Paiement par carte bancaire sur Internet : 3D Secure et authentification forte

la finance pour tous

Le système d’authentification 3D Secure a pour objet de sécuriser les paiements en ligne par carte bancaire. Code reçu par SMS, notification sur l’application bancaire, authentification par empreinte digitale ou reconnaissance faciale… permettent d’authentifier l’acheteur comme étant le porteur de la carte utilisée pour le paiement.

Le système 3D Secure est un système de sécurisation des paiements en ligne, créé par les émetteurs internationaux Visa et MasterCard et mis en place en France en 2008. Il s’agit d’une procédure d’authentification du porteur de la carte, pour s’assurer que c’est bien celui-ci qui effectue le paiement sur internet.

Achat sur Internet : sécurisation des paiements par carte bancaire avec 3D Secure

Lorsque les logos « Verified by Visa », « Visa Secure », « CB Paiement Sécurisé », « MasterCard SecureCode » ou « MasterCard Identify Check » sont affichés sur les sites du cybercommerçant, le paiement se réalise en deux étapes.

Étape 1 : saisie des informations bancaires

Comme pour toute transaction sur un site marchand, dans l’espace de règlement de la commande, vous devez saisir :
– le numéro de votre carte, 
– la date de validité de celle-ci, 
– le cryptogramme visuel (3 chiffres figurant au dos de la carte).

Étape 2  : l’authentification de la transaction

Une nouvelle fenêtre s’ouvre alors, avec le logo de votre banque. Elle vous redirige vers le site de votre établissement bancaire pour confirmer votre identité, avec le procédé d’authentification mis en place par celui-ci. Selon la procédure la plus usuelle, votre banque vous envoie par SMS un code à usage unique. Vous saisissez l’information demandée dans l’écran de saisie. Quand l’authentification est confirmée par votre banque, le paiement est autorisé et la transaction est finalisée.

Exemples d'écrans 3D secure

A compter du 15 mai 2021, pour les paiements dès 30 euros, cette authentification par code à usage unique reçu par SMS va être remplacée par un nouveau mode d’authentification forte, par l’intermédiaire des applications mobiles des banques accessibles depuis un smartphone, ou par une combinaison d’un code à usage unique et d’un autre procédé d’authentification du titulaire de la carte bancaire.

Évolution du système 3D Secure et du mode d’authentification

Au lancement de 3D Secure en France, c’est une information personnelle, du type date de naissance ou adresse, qui était demandée. Puis les banques ont mis en place des systèmes basés sur un code à usage unique. Mais il est apparu que cette procédure présentait des faiblesses de sécurité. La directive européenne sur les services de paiement (DSP2) exige une « authentification forte » ou double authentification.

Comment se passe une transaction 3D Secure avec l’authentification forte ?

transaction 3D Secure avec authentification forte

Un client qui souhaite acheter sur un site e-commerce va devoir suivre la procédure suivante :

1. Le client télécharge au préalable sur son téléphone l’application d’authentification de sa banque (la plupart des banques ont d’ores et déjà donné des noms commerciaux à l’authentification forte) et suit la procédure demandée.

2. Il récupère par SMS le code unique d’activation du service d’authentification forte envoyé par la banque.

3. Lors d’un paiement sur un site e-commerce, il reçoit sur son téléphone une demande d’authentification :

  • soit par saisie du code personnel,
  • soit par empreinte biométrique,
  • soit par caractéristique personnelle.

4. Si les informations sont valides, la banque valide le paiement par une notification envoyée sur l’application.

Cette procédure d’authentification est un exemple. Elle peut légèrement différer selon le dispositif mis en place par la banque du titulaire de la carte. Pour connaître le mode d’emploi précis qui vous concerne, vous devez contacter votre banque ou consulter le site internet de votre établissement bancaire.

Les titulaires de carte bancaire qui ne disposent pas de smartphone, ou qui ne souhaitent pas installer l’application de leur banque, pourront continuer de régler par carte leurs achats en ligne. Des procédures spécifiques sont développées par les banques, par mot de passe couplé au code reçu par SMS ou par boitier fourni aux clients permettant d’authentifier le paiement. Renseignez-vous auprès de votre banque.

