Paiement en ligne par carte bancaire : sécurisé ou pas ?


Comme chacun le sait, les cartes bancaires « classiques » en plastique fournies par les banques françaises émettrices de Cartes Bancaires (CB ou CB/Visa ou CB/Mastercard), permettent à tout un chacun les achats en ligne sécurisés en 3D Secure s’il est activé par le eMarchand sur Internet.

Contrairement à un achat dans une boutique réelle, la carte physique n’est pas nécessaire au moment du paiement en ligne sur Internet, il n’y a pas actionnement du code PIN à 4 chiffres dans un quelconque lecteur appelé Terminal de Paiement, car sur Internet les achats se font en mode « Card Not Present », avec une saisie du numéro de carte bancaire à 16 chiffres (appelé PAN), de la date de validité mois et année, et du code CVV à 3 chiffres à l’arrière de la carte bancaire. Ainsi si vous notez sur un papier par exemple ces numéros, vous pouvez effectuer votre achat. Et c’est bien là le risque : quelqu’un qui aurait copié ces numéros peut faire un achat à votre place et votre carte sera débitée. Sauf si le paiement est « 3D Secure », une sécurité complémentaire permettant à la banque qui a fourni la carte (la banque émettrice) de vérifier le porteur (authentification du titulaire de la carte bancaire avec par exemple utilisation d’un code secret à usage unique envoyé sur le téléphone mobile du porteur). La sécurité du paiement en ligne utilisant 3D Secure est importante, notamment en France puisque le code secret est envoyé par SMS sur le numéro de portable du propriétaire de la carte bancaire.

Dans d’autres pays, et pour certaines banques émettrices, le code 3D Secure ne change pas et n’est pas dynamique. Cela peut par exemple être une date de naissance, ou un code unique. Cela a par exemple été le cas pour certaines banques au Royaume-Uni et en Suisse. Les pirates ou « carders » sont malins : ils ont immédiatement saisi cette faille de sécurité de certaines banques pour se prodiguer les numéros de cartes bancaires et les codes 3D Secure associés, par exemple avec des Emails envoyés en masse sur des millions d’Emails de citoyens Suisses et Anglais. En se faisant passer pour le constructeur Apple et faire croire à une « sécurisation » de son compte Apple, un premier Email est envoyé et demande de saisir les informations de sa carte bancaire. L’Email indique qu’Apple vous appellera pour vous demander votre code 3D Secure pour un paiement de 1 euros par exemple, afin de « sécuriser » votre compte. Evidemment, le voleur à distance se réjouit si vous obtempérez : il possède ainsi tous vos numéros de carte, y-compris votre code 3D Secure statique. Lorsque vous vous rendrez compte que les achats ne proviennent pas de vous sur votre relevé, votre banque vous remboursera. Si le paiement n’était pas 3D Secure, il reviendra au eMarchand de vous rembourser : c’est un « ChargeBack » qu’il reçoit. Je considère que ces fraudeurs sont les descendants d’Arsène Lupin : ils sont très malins, ils volent finalement les banques lors d’un piratage de carte 3D Secure, puisque ni vous, porteur de la carte, ni le marchand, ne payerez pour une telle fraude.

Le risque de piratage de votre carte bancaire en utilisation 3D Secure est dont très restreint pour les cartes françaises, et pour les sites Internet utilisant le protocole 3D Secure. Car les banques françaises utilisent un code SMS dynamique pour le 3D Secure. Le risque de piratage est plus élevé sans 3D Secure, si quelqu’un dérobe vos numéros de carte, date d’expiration, et code CVV ; car ces 3 séries de chiffres ne changent pas tant que votre carte bancaire est valide.

Certaines personnes ont donc encore « peur » d’utiliser leur véritable carte bancaire plastique pour payer sur Internet. Ils sont peur que le eMarchand ou un employé du site Internet ne copie les numéros de carte pour faire des achats en ligne. Sachez que vous avez plus de chances de gagner au Loto qu’un eMarchand français sérieux, utilisant une solution de paiement en ligne d’une banque (Mercanet de BNP Paribas, Sogenactif de Société Générale, etc.) ou une solution de paiement agréé (LemonWay, S-Money, MangoPay, etc.) ne vous pirate votre carte bancaire. Préférez effectuer vos achats sur les sites 3D Secure, car même en cas d’usurpation de votre carte bancaire, votre banque vous remboursera si elle a accepté le paiement. Cela s’appelle le « Liability shift » ou transfert de garantie de paiement, du marchand Internet vers la banque qui a émis la carte bancaire.

En résumé voici mon conseil : n’hésitez-pas à utiliser votre carte bancaire pour vos achats en ligne lorsque vous voyez le logo « 3D Secure » sur un site internet. En général vous pouvez le voir au moment de l’achat, ou en vous renseignant sur le moyen de paiement sécurisé généralement expliqué sur le site Internet.

Ne donnez à personne votre code 3D Secure obtenu sur votre mobile. Ce serait un peu comme si quelqu’un vous demandait poliment votre portefeuille dans la rue. Accepteriez-vous ? Non.

