L’éradication de la fraude, c’est maintenant.

par Martin Ottenwaelter, le 3 juillet 2012 | 79 commentaires

Quelques mois avant de lancer la version bêta, nous avons signé un contrat avec notre banque pour le paiement par carte de crédit. Au début, ce contrat nous obligeait à utiliser le 3D Secure.

Il était hors de question pour nous de lancer le service avec ce machin. Le 3D Secure, c’est une étape supplémentaire qui ralentit le paiement. Chaque banque a inventé une méthode différente d’authentification, de la moins absurde à la plus idiote :

  1. un code envoyé par SMS
  2. un code qu’il faut trouver sur une « carte bingo »
  3. un code qu’on obtient en appelant un 08
  4. sa date de naissance (super pour la sécurité)
  5. le prénom de sa meilleure amie d’enfance
  6. un code généré par une calculatrice (qui ressemble aux trucs gratuits qu’on a donné aux grand-mères pour le passage à l’Euro, super pratique à ranger dans son portefeuille)

Déjà qu’on n’y comprend rien, en plus, le nom est nul. Les banques appellent ça « 3D Secure », alors que les logos portent les marques « Verified by Visa » et « MasterCard SecureCode ». Une critique plus détaillée du 3D Secure est à lire dans l’étude de Que Choisir de février 2012.

Le pompon, c’est quand nous nous sommes rendu compte que nous ne pouvions même pas acheter nos propres billets de trains avec notre carte bleue parce que le 3D Secure ne marchait juste pas.

Bref, après quelques mois de harcèlement, notre banque a fini par bien vouloir nous ôter le 3D Secure. Juste à temps pour le lancement de la bêta.

Et puis, arriva ce qu’il devait arriver.

Un beau jour nous avons reçu un « avis de débit du service des impayés de la division monétique ». Traduction : « Salut ! Un type a payé sur ton site avec une carte bleue volée. On a remboursé la victime avec ton argent. Bisous, ta banque. ».

Quelque temps plus tard, un autre. Parfois quelques semaines sans rien, juste le temps de nous faire croire que le dernier avis n’était qu’un accident. Mais non, des avis de débit nous reçûmes.

Nous avons joué au chat et à la souris avec les fraudeurs pendant quelque temps, pour analyser leur comportement et afin de trouver la réponse la plus appropriée. Nous avons un moment envisagé d’essayer de détecter les fraudeurs en analysant un certain nombre de critères. Mais notre boulot c’est de vendre des billets de train, pas de créer un outil de détection de fraude.

Nous avons donc décidé d’activer le 3D Secure sur Capitaine Train.

Je suis désolé. Vraiment.

La bonne nouvelle quand même, c’est que nous ne l’activons que lorsqu’un utilisateur utilise une carte pour la première fois. Cela signifie que dans la plupart des cas, nous ne vous demanderons de valider l’étape 3D Secure que lors de votre première utilisation de Capitaine Train. Une fois cette étape validée, notre confiance vous sera acquise et nous ne vous embêterons plus avec le 3D Secure pour les paiements suivants.

Bref, voici ce qui vous attend :

On se voit de l’autre côté de la popup.

***
Mise à jour de janvier 2014 : depuis la publication de ce post, la règle du 3DS « uniquement la première fois » n’est plus valable actuellement. Depuis, la malice des fraudeurs nous a malheureusement obligé à durcir un peu plus les règles.


79 commentaires

Bonne nouvelle : 3D secure est en rade depuis dimanche chez Boursorama (je ne sais pas si c’est le cas pour les autres banques). On me demande de patienter : en attendant aucun achat possible via ce système !

par David, le 3 juillet 2012 à 14h38. Répondre #

Merci pour ces explications très claires 🙂

Je me pose une question : Comment avez vous fait pour activer le 3DSecure que pour le premier achat ? C’est un accords entre vous et votre banque ?

Merci beaucoup pour ce retour d’expérience et bonne continuation !

par Clément, le 3 juillet 2012 à 14h41. Répondre #

C’est Paybox, la solution de paiement que nous utilisons, qui permet de choisir ou non le passage par la case 3D Secure. Ce n’est en effet pas forcément possible avec d’autres systèmes.

par Martin, le 3 juillet 2012 à 14h48. Répondre #

Bonjour,

Personellement, je n’ai rien du tout contre cette étape en plus, je trouve même que cela est un « plus ».
Mais en effet, il y a un gros problème de communication autour de ce « 3D Secure » entre SMS, Date de naissance, etc.

Dans tout les cas, cela peut permettre aussi à l’utilisateur de se sentir sécurisé (pour moi en tout cas, surtout grâce à la méthod SMS, pas les autres).

