3-D Secure

3-D Secure er en sikker Internett-betaling protokollen . 3-D Secure ble utviklet av varenavnene "Verified by Visa" og "MasterCard SecureCode", og ble utviklet av Visa og MasterCard for å begrense risikoen for svindel på internett knyttet til uredelig bruk av betalingskortnummer. Hensikten er å sikre at kortet brukes av den virkelige innehaveren under hver online betaling.

I tilfelle både kjøpmann og kortholderens bank er utstyrt, skjer et ekstra trinn på betalingstidspunktet. I tillegg til bankkortnummeret, kortets utløpsdato og de tre sifrene i sikkerhetskoden (trykt på baksiden av kortet), kan det hende at Internett-brukeren må angi et passord, fødselsdato eller en dynamisk en- tidskode.

Beskrivelse

Det grunnleggende konseptet med denne protokollen (basert på utveksling av XML- meldinger ) er å koble den økonomiske autorisasjonsprosessen med online autentisering. Denne autentiseringen er basert på en modell som består av tre domener (derav omtalen "3D") som er:

1. Selgeren og banken som vil motta midlene (på engelsk  : Acquirer Domain );
2. Banken som utstedte betalingskortet (på engelsk  : Issuer Domain );
3. Bankkortsystemet (på engelsk  : Interoperability Domain ).

Protokollen bruker XML- meldinger sendt over SSL- tilkoblinger (som garanterer kryptering av forespørsler samt autentisering av serveren og klienten med digitale sertifikater).

Modaliteter

Avhengig av banken som utsteder kortet, varierer autentiseringsmetodene.

Noen eksempler på franske banker (protokollen har vært gjeldende i Frankrike siden1 st oktober 2008):

• Gjensidig kreditt og CIC  : Kunden må enten indikere en av kodene skrevet på sitt "personlige nøkkelkort" (et rutenett med 64 firesifrede koder der riktig kode må tegnes i henhold til linjen og kolonnen som nettstedet krever) og en kode mottatt via e-post til adressen som er knyttet til bankkontoen hans, enten direkte via applikasjonen installert på smarttelefonen, som sender ham et varsel når det er behov for å validere;
• Barclays , ING , HSBC og Axa Banque  : en engangskode sendes på SMS
• Sparebank  : en kode sendes på SMS . Hvis kunden ikke vil bruke dette systemet, kan han bruke en boks der han setter inn kortet sitt i en boks som ser ut som en kalkulator og skriver inn PIN-koden og en engangskode vises.
• BNP Paribas  : kunden må oppgi fødselsdato; sidenjuli 2009en kode sendes på SMS. Kunden kan velge en Digipass-maskinvareautentisering;
• Société Générale Group (inkludert Boursorama , Crédit du Nord ): En kode sendes på SMS. I tillegg, med den spesifikke smarttelefonapplikasjonen, kan han validere operasjonen ved å koble til applikasjonen sin;
• Crédit Agricole Group (inkludert LCL ): siden 2010 har en kode blitt sendt via SMS, og mislykkes som kunden må indikere et personlig passord opprettet under første gangs bruk;
• BRED Banque Populaire  : en Ipab-autentiseringsnøkkel, en krypteringsnøkkel med USB-nøkkelformat;
• Regional Banques Populaires og datterselskaper ( Crédit coopératif , Crédit maritime): Kunden setter inn kortet sitt i en boks (tidligere konfigurert av kunden) som ser ut som en kalkulator og legger inn PIN-koden. En engangskode vises. Hvis kunden ikke ønsker å bruke dette systemet, kan han motta et anrop via taleserver eller en SMS på mobiltelefonen sin.
• Groupama Banque  : kunden må oppgi navn, postnummer for bostedet og fødselsdato;
• Postbank  : en kode sendes bare på SMS. Postbanken kaller dette systemet "Certicode";
• Kontonikkel (Electronic Payments Financial): En engangskode sendes via SMS til kunden når du foretar et kjøp.

