Lorsqu’un paiement par carte est effectué sur Internet ou au téléphone, le problème de l’authentification et de la sécurisation de la transaction est beaucoup plus complexe que dans le cas d’une transaction en magasin. Dans le secteur bancaire, on parle de paiement par carte non présente (CNP) pour désigner ce type de transaction à distance, qui représente un problème pour les vendeurs, car la possibilité de fraude est élevée.

Les entreprises sont donc obligées de se munir de systèmes de détection de fraude et d’outils efficaces pour valider et authentifier les cartes. Nous verrons quelles technologies sont mises actuellement à la disposition des acteurs du commerce en ligne, et dans quel sens elles vont évoluer, en raison de l’entrée en vigueur en septembre 2019 de dispositions prévues par la directive (UE) 2015/2366 relative aux services de paiement dans le marché intérieur.

Les risques liés aux paiements à distance et en ligne

D’après le rapport d’activité 2018 de l’Observatoire de la sécurité des cartes de paiement, publié sur le site de la Banque de France, le taux de fraude sur les paiements à distance pour l’année 2017 s’élevait à 0,16 % et représentait 66 % des fraudes par carte bancaire, contre 16,5 % pour les retraits aux DAB et 17,5 % pour les paiements de proximité.

L’Observatoire constate une diminution du montant des fraudes et un retour à ce qui était observé 10 ans auparavant, malgré une croissance du secteur de 50 %. La baisse de la fraude par carte étant portée justement par la baisse des paiements à distance, qui a été divisé par deux en six ans.

Cette réussite est à mettre au compte de la vigilance accrue des consommateurs et surtout de l’introduction de nouveaux dispositifs techniques par les acteurs du paiement en ligne, que nous allons présenter brièvement afin que vous puissiez envisager l’intégration de technologies complémentaires à vos pages de vente en ligne.

Comment sécuriser les paiements à distance ?

L’authentification forte : Visa et Mastercard ont développé le protocole 3-D Secure, qui nécessite une étape supplémentaire dans la procédure authentification, dont les modalités  varient en fonction de la banque qui a émis la carte.

Logo Verified by Visa

Le taux d’échec de ce type de transaction est de 15 %, ce qui peut sembler élevé, mais en réalité il n’est pas supérieur à celui des transactions non authentifiées.

L’étape d’authentification est dite «forte» lorsque l’on demande  un élément supplémentaire par exemple à l’acheteur (information, biométrie ou élément matériel).  Le protocole 3D Secure utilise un code envoyé par SMS, c’est pourquoi on parle de SMS OTP (OTP = One Time Password = mot de passe à usage unique).

Cette vérification par SMS présente cependant un niveau de sécurité insuffisant selon le législateur européen, et devrait disparaître en septembre 2019, en raison de l’entrée en vigueur de dispositions prévues par la DSP2.

Logo MasterCard SécureCcode

Le taux d’échec de ce type de transaction est de 15 %, ce qui peut sembler élevé, mais en réalité il n’est pas supérieur à celui des transactions non authentifiées.

Il existe désormais un concurrent au système 3-D Secure : pour lutter contre l’hégémonie de Visa et Mastercard, des banques françaises, en l’occurrence Arkea, BNP et la Société Générale, alliées au Groupement des Cartes Bancaires, ont mis au point FAST’R by CB, dont le déploiement a commencé fin 2018, qui devrait être mieux adapté aux normes européennes que le 3-D Secure.

Logo de FAST'R by CB

La carte physique à code de sécurité temporaire : il s’agit d’un hybride entre la carte physique et la carte virtuelle, qui est un autre cas d’identification forte. La carte est physique, mais le code de sécurité (les trois chiffres présents au dos de la carte) est modifié périodiquement, ce qui nécessite une faible source d’énergie. Ce concept novateur nommé Dynamic Code Verification a été développé par la société Gemalto. Cette carte a été conçue spécifiquement pour réduire les fraudes à la carte non présente.

La carte bancaire virtuelle à usage unique : ce service est commercialisé par les banques françaises sous le nom d’e-Carte Bleue.

Logo eCarte Bleue

Au lieu d’indiquer le numéro de sa carte physique et le code de sécurité qui va avec, on utilise une carte bancaire virtuelle générée par un logiciel installé sur son ordinateur ou bien via une application en ligne. Un numéro unique est généré pour chaque achat. Inconvénients : il n’est pas possible d’utiliser ce type de carte pour les paiements récurrents ou pour retirer ses billets de train ou d’avion.

Alternative : la société française Lydia, offre la possibilité de générer des cartes bancaires virtuelles, par exemple une pour Amazon, une pour Spotify, mais il ne s’agit pas vraiment de cartes à usage unique.

Les tierces parties avec identification par mot de passe: le commerçant en ligne peut également proposer les paiements par l’intermédiaire de sociétés tierces comme PayPal ou HiPay. L’avantage de ces systèmes est que les données bancaires du client ne peuvent pas être connues du commerçant, mais uniquement de l’intermédiaire de confiance. Paylib, une solution soutenue par de nombreuses banques françaises, offre une sécurité supplémentaire, car les données ne sortent même  pas de la banque. Voir ci-dessous la présentation de Paylib par ses créateurs :

For privacy reasons YouTube needs your permission to be loaded. For more details, please see our Politique de confidentialité.

L’identification par biométrie : elle est encore peu présentes dans l’authentification des paiements à distance, notamment en raison des réticences de la CNIL, car les données biométriques peuvent constituer des « traces, qui peuvent être répliquées. On notera cependant que la biométrie existe déjà en pratique puisque le système ApplePay et l’application PayPal du Galaxy S5 utilisent l’authentification par empreinte digitale. C’est également le cas pour la fonction achat en un clic de Lydia. On peut aussi citer l’expérimentation de Mastercard qui utilise une identification par selfie. Il est probable que ces systèmes identification biométrique iront en se développant en raison de l’utilisation croissante des smartphones.

Mieux vaut prévenir que guérir

Les opérations de paiement sont garanties par les banques sauf en cas de réclamation écrite du titulaire de la carte ou d’opérations réalisées avec une carte non valide. Étant donné que dans ce cas, les risques d’impayés sont à la charge du commerçant en ligne, celui-ci a donc intérêt à se prémunir contre les risques de fraude en mettant en place toutes les procédures de sécurité disponibles, notamment les moyens de paiement avec identification forte. En effet, le commerçant peut encourir des pénalités de la part de Visa et Mastercard si le taux de remboursement dépasse un certain seuil.

Pour information, il existe une nouvelle solution développée par Ethoca avec par le Groupement des Cartes Bancaires, Alerte CB. Ce système court-circuite la boucle commerçant-banque, envoie une alerte au commerçant en cas de risque d’impayés,  et lui permet ainsi d’éviter de dépasser les taux de remboursement maximum.

Les intégrateurs de solutions de paiement devront en tous cas simplifier au maximum l’accès aux dernières technologies de paiement et les intégrer de manière transparente et intuitive pour l’utilisateur, s’ils veulent rester compétitif.