Paiement par carte bancaire sur Internet : 3D Secure et authentification forte

la finance pour tous

Le système d’authentification 3D Secure a pour objet de sécuriser les paiements en ligne par carte bancaire. Code reçu par SMS, notification sur l’application bancaire, authentification par empreinte digitale ou reconnaissance faciale… permettent d’authentifier l’acheteur comme étant le porteur de la carte utilisée pour le paiement.

Le système 3D Secure est un système de sécurisation des paiements en ligne, créé par les émetteurs internationaux Visa et MasterCard et mis en place en France en 2008. Il s’agit d’une procédure d’authentification du porteur de la carte, pour s’assurer que c’est bien celui-ci qui effectue le paiement sur internet.

Achat sur Internet : sécurisation des paiements par carte bancaire avec 3D Secure

Lorsque les logos « Verified by Visa », « Visa Secure », « CB Paiement Sécurisé », « MasterCard SecureCode » ou « MasterCard Identify Check » sont affichés sur les sites du cybercommerçant, le paiement se réalise en deux étapes.

Étape 1 : saisie des informations bancaires

Comme pour toute transaction sur un site marchand, dans l’espace de règlement de la commande, vous devez saisir :
– le numéro de votre carte, 
– la date de validité de celle-ci, 
– le cryptogramme visuel (3 chiffres figurant au dos de la carte).

Étape 2  : l’authentification de la transaction

Une nouvelle fenêtre s’ouvre alors, avec le logo de votre banque. Elle vous redirige vers le site de votre établissement bancaire pour confirmer votre identité, avec le procédé d’authentification mis en place par celui-ci. Selon la procédure la plus usuelle, votre banque vous envoie par SMS un code à usage unique. Vous saisissez l’information demandée dans l’écran de saisie. Quand l’authentification est confirmée par votre banque, le paiement est autorisé et la transaction est finalisée.

Exemples d'écrans 3D secure

A compter du 15 mai 2021, pour les paiements dès 30 euros, cette authentification par code à usage unique reçu par SMS va être remplacée par un nouveau mode d’authentification forte, par l’intermédiaire des applications mobiles des banques accessibles depuis un smartphone, ou par une combinaison d’un code à usage unique et d’un autre procédé d’authentification du titulaire de la carte bancaire.

Évolution du système 3D Secure et du mode d’authentification

Au lancement de 3D Secure en France, c’est une information personnelle, du type date de naissance ou adresse, qui était demandée. Puis les banques ont mis en place des systèmes basés sur un code à usage unique. Mais il est apparu que cette procédure présentait des faiblesses de sécurité. La directive européenne sur les services de paiement (DSP2) exige une « authentification forte » ou double authentification.

Comment se passe une transaction 3D Secure avec l’authentification forte ?

transaction 3D Secure avec authentification forte

Un client qui souhaite acheter sur un site e-commerce va devoir suivre la procédure suivante :

1. Le client télécharge au préalable sur son téléphone l’application d’authentification de sa banque (la plupart des banques ont d’ores et déjà donné des noms commerciaux à l’authentification forte) et suit la procédure demandée.

2. Il récupère par SMS le code unique d’activation du service d’authentification forte envoyé par la banque.

3. Lors d’un paiement sur un site e-commerce, il reçoit sur son téléphone une demande d’authentification :

  • soit par saisie du code personnel,
  • soit par empreinte biométrique,
  • soit par caractéristique personnelle.

4. Si les informations sont valides, la banque valide le paiement par une notification envoyée sur l’application.

Cette procédure d’authentification est un exemple. Elle peut légèrement différer selon le dispositif mis en place par la banque du titulaire de la carte. Pour connaître le mode d’emploi précis qui vous concerne, vous devez contacter votre banque ou consulter le site internet de votre établissement bancaire.

Les titulaires de carte bancaire qui ne disposent pas de smartphone, ou qui ne souhaitent pas installer l’application de leur banque, pourront continuer de régler par carte leurs achats en ligne. Des procédures spécifiques sont développées par les banques, par mot de passe couplé au code reçu par SMS ou par boitier fourni aux clients permettant d’authentifier le paiement. Renseignez-vous auprès de votre banque.

Paiement en ligne par carte bancaire : quelques conseils pratiques

  • Assurez-vous que le numéro de téléphone qui figure dans l’écran d’identification 3D Secure correspond bien à votre numéro de téléphone portable. Si vous avez changé de numéro, pensez à communiquer à votre banque vos nouvelles coordonnées.
  • Gardez votre téléphone à portée de main avant de vous lancer dans un achat internet. C’est sur ce dernier que le code à saisir va vous être envoyé par SMS.
  • Après trois échecs de saisie du code reçu par SMS, la transaction en cours est annulée et la carte de paiement est bloquée pour toute nouvelle utilisation sur un site marchand 3D Secure. En revanche, les paiements par carte bancaire sur les sites non 3D Secure, chez les commerçants et les retraits d’espèces restent possibles. Contactez votre banque pour débloquer l’usage 3D Secure de votre carte.

