3D Secure 2

Qu’est-ce que 3D Secure 2 ?

Le 3D Secure 2 (3DS2) est un protocole d’authentification utilisé pour sécuriser les paiements par carte bancaire en ligne. Il intervient au moment du paiement afin de vérifier que le porteur de la carte est bien à l’origine de la transaction.

Il constitue aujourd’hui le standard de référence en Europe pour répondre aux exigences de la DSP2 (Directive sur les services de paiement), qui impose dans la majorité des cas une authentification forte du client (SCA – Strong Customer Authentication).

Contrairement aux versions précédentes, 3DS2 repose sur une transmission enrichie de données entre le marchand, le prestataire de paiement et la banque émettrice. Cette approche permet une analyse plus fine du risque et une adaptation du parcours d’authentification.

DSP2 et authentification forte : cadre réglementaire

La DSP2 vise à renforcer la sécurité des paiements électroniques tout en harmonisant les pratiques au sein de l’Union européenne. Elle introduit notamment le principe d’authentification forte, qui repose sur la combinaison d’au moins deux facteurs indépendants :

• un élément que le client connaît (mot de passe, code)
• un élément qu’il possède (téléphone, carte)
• un élément qui lui est propre (biométrie)

Dans la pratique, cette authentification est principalement mise en œuvre via 3D Secure 2 pour les paiements en ligne.

Toutefois, la réglementation prévoit également plusieurs cas d’exemption, permettant d’éviter une authentification systématique lorsque le niveau de risque est jugé faible ou que la nature de la transaction le permet.

Fonctionnement de 3D Secure 2

Lors d’un paiement en ligne, 3DS2 s’intègre entre l’initiation du paiement et la demande d’autorisation bancaire. Le fonctionnement repose sur plusieurs étapes :

• transmission de données contextuelles liées à la transaction (montant, appareil utilisé, historique, comportement d’achat)
• possibilité pour le marchand ou son prestataire de transmettre certaines préférences ou demandes d’exemption
• analyse du risque par la banque émettrice
• décision finale sur le niveau d’authentification requis

En fonction de cette analyse :

• la transaction peut être validée sans interaction utilisateur (frictionless)
• une authentification forte peut être demandée (challenge)

Il est important de rappeler que la décision finale appartient toujours à la banque émettrice.

Frictionless et challenge : une authentification adaptative

L’un des principaux apports de 3DS2 est de permettre une authentification plus flexible, adaptée au niveau de risque de chaque transaction. Ainsi :

• le mode frictionless permet de valider certains paiements sans action du client
• le mode challenge déclenche une authentification forte, généralement via une application bancaire, un code de sécurité ou une biométrie

Cette approche permet de renforcer la sécurité tout en limitant les interruptions inutiles dans le parcours de paiement.

Rôle des données dans l’évaluation du risque

Le bon fonctionnement de 3DS2 repose en grande partie sur la qualité des données transmises lors du paiement.

Ces données peuvent concerner :

• la transaction elle-même (montant, fréquence, type d’achat)
• le client (historique, habitudes)
• l’environnement technique (appareil, navigateur, localisation)

Plus les données transmises sont cohérentes et complètes, plus la banque émettrice est en mesure d’évaluer précisément le niveau de risque.

En cas d’incertitude ou de suspicion, une authentification forte pourra être exigée.

Exemptions d’authentification forte

La DSP2 prévoit plusieurs mécanismes permettant d’alléger le parcours de paiement dans certains cas.

Parmi les principaux :

• paiements de faible montant
• transactions initiées par le marchand (MIT)
• transactions considérées comme à faible risque

Ces exemptions permettent d’adapter le niveau de sécurité aux caractéristiques du paiement. Cependant, même lorsqu’une exemption est demandée, la banque émettrice conserve toujours la possibilité d’imposer une authentification forte.

Soft decline et nouvelle tentative avec authentification

Dans certains cas, une transaction peut être temporairement refusée via un code appelé soft decline. Ce refus n’est pas définitif : il indique qu’une authentification forte est nécessaire pour poursuivre le paiement. Le processus est alors le suivant :

• une première tentative est effectuée
• la banque demande une authentification
• une nouvelle tentative est envoyée avec 3DS2

Si l’authentification est validée, la transaction peut alors être autorisée. Ce mécanisme permet de traiter certaines opérations qui auraient autrement été refusées.

Certifications et conformité 3DS2

La mise en œuvre de 3D Secure 2 repose sur des standards techniques internationaux.

Les acteurs du paiement doivent notamment être conformes aux spécifications EMVCo (EMV 3DS). C’est la première étape pour s’assurer que la solution est 3DS2 compliant pour American Express, Discover, JCB, Mastercard, Visa… Vérifiez que votre prestataire de paiement soit certifié

À la suite de cette première certification, une seconde est demandée pour chaque réseau carte, tel que :

• CB : Certification émise par le GIE Carte Bancaire.
• Visa : Certification nommée « EMV 3DS compliant ». Vérifiez que votre prestataire de paiement soit certifié
• Mastercard : Certification « 3DS server ». Vérifiez que votre prestataire de paiement soit certifié
• AMEX : Certification « Safekey » définie par American Express. Vérifiez que votre prestataire de paiement soit certifié
• Diners : Certification « ProtectBuy » pour les paiements via Diners Club International

Ces éléments garantissent la fiabilité et l’interopérabilité des paiements. Lyra a été la première plateforme française à obtenir la certification 3D Secure 2 EMVCO et Mastercard. L’aboutissement de plusieurs années de préparation pour garantir une mise en conformité dans les règles de l’art à nos 200 000 clients en France et à l’étranger.

Une richesse de données pour suivre vos garanties de paiement

Lyra vous donne une visibilité totale et de nombreux détails sur le déroulement de chaque transaction. Il vous est donc facilement possible de connaitre le statut de votre garantie sur un paiement (si ce dernier a bénéficié du retry automatique par exemple ou bien pourquoi il a été refusé).

Des infos essentielles pour vous assurer un passage maîtrisé vers la généralisation du protocole 3D Secure2.

Envie d’en savoir plus?