Le protocole 3D Secure ajoute une étape d’authentification lors d’un achat en ligne par carte bancaire. Depuis l’application complète de la directive européenne DSP2, cette authentification forte est devenue la norme pour la majorité des transactions. Certains sites marchands n’activent pas ce dispositif, par choix technique ou parce qu’ils bénéficient d’exemptions réglementaires. Acheter sur ces plateformes expose à des risques précis, tant pour le porteur de la carte que pour le commerçant.
Transfert de responsabilité en cas de fraude sans authentification forte
Le mécanisme le moins visible pour l’acheteur est aussi le plus structurant. Quand un paiement passe par 3D Secure, la responsabilité d’une transaction frauduleuse bascule du commerçant vers la banque émettrice de la carte. Sans cette authentification, le schéma s’inverse.
Lire également : 5 avantages d’acheter une imprimante laser
La Banque de France rappelle dans son Panorama de la fraude aux moyens de paiement 2024 que les règles du Code monétaire et financier continuent de s’appliquer : l’émetteur doit rembourser immédiatement le payeur, sauf soupçon de fraude de ce dernier. La responsabilité du remboursement repose sur le prestataire de services de paiement lorsqu’un paiement a été effectué sans authentification forte alors qu’elle était exigible.
En pratique, cela signifie que le consommateur reste protégé par la loi. La situation est bien plus risquée pour le commerçant qui choisit de ne pas activer 3D Secure : en cas de contestation, c’est lui qui supporte la perte financière. Pour comprendre pourquoi certains marchands font ce choix malgré tout, une liste des sites sans 3D Secure sur Geekfinity détaille les motivations commerciales derrière cette décision.
Lire également : Les clés pour réussir et booster votre business en 2024
Fraude par carte bancaire sur les sites sans 3D Secure : un taux plus élevé
Le dernier rapport de l’Observatoire de la sécurité des moyens de paiement (OSMP) confirme une tendance nette : le taux de fraude sur les paiements par carte en ligne est en baisse continue sur la période 2023-2024, grâce à la généralisation de l’authentification forte et de 3D Secure 2.
Le rapport précise que les transactions réalisées sans authentification forte, même lorsqu’elles sont autorisées par une exemption réglementaire, concentrent une part nettement plus élevée de la fraude que les transactions authentifiées. Acheter sur un site qui ne déclenche pas cette vérification place donc la transaction dans la catégorie statistiquement la plus exposée.
Comment un fraudeur exploite l’absence de 3D Secure
Sans authentification forte, un achat frauduleux ne nécessite que trois informations : le numéro de la carte, sa date d’expiration et le cryptogramme visuel à trois chiffres situé au dos. Des chercheurs ont démontré que ces données peuvent être devinées par force brute en exploitant les réponses des systèmes de paiement de certains sites, comme le rapporte le site Korben.
Le scénario type se déroule ainsi :
- Un fraudeur récupère un numéro de carte via un site de phishing ou une fuite de données.
- Il teste la carte sur un site sans 3D Secure, où aucun code par SMS ni validation biométrique n’est demandé.
- La transaction est validée en quelques secondes, sans que le titulaire de la carte soit alerté avant la réception de son relevé bancaire.
Ce type d’attaque est rendu beaucoup plus difficile, voire impossible, lorsque l’authentification forte exige un facteur supplémentaire que le fraudeur ne possède pas (accès au téléphone, empreinte digitale).
Exemptions DSP2 : pourquoi certains paiements passent sans authentification
Tous les paiements en ligne sans 3D Secure ne sont pas illégitimes. La DSP2 prévoit des exemptions à l’authentification forte dans des cas encadrés :
- Transactions de faible montant, en dessous d’un seuil défini par la réglementation.
- Opérations récurrentes auprès d’un même commerçant après une première authentification réussie.
- Transactions considérées à faible risque par l’analyse en temps réel du prestataire de paiement (approche dite « frictionless » de 3D Secure 2).
- Achats auprès de bénéficiaires de confiance préalablement enregistrés par le porteur de carte auprès de sa banque.
Le mode « frictionless » de 3D Secure 2 mérite une attention particulière. L’authentification a bien lieu, mais elle est silencieuse : le système analyse en arrière-plan des dizaines de paramètres (appareil utilisé, localisation, historique d’achat) pour décider si une vérification active du porteur est nécessaire. L’absence de pop-up ne signifie pas l’absence de protection.
La distinction est importante. Un site qui bénéficie d’une exemption DSP2 reste dans un cadre réglementaire contrôlé. Un site qui ne propose tout simplement pas 3D Secure, souvent hébergé hors de l’Espace économique européen, ne bénéficie d’aucun de ces garde-fous.
Vérifier la sécurité d’un site avant un achat par carte en ligne
Avant de saisir des informations bancaires sur un site qui ne déclenche pas d’authentification, plusieurs points permettent d’évaluer le niveau de risque réel.
La présence du cadenas HTTPS dans la barre d’adresse garantit le chiffrement des données en transit, mais ne dit rien sur la fiabilité du commerçant. Un site frauduleux peut tout à fait disposer d’un certificat SSL.
Les moyens de paiement alternatifs offrent une couche de protection supplémentaire. Les cartes bancaires virtuelles, proposées par la plupart des banques et fintechs, génèrent un numéro de carte à usage unique qui devient inutilisable après la transaction. Même en cas de fuite de données, les informations récupérées ne permettent aucun achat ultérieur.
Le site du ministère de l’Économie recommande également de ne jamais enregistrer ses coordonnées bancaires sur un site marchand et d’éviter les réseaux Wi-Fi publics pour effectuer des transactions.
La tendance réglementaire va vers un renforcement de l’authentification, pas vers un assouplissement. La future directive DSP3 prévoit un encadrement encore plus strict des exemptions et une extension du périmètre de l’authentification forte. Les sites qui contournent aujourd’hui le 3D Secure par commodité commerciale devront adapter leurs pratiques ou accepter de supporter un risque financier croissant à chaque contestation de transaction.