Que faire en cas d’opération frauduleuse ?

Si vous êtes victime d’une opération débitée sur votre compte bancaire mais qui n’a pas été vérifiée par votre banque par l’authentification forte, vous ne supporterez pas les conséquences financières.

Vous devez immédiatement informer votre banque de cette opération non autorisée et au plus tard dans un délai de 13 mois après le débit.

Si votre banque n’arrive pas à faire la preuve de l’utilisation de la procédure 3D Secure, votre responsabilité n’est pas engagée car l’opération est réputée « non autorisée ». Votre banque est tenue de vous rembourser l’intégralité des sommes indûment débitées (article L133-18 du Code monétaire et financier).

La banque doit rembourser immédiatement le montant de l’opération non autorisée et remettre le compte dans l’état où il se serait trouvé si l’opération litigieuse n’avait pas eu lieu.

Attention aux mails frauduleux « Verified by Visa »

Des mails frauduleux, ou phishing, portant la mention « Verified by Visa » circulent. Un texte rédigé en mauvais français peut vous alerter. Quelle que soit la raison invoquée, personne ne doit à aucun moment vous demander votre code confidentiel. Ne communiquez JAMAIS votre code confidentiel.

    286 commentaires sur “Paiement par carte bancaire sur Internet : 3D Secure et authentification forte”
    1. Ben moi j’en ai plus qu’assez de 3Dsécure. Vous vantez les avantages du paiement électronique pour que les gens ne puissent plus acceder à leur argent réel. Mais en plus d »avoir une finalité frauduleuse (puisqu’à terme le but est d’augmenter les frais bancaires sans que les gens puissent récupérer leur argent), le système ne marche pas. Je suis trader indépendant en bourse, mon brooker (opérateur de bourse) est en Australie et lorsque je dois provisionner mon compte trading pour maintenir une position, ma carte ne fonctionne jamais à cause de ce système à la noix. Moralité, je perds une fortune à chaque fois que 3D sécure s’en mêle. Moi je ne rêve que d’un truc : pouvoir me désabonner de ces services. Même si un jour on me pirate, ça me coutera moins cher.

    2. Bonjour,
      j ai commandé sur un site pour une valeur de 229€. J ai regardé le site avant de commandé. Bon français. noter service client, suivi de commande, paiement sécurisé, paiement en 3 ou 4 fois sans frais.. Ce site me paraissait sûr. Pour finaliser ma commande, le site indique que je vais recevoir mon code 3D secure par sms. Je reçois bien le code, je le saisis, mais là on m indique que le code est erroné et que la transaction est annulée. Je pense avoir fait une erreur dans la saisie. Je redemande un code, j en reçois un autre, et là idem, code erroné. J envoie donc mail au commerçant pour l informer que je n arrive pas à commander. Le lendemain à ma grande surprise je m apercois que 2 fois 229€ ont été débité de mon compte, mais pas avec le nom du site, mais avec un autre site BETCLIC. Je contacte aussitôt ma banque, qui me demande d attendre 1 semaine, voir si je reçois ma commande. Après recherche, je vois que BETCLIC est un site de pari en ligne. En temps le mail envoyé au commerçant me revient Undelivered. Je contacte BETCLIC qui me répond que son site a du être piraté.
      N ayant bien sûr pas ma commande, je recontacte ma banque, qui m envoie un dossier. Je remplis le dossier auquel je joins : la mail Undelivered, le mail de réponse de BETCLIC, et un courrier relatant les faits.
      Reponse de ma banque : rejet du dossier, car j ai donné mon consentement et qu on m invite à contacter le commerçant pour trouver une solution !!!! Ce commerçant n existe pas. Je pense qu ils n ont même pas pris le temps de vérifier.
      Ai-je un recours ?
      merci
      Christelle

      1. Bonjour,
        Vous pouvez faire un signalement ou déposer plainte auprès des services de police ou de gendarmerie dont vous dépendez. Vous pouvez aussi contacter la plateforme « Info Escroqueries » au 0 805 805 817. Composée de policiers et de gendarmes, cette la plate est chargée d’informer, de conseiller et d’orienter les personnes victimes d’une escroquerie.

        Meilleures salutations
        L’Equipe de Lafinancepourtous.com

    3. Bonjour,
      L’évolution réglementaire en France va rend obligatoire l’usage du 3D secure pour les sites en ligne d’ici mars 2021.
      Si des sites étrangers n’utilisent pas le 3D secure, avec une carte VISA ou MASTERCARD, pourra t on continuer à payer sur certains sites étrangers sans 3D secure ?

      La question autrement posée : après mars 2021, subsiste t -il un risque de fraude si un no de carte est utilisée par un tiers à notre insu pour un paiement sur un site étranger ou une réservation d’hotel par exemple ?

      Je crois comprendre que c’est un dispositif géré par la banque du débiteur mais aussi en lien avec les réseaux (VISA et MASTERCARD par exemple).

