’est pas sécurisé, un comble…

Aujourd’hui, la communication des banques et même de la banque de France est de dire que depuis le temps les gens se sont habitués et que le taux d’échec a baissé. Merci pour ces belles paroles mais elles ne collent pas à la réalité.

La réalité c’est que seulement 22 % des transactions se déroulent avec 3D Secure en France et que donc dans 78% des cas, les gens ne sont pas confrontés à 3D Secure. De plus, nous parlons là des transactions réalisées sur des sites français mais les français ne commandent pas que sur des sites français.

Mais alors à quoi sont habitués les acheteurs français ? Ils sont confrontés à des grands sites qui ne vont rien leur demander de plus que les informations se trouvant sur leur carte et qui (pour certains) l’enregistreront pour la suite comme le fait Amazon avec le 1-Click ou bien Apple et Google au sein de leur store (iTunes et Google Play) ou encore Paypal et maintenant Visa (V.me) et Mastercard (Masterpass) avec leur portefeuille électronique.

Les internautes se sont habitués à plus de simplicité, ils se sont habitués à commander rapidement au détriment de leur propre sécurité quelques fois. Mais non les internautes ne se sont pas habitués à 3D Secure, au contraire ils sont très content lorsqu’ils n’ont pas besoin de l’affronter.

Ces députés qui ne maîtrisent pas le sujet

Lors du dépôt de cet amendement les députés et UFC que Choisir ont déclaré :

La plupart des grands commerçants en ligne (Amazon, FNAC, PriceMinister par exemple) préfèrent toujours, au détriment de leurs clients, laisser passer la fraude plutôt que de risquer d’ajouter une étape à la vente.

Faux ! Complètement faux ! Ne pas mettre 3D Secure, ce n’est pas léser les clients. Il faut rappeler que lors d’une utilisation frauduleuse de votre carte bancaire pour un achat en ligne sans 3D Secure, votre banque annulera le paiement sans problème. Le commerçant devra alors trouver le coupable pour se faire rembourser. Donc perte sèche pour le commerçant dans la majorité des cas !

De plus ces grands commerçants possèdent d’autres outils (interne ou prestataire) pour vérifier l’acte d’achat et donc faire baisser la fraude. Car je le répète, la fraude représente une perte directe pour le commerçant.

Les frontières nationales du web

Imposer le 3D Secure à tous les commerçants français, c’est les mettre en difficulté par rapport aux commerçants étrangers. Car même si nos députés semblent l’avoir oublié, le web n’a pas de frontières et vos achats ne se font pas obligatoirement sur des sites français.

D’ailleurs l’amendent n’était pas très loquace sur le périmètre d’application
Seulement les sites des sociétés françaises ? Seulement les sites hébergés sur le sol français ? Les deux à la fois ?
Quid des paiements en ligne pour la livraison en France opérés par une société Belge ayant son site hébergé en Irlande ?

Jeter le bébé avec l’eau du bain ?

Bien sur que non !

3D Secure est mal conçu, d’accord !
Le rendre obligatoire est une bêtise, d’accord !

Néanmoins, la fraude est une plaie pour le e-commerçant, il n’a pas envie de perdre des ventes mais il n’a pas non plus envie de faire le bonheur des fraudeurs. La solution est de faire du 3D Secure sélectif, ne le proposer que dans le cas d’un doute, d’un comportement étrange lors de la commande, d’un achat de produit à risque, d’un premier achat, cela dépend de vos produits et de votre cible.
Dans notre jargon, nous appelons ça du 3D Secure débrayable et malheureusement toute les banques ne l’acceptent pas. Pour en savoir plus, vous pouvez lire l’article de Payzen à ce sujet.

Mais il faut aussi que les banques se réveillent et retravaillent leur copie autant sur le plan de la communication que sur le plan de l’utilisabilité, ergonomie de 3D Secure.
Il ne faut en aucun cas qu’elles en restent là !

Dans ce désastre de l’authentification en ligne elles ont beaucoup de chance, ça va être très dur de faire pire…

18 commentaires pour "Paiement en ligne ! Ils n’ont rien compris…"
Par Domaine Chanzy russe le jeudi 25 juillet 2013

Il est très bien votre article! C’est vrai que le paiement en ligne est mal foutu de temps en temps… Le plus simple comme tu l’as dis est de le faire à la manière de App-store ou Google, en un seul clic et mot de passe et c’est bon le paiement est effectué!
Merci pour ces informations et explications!

