Si vous êtes client d’ING Direct, vous venez peut-être de recevoir ce message de la banque en ligne : « A compter du 1er mars 2010, vous recevrez par SMS un code permettant de valider vos achats sur les sites affichant le logo Mastercard Secure Code. Ce code s’ajoutera aux données qui vous sont déjà demandées. »
En effet, lorsque vous achetez en ligne, vous devez saisir votre identifiant et votre mot de passe pour entrer dans votre espace sécurisé, puis donner votre numéro de carte bancaire et le code à trois chiffres figurant au dos.
Mais les banques estiment que ce n’est pas suffisant. Du coup, elles essaient de généraliser auprès des sites marchands un système d’authentification supplémentaire, 3D Secure Code. Il est proposé par les sites qui arborent les logos Verified by Visa ou MasterCard Secure Code.
Ce dispositif de l’Observatoire de la sécurité des cartes de paiement, un organisme de la Banque de France, remonte en fait à octobre 2008. Toutefois, 3D Secure Code est loin d’avoir été adopté par tous les cybermarchands. Mais comment fonctionne-t-il ?
Après avoir saisi et validé ses données bancaires, l’internaute voit apparaître une nouvelle fenêtre provenant non pas du site d’e-commerce mais de celui de sa banque (ou d’un prestataire de paiement en ligne). Là, selon les solutions retenues par les établissements bancaires, il doit saisir sa date de naissance, un code confidentiel ou encore un code unique envoyé spécialement pour la transaction en cours.
Manque de communication
La banque vérifie que le code fourni correspond bien au client et elle envoie une confirmation (ou infirmation) d’identité de l’internaute au cybermarchand. Si tout se passe bien, la fenêtre d’authentification se ferme et l’opération est validée.
Outre ING Direct, la Société Générale propose aussi l’envoi d’un code (mêlant lettres et chiffres) par SMS ou appel téléphonique. LCL a, pour sa part, opté pour le code personnel défini par le client. Il est ensuite enregistré par la banque et associé à l’identité du client. Le service est gratuit dans tous les cas.
Le Crédit Mutuel-CIC se sert, lui, d’une carte de clés personnelles fournie au client et lui demande de saisir un code figurant sur ce document. « C’est rapide, efficace et cela garantit l’opération qui est ainsi totalement sécurisée », assure un porte-parole de la banque.
Sauf que le système suscite quelques réticences. « Les consommateurs ne sont pas au fait de tout ça, il n’y a eu aucune communication, assure-t-on à la Fédération des entreprises de vente à distance (Fevad). Cela fait un an et demi que nous cherchons un moyen de coordonner tout ça. » La Fevad assure que seulement 30 % des sites d’e-commerce ont mis en place le 3D Secure Code et essentiellement des petits sites (Toutallantvert.com, Jouets-bebe.com).
Car le système a l’inconvénient d’interrompre le processus de paiement en faisant sortir l’acheteur du site d’e-commerce. Le site de vente de lunettes happyview.fr a mis en place 3D Secure Code à l’automne 2009. « Au début, nous perdions des clients !, raconte son fondateur, Marc Adamowics. Au moment de valider leur paiement, ils basculaient sur une fenêtre Atos, prestataire de paiement en ligne de la Banque postale, où on leur demandait leur date de naissance… On a vu des transactions s’arrêter en cours de route. » Un comble, pour une technique de sécurisation, que de faire peur à ses utilisateurs…
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.