3-D Secure kan også være aktiv på betaling / kredittkort (debitering i kontanter eller kreditt på en klassisk nåværende konto):

• PASS-kort (fra Groupe Carrefour ): Kunden må oppgi navn og fornavn, fødselsdato og motta en kode på SMS på mobiltelefonen (nummeret skal angis første gang).
• ONEY- kort (datterselskap av Auchan Holding ): kunden mottar en kode på SMS på mobiltelefonen sin.
• Banque Casino-kort: kunden mottar en kode på SMS på mobiltelefonen sin

Anmeldelser

Merket "Verified by Visa" har vært gjenstand for kritikk fordi det er vanskelig å se forskjellen mellom en autentisk popup og en som ville blitt generert av et svindelsted. Pop-up kommer faktisk fra et domene som ikke nødvendigvis er det fra nettstedet der kjøpet ble gjort, og heller ikke det fra banken som kortet kommer fra, og heller ikke det fra visa.com. Som et resultat har selve systemet "Verified by Visa" vært målet for phishing .

Motta SMS kan være et problem i utlandet. Det er også umulig å foreta et eksternt kjøp når kunden befinner seg i et område som ikke dekkes av mobiltelefonnettverket (landskap, fjell eller til og med på visse steder i store byer). Noen banker tilbyr, hvis det er umulig å motta koden på SMS, en alternativ metode, ofte via e-post, som imidlertid har et lavere sikkerhetsnivå.

En 3-D Secure-transaksjon må aldri endres, de facto så snart forhandleren foretar en delvis belastning eller en duplisering av forespørselen om høyere debet, er beskyttelsen 3-D Secure ikke lenger garantert .

Antall transaksjonsfeil med 3D Secure er relativt høyt: SMS ikke mottatt, tilkobling til nettstedet umulig ...

Nedgang i salget

Gjennomsnittlig nedgang i omsetningen er mellom 10% og 15% på online selgerordrer Bruk av 3-D Secure, eventuelt kompensert av det faktum at når det gjelder 3-D Secure nettsteder med bruk av et kort tilknyttet eller ikke med 3-D Secure, er det banken som utsteder kortet og ikke selgeren som bærer vekten av svindelen. kort (ansvarsoverføring).

3D Secure 2.0

Opprinnelig var online betalinger basert på bruk av datamaskiner og nettlesere. Men de kan nå også gjøres ved hjelp av mobile nettsteder og applikasjoner som er tilgjengelige på Android-, iOS- og Windows-enheter. Spesifikasjonene for 3D Secure 2.0 ble skrevet for å gi støtte for mobilbetalinger, integrering med nettlesere og mobilapplikasjoner, risikobasert sikkerhet, flerfaktorautentisering og elektroniske lommebøker. 3D Secure-autentiseringsprosedyren fullføres også ved bruk av autentiseringstokener eller "tokens": engangskredittkortnumre. Selv om de ikke offisielt er en del av standarden, gir de kortholderne mer effektiv beskyttelse mot forfalskning, falske kontobruk og andre former for svindel.

En av de største fordelene med 3DS 2.0 er muligheten for å aktivere autentisering på et bredere utvalg av terminaler, inkludert mobiltelefoner, spillkonsoller, klokker og tilkoblede TV-er. Dette tillater autentisering fra appen som selgeren tilbyr når transaksjonen initieres på en mobilenhet, fra nettleseren når transaksjonen startes på et nettsted, eller fra konsollen for spillkonsoller som verken er basert på et nettsted. Nettleser eller en søknad. På denne måten er autentisering mulig på praktisk talt alle tilkoblede enheter der kjøp kan gjøres. Denne enhetsuavhengige tilnærmingen tillater selgere å tilby en utvidet salgsplattform, samtidig som de sikrer en sikker innkjøpsprosess på tvers av tilkoblede enheter og systemer.

Merknader og referanser

(fr) Denne artikkelen er delvis eller helt hentet fra Wikipedia-artikkelen på engelsk med tittelen "  3-D Secure  " ( se listen over forfattere ) .

1. Betaling med kredittkort på Internett med 3D Secure - Økonomi for alle
2. Feil i 3D Secure i Frankrike: bankenes skyld i følge Ogone - Jean Pierre Blettner, Reseaux-Telecoms.net, 30. september 2009
3. (in) Bekreftet av Visa-ordningen forvirret Tusenvis av internettkunder - The Guardian , 21. april 2007
4. (in) Bekreftet av Visa Activation: Scam Report - MillerSmiles.co.uk, 22. august 2006
5. 3-D sikkert visum - Crédit Agricole
6. "  E-posten, den svake lenken i datasikkerhet  " , Le Point / AFP ,1 st oktober 2015
7. (no) “  Betalingsautentiseringsprotokoller i 2017  ” , på gpayments.com

Relaterte artikler

• Visuelt kryptogram
• E-handel
• Internett-betaling
• Sikker elektronisk transaksjon (SET)