Faire un commentaire
Par bijoux-et-charms le jeudi 25 juillet 2013

Je reste sur Paypal mais avec toutes ces récentes attaques sur les gros sites, on peut à juste titre hésiter. L’authentification en ligne semblerait être une de ces failles que les hackers exploitent aux détriment du site et de sa clientèle!

Faire un commentaire
Par Blog ecommerce le jeudi 25 juillet 2013

Brillant article ! Clairement il faut se mobiliser en masse pour contrer cela, le 3Ds et une calamité ! Imposé en 2008 chez MOTOLIGNE, nous avons alors vu notre taux de conversion chuter de 30% ! Plus jamais ça quitte à passer par une banque étrangère pour le paiement en ligne.

Faire un commentaire
Par Etienne Servant le vendredi 26 juillet 2013

L’amendement en question a été rejeté le 20 juin. Aucune trace de son retour sur le site de l’assemblé. Quelle est votre source pour affirmer son retour ? Merci.

Faire un commentaire
Par René le vendredi 26 juillet 2013

Etienne : Il n’y aucune source officielle à ce sujet. Ce ne sont que des bruits de couloir. Une rumeur, certes, mais bien présente.
De plus je n’ai jamais *affirmé* son retour ! Ma phrase « le retour de cet amendement plane » n’est sûrement à priori pas une affirmation…

De plus, le 20 juin l’amendement en question n’a pas du tout été rejeté par l’assemblée mais simplement retiré. source : http://www.assemblee-nationale.fr/14/amendements/1015/CION-ECO/CE285.asp

Faire un commentaire
Par Etienne Servant le vendredi 26 juillet 2013

@Réné Merci pour les précisions. Effectivement ce n’était pas une affirmation :)

Pour l’amendement, celui-ci a effectivement été retiré en commission. Mais il existe un second qui a été rejeté en séance publique (http://www.assemblee-nationale.fr/14/amendements/1156/AN/565.asp). Il est coriace le Michel Lefait :)

Mieux encore, il avait déposé un amendement similaire lors de l’examen de la loi sur la séparation et la régulation des activités bancaires (http://www.assemblee-nationale.fr/14/amendements/0707/AN/280.asp).

A mon avis très peu de chance de voir un amendement similaire revenir, je crois que le vote de l’Assemblée a eu lieu, et qu’elle a été présentée à la Commission des affaires économiques du Sénat.

Faire un commentaire
Par René le vendredi 26 juillet 2013

Etienne : Croisons les doigts, néanmoins il faut que le bouzin… heuu le système soit revu et amélioré. La solution de 3D Secure sélectif n’est pas faite pour durer, c’est juste un palliatif.

Faire un commentaire
Par ArnoDoucet le vendredi 26 juillet 2013

Bravo pour cet article très clair sur les enjeux et les problèmes autour de 3D Secure. Il permet aussi de se rendre compte que finalement, on achète pas beaucoup « français » (voir pas du tout).

Faire un commentaire
Par Paul le samedi 27 juillet 2013

Je pense que la meilleure solution pour faire un paiement en ligne restera PayPal. Il suffit d’y lier son compte bancaire et d’y transférer des fonds pour faire des achats en ligne sécurisés. C’est vrai que les paiements par CB et 3D Secure restent tout de même pas assez surs.

Faire un commentaire
Par Création de cloud privé le mardi 30 juillet 2013

Je pense personnellement que la meilleure solution reste de mettre en place un paiement en ligne nécessitant le minimum de clic, avec enregistrement des données. Mais il faut que cela sans faille, comme l’Apple-Store qui enregistre les données et en un clic le paiement est effectué.
Merci pour ton article très pertinent.

Faire un commentaire
Par Camille le mardi 6 août 2013

Wow ! Top article, merci d’avoir pris le temps de clarifier tous ces aspects.
Quel interlocuteur fait référence sur ce sujet ? Le blog de WiziShop du coup ?

Faire un commentaire
Par Guiggs le mardi 13 août 2013

Merci de vos efforts et ce long article pour nous expliquer votre point de vue Monsieur, qui du côté marchand peut sembler tout à fait légitime.

Pour nuancer cependant, il semblerait que tout le monde ne soit pas d’accord avec vous :

http://lecercle.lesechos.fr/entreprises-marches/high-tech-medias/internet/221176914/e-commerce-pourquoi-france-doit-adopter-3d-s

Quant à la rapidité d’acheminement des SMS, elle s’est sensiblement améliorée ces derniers mois et est devenue très acceptable aujourd’hui, me semble-t-il. De plus, l’adoption du 3D par des gros sites comme VSNCF ces derniers mois a vraiment « démocratisé » sinon vulgarisé le processus auprès des utilisateurs, même s’il peut paraître encore trop lourd à certains.