Paiement en ligne par carte bancaire : quelques conseils pratiques

  • Assurez-vous que le numéro de téléphone qui figure dans l’écran d’identification 3D Secure correspond bien à votre numéro de téléphone portable. Si vous avez changé de numéro, pensez à communiquer à votre banque vos nouvelles coordonnées.
  • Gardez votre téléphone à portée de main avant de vous lancer dans un achat internet. C’est sur ce dernier que le code à saisir va vous être envoyé par SMS.
  • Après trois échecs de saisie du code reçu par SMS, la transaction en cours est annulée et la carte de paiement est bloquée pour toute nouvelle utilisation sur un site marchand 3D Secure. En revanche, les paiements par carte bancaire sur les sites non 3D Secure, chez les commerçants et les retraits d’espèces restent possibles. Contactez votre banque pour débloquer l’usage 3D Secure de votre carte.

Que faire en cas d’opération frauduleuse ?

Si vous êtes victime d’une opération débitée sur votre compte bancaire mais qui n’a pas été vérifiée par votre banque par l’authentification forte, vous ne supporterez pas les conséquences financières.

Vous devez immédiatement informer votre banque de cette opération non autorisée et au plus tard dans un délai de 13 mois après le débit.

Si votre banque n’arrive pas à faire la preuve de l’utilisation de la procédure 3D Secure, votre responsabilité n’est pas engagée car l’opération est réputée « non autorisée ». Votre banque est tenue de vous rembourser l’intégralité des sommes indûment débitées (article L133-18 du Code monétaire et financier).

La banque doit rembourser immédiatement le montant de l’opération non autorisée et remettre le compte dans l’état où il se serait trouvé si l’opération litigieuse n’avait pas eu lieu.

Attention aux mails frauduleux « Verified by Visa »

Des mails frauduleux, ou phishing, portant la mention « Verified by Visa » circulent. Un texte rédigé en mauvais français peut vous alerter. Quelle que soit la raison invoquée, personne ne doit à aucun moment vous demander votre code confidentiel. Ne communiquez JAMAIS votre code confidentiel.

    286 commentaires sur “Paiement par carte bancaire sur Internet : 3D Secure et authentification forte”
    1. Comment savoir, lors d’un achat internet, si le site marchand récupere mes information de carte bleu (pour envoyer en une seule fois touts les achats du jour par exemple)…et donc craindre que ce site soit piraté et voir de achats fait avec ma carte par n’importe qui ?

      1. Bonjour,
        Il est recommandé de réaliser ses achats en ligne sur des sites de e-commerce reconnus et d’éviter tout site malveillant. Il est également préférable de ne pas opter pour l’enregistrement des données relatives à sa carte bancaire, option parfois proposée par les sites ou les applications mobiles pour faciliter les paiements récurrents.
        Meilleures salutations
        L’équipe de lafinancepourtous.com

    2. Je suis dans une zone blanche, mais l’internet téléphonique « filaire » fonctionne. je n’ai pas de smartphone et je ne peut pas recevoir de sms (zone blanche). par contre, techniquement, je peux demander à un membre de ma famille, qui habite en ville, de m’héberger sur son smartphone. je l’appellerai par téléphone pour lui demander le code ou pour qu’il valide une opération…mais il connaitra mon mot de passe. Tanpis pour moi ! que pensez-vous de ma situation ?

      1. Bonjour,
        La solution que vous évoquez pour effectuer des paiements sur internet nous semble très à risques et donc à éviter. Il serait préférable de vous orienter vers une solution technique alternative pour vous permettre d’accroître votre couverture internet.
        Meilleures salutations
        L’équipe de lafinancepourtous.com

    3. comment se fait que lors de la réception d’un SMS indiquant un code de 3d secure et que aucun achat internet n’à été effectué, de 688€, on appelle le 09….. de 3dsecure. la personne qui répond au bout d’un temps assez long nous indique qu’elle n’a aucune possibilité de verifier, n’ayant pas d’internet. De qui se moque t’on ?
      absolument inacceptable en plus que la même personne vous annonce fièrement, Faites opposition à votre CB au plus vite.
      j’espère qu’il va y avoir du nettoyage chez 3d secure. surtout qu’elle s’est présentée en répondant Banque postale 3d secure.