Une dernière information pour les sites de eCommerce en ligne : ne croyez pas que votre garantie est totale si vous utilisez le paiement 3D Secure sur votre site. Le paiement est garanti si la carte est utilisée par un hacker ou un voleur de carte bancaire. Mais si votre client (le payeur) se plaint d’un litige commercial auprès de sa banque, sans répudier son paiement (« Monsieur le banquier, j’ai bien fait le paiement, mais je n’ai pas reçu mes marchandises malgré mes 10 relances auprès de ce site, cela fait 2 mois déjà »), vous entrez dans les schémas classiques de contestation de paiement, avec demande de remboursement total ou partiel. D’autres détails peuvent se cacher (site attirant anormalement les carders, site ne respectant pas les centaines de règles Visa ou Mastercard, taux de fraude important sans action pour réduire le taux de fraude, carte business en circulation non compatible avec le paiement 3D Secure, etc.) et faire que votre banque refuse de rembourser le payeur lors d’un paiement 3D Secure. Elles sont cependant extrêmement rares.

Le taux d’acceptation carte, et donc le Chiffre d’Affaires du marchand en ligne, diminue lorsqu’il y a utilisation du 3D Secure. Les banquiers vous diront qu’il s’agît justement des paiements frauduleux qui n’ont pas lieu, tandis que les eMarchands vous diront que leurs clients ne comprennent pas, ou « ont la flemme » d’aller chercher le code à 4 chiffres sur leur mobile… La vérité est souvent entre les deux. Pragmatiquement, une étude du parcours de paiement permet une réponse objective et sûre. Si sur 100 paiements sur votre site, avant d’utiliser 3D Secure, vous aviez 2% de fraude (paiements acceptés pour vous, mais frauduleux et payés par votre banque : et oui, vous ne le saviez pas, mais la « fraude » est différente du « ChargeBack », et souvent, elle n’est pas payée par le marchand : pour connaître ce taux il faut demander à votre banque ou à votre partenaire de paiement, Etablissement de Paiement, ou Etablissement de Monnaie Electronique), 3% de ChargeBack (répudiation de paiement : le marchand connaît bien ce chiffre car il paye de sa poche le « ChargeBack ») et 5% d’abandon de paiement (il y a plusieurs dizaines de refus possibles : plus d’argent sur le compte, carte non valable, banque du porteur refusant le paiement pour raison de sécurité, etc.), vous aviez 95% de Chiffre d’Affaires, et 3% de votre CA était reversé à la banque pour payer les paiements répudiés à tort ou à raison par vos clients. Du point de vue de la banque, qui paye les 2% de fraude pour vous (invisible en général pour le marchand), et comptabilise les 3% de ChargeBack, vous avez « 10% » de paiements qui sont « problématiques » (3% + 2% + 5% = 10%).

Maintenant, si vous passez en 3D Secure, avec le même scénario, voici ce qui va se passer :

-       Votre CA sera de 95% s’il y a le même taux d’abandon.
-       La banque payera les 2% de fraude
-       La banque payera les 3% de répudiations de paiement (avant c’était du ChargeBack pour vous). Vous gagnez ainsi 3% de marge.

Sur cet exemple : si le paiement 3D Secure « embête plus de 3% » de vos clients qui refusent d’aller chercher leur mobile ou d’entrer le code de paiement 3D Secure, vous perdrez en Chiffres d’Affaires.

Gardez une chose à l’esprit après vos exercices de mathématiques : le paiement en ligne 3D Secure vous protège d’une fraude massive aux voleurs de carte bancaire classiques. Par expérience, depuis 8 ans, j’ai vu des clients croire au succès du lancement de leur site. Malheureusement, certains utilisant du paiement non 3D Secure, ont eu la malchance d’avoir… 100% de voleurs de carte sur leur site pendant les premières semaines d’ouverture. Les hackers sont à l’affût de tout nouveau site de eCommerce n’offrant pas la sécurité 3D Secure. Pendant que vous bossez, eux aussi font un travail quasi systématique de surveillance des nouveaux sites offrant le paiement en ligne, parfois pour « tester des cartes » à des heures fixes et montants fixes chaque journée et les utiliser dans la foulée sur d’autres sites. Un exemple classique : ils testent les numéros de cartes volées sur les sites qui demandent le moins d’informations lors de l’inscription, avant le paiement : sites de paiement mobile entre personnes, sites de dons en ligne, sites de collecte, applications pour smartphone de covoiturage, etc.

Mon conseil pour les marchands en ligne qui ouvrent un site nouveau et ne connaissent pas encore le profil de leur clientèle d’achat en ligne, ni l’historique : utilisez abusivement le 3D Secure. Vous pourrez réfléchir à le désactiver pour vos meilleurs clients, ou vos clients connus depuis plus de 6 mois par exemple. Si le produit est bon, et l’intégration des pages de paiement réussie sur votre site, il n’y a plus désormais, en France, de raisons d’être contre le 3D Secure. Les clients sont habitués désormais. A commencer par les billets de train achetés en ligne.


Et faites-vous accompagner par des professionnels du paiement en ligne, comme Lemon Way ;-)

Commentaires