3DS2: le nouveau standard d'authentification

Afin de lutter contre l'augmentation de la fraude sur les transactions e-commerce, la directive européenne DSP2 a introduit une nouvelle méthode d'authentification forte (SCA ou Strong Customer Authentication) obligatoire à partir du 14 Septembre 2019.

SCA impose que deux des trois différents facteurs d'authentification soient fournis:
  • Possession: donnée que seul le client possède (comme un code à usage unique),
  • Connaissance: donnée que seul le client connaît (comme un mot de passe),
  • Caractéristique personnelle : élément biométrique caractérisant le client (comme une empreinte digitale, reconnaissance vocale ou reconnaissance faciale).

SCA est requise uniquement lorsque l'émetteur et l'acquereur sont situés tous les deux dans l'Espace Economique Européen (EEE).

SCA ne s'applique pas sur les transactions réalisées avec une carte émise hors de l'EEE, ni si le marchand a souscrit un contrat avec un acquéreur hors de l'EEE, même si la carte est émise dans l'EEE.

Pour répondre à cette exigence, une nouvelle version du protocole 3D Secure a vu le jour: 3D Secure 2 (3DS2).

Cette nouvelle version augmente la sécurité des paiements mais aussi l'expérience utilisateur: basée sur une analyse de risques intelligente et dynamique, elle permet de réduire le nombre d'abandons introduits par 3DS1, en réduisant les interactions avec l'acheteur.

Pour cela, une plus grande quantité d'information (presque 10 fois plus qu'avec la version précédente 3DS1) sera utilisée par l'émetteur afin d'évaluer le risque de la transaction. Si l'émetteur détermine que le niveau de risque de la transaction est faible, l'authentification de l'acheteur se fera sans interaction de sa part. On parle alors d'authentification "Frictionless".

Dans le cas où l'émetteur évalue un risque élevé pour la transaction, une interaction de l'acheteur est nécessaire. On parle de "Challenge". Le challenge consistera à soumettre l'acheteur à au moins deux des facteurs d'authentification requis par SCA.

Autres nouveautés:
  • cette nouvelle version supporte les nouveaux canaux de paiement comme les paiements in-app et les paiements via mobile
  • l'authentification en mode pop-in remplace la redirection vers la page de l'ACS.

Plus d'informations échangées entre les différents acteurs

Avec 3DS1, seules les informations suivantes étaient utilisées pour permettre l'authentification du porteur:

  • Numéro de contrat (MID) du marchand

  • BIN de l'acquéreur

  • URL du serveur d'authentification

  • Messages (VEReq,VERes, PAReq, PARes)

  • Numéro de carte du porteur

  • User Agent du navigateur de l'acheteur

Avec 3DS2, les données partagées sont 10 fois plus nombreuses et peuvent être classées en 4 catégories:
  • Transaction & Données client

    Contient des informations obligatoires ou optionnelles récoltées depuis le parcours client sur le site marchand et depuis le détail de la transaction:

    • numéro de carte et date d'expiration
    • adresse de facturation
    • adresse de livraison
    • nom du marchand
    • URL du site marchand
    • pays
    • code MCC
    • BIN acquréreur
    • MID
    • montant
    • devise
    • type de transaction
  • Données d'authentification

    1. Authentification sur le site marchand.
      Concerne l'authentification (non 3DS) de l'acheteur pour accéder au site marchand:
      • méthode d'authentification
      • date et heure de connexion
      • données d'authentification

    2. Précédente authentification forte.
      Données d'authentification 3DS issues d'une précédente transaction réalisée par le même porteur de carte avec le même moyen de paiement:
      • méthode d'authentification (frictionless ou challenge)
      • date et heure de l'authentification 3DS
      • données d'authentification (numéro de transaction ACS)
  • Données du marchand

    1. Informations sur le risque marchand.

      Données que seul le marchand est capable de vérifier à partir du détail de la commande et utilisées pour l'analyse de risques:

      • livraison à l'adresse de facturation
      • livraison en magasin
      • adresse e-mail de livraison
      • période de livraison
      • achat de carte-cadeaux
      • produits disponible ou pré commande
      • première commande ou non
      • score de l'analyse de risque effectuée par le marchand
    2. Informations sur le compte client du porteur.

      Informations relatives aux détails ou à l'historique du compte client sur le site marchand:

      • date de création
      • date de modification
      • date du dernier changement de mot de passe
      • nombre de transactions
      • activité suspicieuse
      • etc...
  • Données sur l'équipement

    Informations spécifiques à l'équipement (navigateur / application native iOS / application native Android):
    • adresse IP
    • langue
    • taille de l'écran
    • fuseau horaire
    • User-Agent
    • entêtes HTTP
    • modèle de l'équipement
    • nom de l'OS
    • version de l'OS
    • date et heure
    • résolution de l'écran
    • coordonnées GPS

    En fonction de l'OS plusieurs dizaines d'informations pourront être exploitées (IMEI, fonts, Subscriber ID etc..)

Exemptions et préférence du marchand

La DSP2 prévoit des cas pour lesquels l'interaction avec l'acheteur (le challenge) ne sera pas nécessaire:

  • les transactions à faible montant ( < 30€ ),
  • les transactions à faible risque,
  • les paiements en plusieurs fois *,
  • les paiements récurrents limités dans le temps, dont le montant des échéances n'est pas variable *.

* une authentification forte sera requise lors de la première échéance et concernera le montant total des échéances.

Cependant, l'émetteur pourra demander une authentication forte si 5 transactions ou plus ont été réalisées avec le même moyen de paiement sur une période de 24 heures, ou si le total des transactions exemptées atteint un montant de 100€.

Avec 3DS2, il ne sera plus possible de désactiver le 3DS. Cependant, le marchand pourra demander une exemption dans sa requête de paiement (on parle de "préférence du marchand").

Dans ce cas, si la demande est acceptée par l'émetteur, l'acheteur n'aura pas à s'authentifier (pas de challenge) mais le marchand assurera la responsabilité en cas d'impayé (pas de transfert de responsabilité à l'émetteur).

Dans tous les cas, la banque émettrice déterminera seule si la transaction doit faire l'objet d'une exemption.