      1. Bonjour,
        Dans votre situation, nous vous recommandons de prendre contact le plus rapidement possible avec votre conseiller bancaire. Il pourra vérifier si l’opération a été ou non débitée de votre compte bancaire. Et il vous indiquera les démarches à engager pour éviter une éventuelle fraude.
        Meilleures salutations
        L’équipe de lafinancepourtous.com

    4. bonjour . quand je veux confirmer mon paiement avec la sécurité de ma banque , le montant est de 38 au lieu de 87 , j’ai essaye plusieurs fois mais rien a faire les sommes ne correspondent pas

      1. Bonjour,

        Nous ne pouvons pas vous donner d’explication concernant cette modification de montant lors de la validation de votre paiement. Vous devez vérifier auprès de votre banque si le montant de vos opérations de paiement en ligne est ou non plafonné. Nous vous conseillons de contacter votre conseiller bancaire pour obtenir plus d’informations.

        Meilleures salutations

        L’Equipe de Lafinancepourtous.com

    5. Bonjour,
      J’ai recemment effectué un paiement en ligne avec une validation par le securPass. Paiement Validée malheureusement le site marchand par lequel je suis passer me redemande une seconde fois de valider mon paiement. Est ce normal sachant que je n’est pas de commande validée, ni d’email de confirmation.
      merci d’avance.

      1. Bonjour,

        Il ne nous est pas possible de connaître les modalités pratiques de mise en œuvre de ce dispositif de validation par authentification forte entre votre fournisseur (site marchand) et votre banque.
        Nous vous suggérons de vérifier auprès de votre banque (dans votre espace de banque en ligne ou auprès de votre service client voire de votre conseiller) si le paiement a été enregistré sur votre compte. S’il l’a été, retournez-vous vers votre fournisseur pour exiger la livraison de l’achat. S’il ne l’a pas été, il est probable qu’il y a eu un incident au moment de votre paiement, soit entre votre terminal (ordinateur, tablette ou smartphone) et le site marchand et/ou entre votre terminal et votre banque, soit entre ce site marchand et votre banque (éventuellement via le service pour traiter les paiements utilisé par votre fournisseur). Le mieux est de prendre alors contact avec votre fournisseur pour lui demander de confirmer la non-prise en compte de votre paiement. Si c’est bien le cas, il vous confirmera la nécessité de revalider votre paiement ou il vous proposera d’annuler la première transaction et d’en réaliser une nouvelle identique.
        Meilleures salutations
        L’équipe de lafinancepourtous.com

    6. Bonjour,
      J ai recemment effectué un paiement en ligne avec une double authentification (identifiant de connexion au site de ma banque+reception d un code par SMS). Toutefois, le paiement n’a pas fonctionné malgré la confirmation de mon authentification via la banque. Est ce normal. J ai fini par utiliser une autre carte bleue d’une autre banque et cela a fonctionné. Est ce normal ?
      ma banque me dit que cela vient du commercant. Merci par avance pour votre analyse

      1. Bonjour,
        A priori, la double authentification aurait dû permettre de valider le paiement en ligne. Nous ne pouvons pas vous donner d’explication concernant l’échec de cette procédure. Vous devez vous assurer auprès de votre banque que ce paiement refusé n’a pas été débité de votre compte bancaire.
        Meilleures salutations
        L’équipe de lafinancepourtous.com

      2. j’ai exactement le même problème avec bforbank et la même réponse du marchand. C’est horripilant. Sûr que le risque de fraude va diminuer…

    7. Le code qu’on reçoit est de combien de chiffre.
      J’ai reçu un code à 5 chiffres et je ne pourrais pas valider.
      J’ai annulé la transaction.