      Merci à vous pour vos réponses.

      1. Bonjour,
        A priori, la réglementation relative à la contestation et la responsabilité des opérations de paiement non autorisées (articles L133-18 et suivants du Code monétaire et financier) continuera de s’appliquer. Nous aurons certainement l’occasion de traiter ce sujet lors de la mise en place des dispositifs d’authentification forte en 2021.
        Meilleures salutations
        L’Equipe de Lafinancepourtous.com

    4. Je n’ai pas pu finaliser un paiement en ligne car mon numéro de téléphone a changé et donc je n’ai pas pu te evoir le code secur par SMS. Où dois je m’adresser pour effectuer ce changement ?

    5. Bonjour,
      j’ai effectué un achat via internet avec sécurité 3D secure.
      aprés commande, je constate que je suis débitée du montant de la commande mais aussi de frais bancaires supplémentaires. Est-ce normal ? comment savoir si des frais bancaires supplémentaires seront appliqués lorsqu’on passe un achat sur internet ?
      merci pour votre aide.

      1. Bonjour,

        Il est nécessaire de savoir sur quoi porte ces frais car a priori il n’y en a pas lors de ce type d’achat. Adressez-vous à votre banque pour en savoir plus.

        Meilleures salutations.
        L’Equipe de Lafinancepourtous.com

      2. Bonjour Nguyen,
        il s’agit probablement de frais bancaires liés à des transactions à l’étranger (hors Schengen), qui sont en général de l’ordre d’une trentaine d’euros pour une Eurocard. Pour éviter cela, il faut avoir la mastercard Gold, mais la cotisation est plus chère. Donc bien vérifier l’origine du vendeur.

    6. Bonjour,
      j’ai été victime en février 2020 d’un montant de 6 600,60 AED (1659,13 €). Un site de phishing ou je pensait ne payer que 15 €. Malgré tous les recours (je me suis arrêté après le médiateur bancaire), la banque n’a rien voulu savoir car j’avais entré mon 3D-Secure.
      Mon avis est qu’il est anormal de laisser de telles transactions passer, surtout quand elles sont à l’étranger, et que j’avais fait opposition dans la demi-heure, m’étant aperçu de la supercherie.
      Même en étant honnête, j’ai eu un refus du médiateur.
      Quand vous remplissez un dossier Perceval, mettez toutes les chances de votre côté en cochant les bonnes cases.
      Nous sommes des victimes et nous ne sommes pas aidés avec les banques et leurs lois.

    7. Bonjour. J’ai effectué un achat sur le site de la fnac mais lors de l’autorisation de paiement par le secur’pass le montant était de 1€ cependant le prix réel était de 2000€ environ. J’ai la confirmation d achat et je voulait savoir si cette erreur sera à mon avantage ou je vais être prélevé du prix réel ? PS je n’ai toujours pas été débité (car débit lors du retrait en magasin si bien compris)

      1. Bonjour,

        Nous ne pourrions vous le dire. Il conviendrait de contacter le marchand et/ou votre banque pour en savoir plus.

        Meilleures salutations
        L’Equipe de Lafinancepourtous.com

    8. j’ai effectue un depot d’argent sur un broker en finance et quand je met le code envoyé par sms il me mettent que c’est bon mais me redemande a chause fois de reettre un nouveau code et ducoup le depot n’aboutit pas .

      1. Bonjour,

        Il conviendrait de contacter ce site et/ou votre banque pour en savoir plus.

        Meilleures salutations
        L’Equipe de Lafinancepourtous.com

    9. Bonjour,

      J’ai effectué un paiement 3D secure sur un site mais je n’ai pas pu le valider car j’avais un problème sur mon téléphone (téléphone neuf sur lequel mon appli bancaire n’était pas configurée correctement). Malgré cela, le marchand a tout de même réussi à me débiter, j’en conclus donc que le 3DS a été « by passé ». Est-ce possible ? Est-ce normal ? Comment la banque peut-elle autoriser le prélèvement dans ce cas ?

      Merci d’avance pour votre retour.

      1. Bonjour,

        Seule votre banque pourrait vous répondre sur ces points techniques. Nous vous conseillons donc de revenir vers elle.

        Meilleures salutations
        L’Equipe de Lafinancepourtous.com

    10. Bonjour, j’ai fait un achat en 4x sur un site internet, j’ai mis la carte de mon copain, mais le compte du site et a mon nom, mon copain a mis le code de sécurité pour validé la commande, la commande a été acceptée et 20min après je reçois un email comme quoi je dois payer 22euros en 3DS pour finaliste ma commande. Je ne comprend pas

      1. Bonjour,

        Nous ne pouvons vous en dire plus. Il conviendrait de contacter le marchand et votre banque pour en savoir plus. Un bug informatique est toujours possible dans ce type de paiement.

        Meilleures salutations
        L’Equipe de Lafinancepourtous.com

286 commentaires

Commenter