L’authentification smartphone (actuellement en gestation) devrait par ailleurs permettre de sensiblement améliorer (fluidifier) encore l’expérience 3D demain, même si je le reconnais elle n’est pas justifiée dans tous les cas (petits paniers d’achats, faible risque de fraude etc.).

Personnellement, je ne suis pas sûr qu’il soit raisonnable de laisser chaque e-marchand enrôler des CB en masse, pour faire du « One-Click » comme on le voit chez certains grands marchands californiens.
La fraude de masse n’est pas un risque complètement utopique, lorsqu’on suit les brèves sur le sujet …

Pardon, donc, d’aller à contre-courant, mais la sécurité sur le Net est un vrai sujet et l’authentification forte n’est pas un gros mot pour y parvenir.

Faire un commentaire
Par lesjouetsdarthur.fr le mardi 13 août 2013

Bon alors on compte sur vous pour nous tenir au courant s’il y a un changement quelconque. Merci en tout cas pour ce très bon article!

Faire un commentaire
Par Philippe le mardi 10 décembre 2013

Excellent article. Je suis client de la caisse d’épargne et pour acheter sur un site secure 3D, il faut un téléphone portable ; or je n’en ai pas ; je suis donc bloqué sur de nombreux sites (dont la sncf depuis peu). Avez-vous la liste des banques qui autorisent l’utilisation d’une autre moyen que le sms pour secure 3D ?

Faire un commentaire
Par Philippe le dimanche 8 juin 2014

Je partage tout à fait votre article.

Le problème n’est pas Secure 3D en soi, mais les contraintes que mettent les banques à son utilisation.

Par exemple à la caisse d’Epargne, seul le SMS est possible ; donc si vous n’avez pas de portable, ou s’il est en panne, déchargé, oublié, dans une zone sans réception, vous ne pouvez pas acheter sur internet.

Le plus drôle c’est qu’au bout de 3 essais la carte bleue est bloquée ; il y a donc intérêt à bien identifier dès l’accueil sur le site si c’est secure 3D ou pas (c’est souvent caché ou écrit en tout petit…).

Je passe sur les sites qui prétendent qu’on peut donner sa date de naissance si on n’a pas de téléphone portable, ça ne marche plus depuis longtemps. C’est la SNCF par exemple ; depuis un an, je vais de nouveau chercher les billets à la gare ; quel progrès !

Conclusion, je n’achète que sur certains sites où je suis sûr qu’ils n’utilisent pas Secure 3D (Amazon par exemple).

Au final, Secure 3D est d’une efficacité redoutable pour sécuriser les achats sur internet … puisqu’il empêche les achats sur internet.

Merci Secure 3D, merci la Caisse d’Epargne.

Faire un commentaire
Par markus le mercredi 16 juillet 2014

Merci pour cet article qui résume bien certaines limites de Secure 3D. Par expérience et avec une banque que je ne citerai pas, celle-ci n’est pas en mesure d’accepter les numéros de téléphone portable étranger. Vous me direz c’est mieux en termes de sécurité mais lorsque vous êtes expatrié pour une courte durée c’est dommage de ne pas pouvoir effectuer d’opération bancaire sur internet. cordialement

Faire un commentaire
Par neo le lundi 6 octobre 2014

markus a parfaitement raison. Moi aussi je paie une carte bleue internationale…utilisable sur internet uniquement quand je suis en France!

Autre grosse faille: si on vous pique votre sac où il y a votre CB, il y a for a parier que le portable est dedans aussi.

En suisse c’est bcp plus simple: vous avez un lecteur de CB fourni par la banque, pour les operations il faut inserer a carte bleue et fournir le code, comem dans un magasin. C’est trop demander aux dinausaures de banquiers francais?

Faire un commentaire
Par isabelle le jeudi 18 décembre 2014

Comment prouver qu’on a été victime de fraude par le 3D secure que soutient la banque pour éviter de me rembourser ? y-a-t-il un moyen?

Faire un commentaire
Laisser un commentaire

XHTML: Vous pouvez utiliser ces balises: <a href="" title=""> <abbr title=""> <acronym title=""> <blockquote cite=""> <em> <strong>

Ne perdez plus de temps ! Testez WiziShop dès aujourd'hui...

L'essai est gratuit pendant 15 jours, sans engagement et vous donne accès à l'ensemble des fonctionnalités.

TESTER WIZISHOP