      1. Bonjour,

        Les procédures de double authentification mises en place par les banques varient d’un établissement à l’autre. Vous devez vous adresser à votre agence bancaire pour connaître les conditions d’utilisation du code reçu.

        Meilleures salutations

        L’équipe de lafinancepourtous.com

        1. Bonjour,
          Même problème.
          L’agence dit « désolé, je n’y peux rien, appeller le 3477 ».
          J’appelle et « en raison d’un grand nombre d’appels votre appel ne peut aboutir… ».
          Bravo !

    8. bonjour,
      je souhaiterais pouvoir disposer de deux numéros de téléphone de validation, un français et un étranger.est ce possible ?

      1. Bonjour,

        Vous devez vous renseigner auprès de votre conseiller bancaire qui pourra vous indiquer quelle procédure est proposée par votre banque pour authentifier les paiements par carte.

        Meilleures salutations

        L’équipe delafinancepourtous.com

    9. bonsoir, comment font les pays étranger pour passer une commande sur des sites francais avec leurs cartes visas ou master card? vous perdez des millions de clients sans vous en rendre compte à cause de votre paranoia. Merci

    10. bonsoir à partir du 15 mai fini le 3D secure et fini la connexion à votre espace client simplement –
      il faut un smart phone pour la dsp2 même si vous faites
      TOUS vos achats en ligne sur un pc et même si vous êtes dans une banque classique –
      MAIS à mon avis le vrai problème est ailleurs car dans ce cas on peut tjrs se débrouiller
      pour acheter autrement (oui c’est possible) : il est indiqué que même la connexion
      à votre espace client nécessite une authentification forte différente de celle de 90 jours actuelle et donc une appli
      et donc un smartphone (donc pour stocker vos relevés de compte vous devez passer par un smartphone) –
      j’aimerai votre avis précis sur ce point qui me semble très + contraignant
      (pour ma part la BNP m’indique que je ne pourrai plus me connecter à mes comptes prochainement
      sans rien proposer d’autre) et hellobank (mon conjoint) indique qu’il faudra probablement
      transférer les comptes ailleurs (oui mais où si toutes les banques sont concernées) – comment
      faire un virement, gérer son épargne si on ne peut pas accéder à ses comptes? – faut-il garder son argent sous son matelas ?
      est-ce vraiment ça le progrès ? merci l’Europe c’est formidable et bonne journée

      1. Bonjour

        Cette authentification forte répond à des obligations de lutte contre les escroqueries qui ne cessent de se développer. Effectivement, cela est contraignant pour certains clients et clientes ne disposant pas d’un Smartphone.
        Meilleures salutations
        L’Equipe de Lafinancepourtous.com

        1. Bonsoir, on sent que cette situation ne vous concerne pas à la limite on sent même que ça vous éclate que l’on puisse vivre sans smartphone…. pour ma part j’ai un smartphone mais il rejette l’appli de la BNP il doit être trop vieux – idem pour ma tablette donc même en étant équipés on est pénalisés si on n’a pas un tél très récent –
          seuls 77% des français ont un smartphone (étude ARCEP 2019) donc 23% d’entre nous seront laissés de côté tout ça pour des transactions en ligne qu’ils n’effectuent pas ou seulement sur un PC… – on perd le sens commun –
          pourriez-vous me dire avec cette contrainte où mettre son argent si on ne peut plus y accéder ? (parce qu’une banque qui vous dit qu’elle n’a rien à vous proposer pour vous connecter c’est anormal – la DSP2 prévoit des exceptions (le crédit mutuel a le Digipass qui fonctionne TB) – ça me parait impossible de laisser des clients sans autres options – slt,

          1. Bonjour
            Nous nous sommes surement mal exprimés et cette situation est bien évidemment très contraignante pour les clients. Effectivement, certaines banques proposent des alternatives. Avez-vous consulté votre conseiller bancaire à ce sujet ? Sur le site de la BNP nous ne voyons pas de solutions telle que celle développée par le Crédit Mutuel ou les Caisses d’Epargne.
            Meilleures salutations

            L’Equipe de Lafinancepourtous.com

286 commentaires

Commenter