Bonne continuation !

par Nicolas BUI, le 3 juillet 2012 à 14h41. Répondre #

Cher Martin,

Le 3DSecure, ça sucks. Mais ton post, il poutre.

Alors <3.

par Philippe Creux, le 3 juillet 2012 à 14h44. Répondre #

Merci Philippe <3

par Martin, le 3 juillet 2012 à 16h02. Répondre #

Personnellement, le 3D secure avec ma banque se déroule facilement et rapidement avec un petit sms. Donc ça ne me pose pas de problèmes, vu que je ne suis pas à mon premier billet acheté sur Capitainetrain, je pense que je passerais de toute façon au travers.

Bon courage à vous avec les fraudeurs !

par L'@rtiFici3r, le 3 juillet 2012 à 14h47. Répondre #

En fait, ça commence à partir de maintenant. Donc on va juste vous embêter une fois lors de votre prochain paiement, et on devrait vous laisser tranquille après. (Sauf si vous utilisez une nouvelle carte bancaire.)

par Jonathan, le 3 juillet 2012 à 14h51. Répondre #

Rassurez-moi, pour savoir que ladite carte a déjà été utilisée, vous ne stockez pas son numéro dans votre base de données ? Oô

par Christopher, le 3 juillet 2012 à 16h56. Répondre #

Évidemment que non. On ne stocke qu’une empreinte du numéro.

par Martin, le 3 juillet 2012 à 17h00. Répondre #

Mon Dieu, pardonnez les…

par dashgami, le 3 juillet 2012 à 14h48. Répondre #

Super post, coté fraude je comprends très bien le raisonnement par contre coté sécurisation du processus de paiement client, je pense que certains (dont moi) seraient interessés par une sécurisation optionnelle, un peu à la manière de la double authentification gmail.
Nul n’est à l’abri de se faire piquer ses infos carte bleue dans un cyber par ex.
Personnellement je reçois un sms ou appel de gmail quand je veux me connecter depuis un nouveau pc, je trouve logique et rassurant que ma banque me demande la même chose.

Cordialement,

par Pascal Borreli, le 3 juillet 2012 à 14h57. Répondre #

Mais ce ne sont pas aux banques d’assumer financièrement ce type de fraudes?

par Matt, le 3 juillet 2012 à 15h00. Répondre #

Si c’était le cas, ça serait trop simple de monter une arnaque : Je crée un site de vente en ligne bidon, je (me) paye avec une carte volée, et la banque rembourse la victime, du coup c’est comme si la banque m’avait donné de l’argent directement.

par bfontaine, le 3 octobre 2012 à 0h18. Répondre #

C’est vraiment dommage, mais c’est pour la bonne cause.

Personnellement, je ne suis jamais allé jusque là (je paye en liquide), du coup je ne me sens pas trop impacté par l’éventuelle perte d’ergonomie générée par cette étape supplémentaire.

La bise,

par Arthur Lacoste, le 3 juillet 2012 à 15h01. Répondre #

C’est dommage que vous soyez obligé d’en arriver là, mais bon… C’est compréhensible est le compromis me semble acceptable.

Par contre je me permet une petite remarque sur le classement des solutions.

Le but est que si quelqu’un « trouve » un porte-feuille ou va faire un tour sur https://twitter.com/#!/needadebitcard, il ne puisse pas utiliser la carte pour autant.
Du coup il faut une protection supplémentaire : soit quelque chose que l’on sait (date de naissance, nom de jeune fille de mon père, whatever), sauf qu’en général on a une pièce d’identité dans le porte-feuille et on retrouve cette information.
La grille de bingo ou le SMS c’est un peu plus intéressant : on évite des attaques Man in the middle, puisque le code change à chaque fois. Par contre on risque de se faire voler le téléphone en même temps que la CB, et je parle même pas de la grille de bingo qui est souvent gardée à côté de la CB.

Il faut donc un code unique, activé par une donnée connue que de l’utilisateur. C’est la calculatrice : on a besoin du code de la carte bleue pour avoir le code. C’est clairement la solution la plus pénible, mais c’est – contrairement à votre classement – la seule solution qui ne soit pas idiote.

par Tristram, le 3 juillet 2012 à 15h05. Répondre #

Je confirme que d’un point de vue sécurité informatique, la « calculatrice » est ce qui se fait de mieux. Il en existe aussi des versions virtuelles sous forme d’application smartphone, comme par exemple Google Authenticator que je vous conseille fortement d’utiliser si vous avez un compte Google.

Les solutions à base de date de naissance et de noms de famille/jeune fille sont totalement inutiles.

par Guillaume, le 5 juillet 2012 à 10h04. Répondre #

Nooooooooooooooooooooooon
Pas la calculette de la grand-mère…
Please, j’en peux plus.

par Papito, le 3 juillet 2012 à 15h32. Répondre #

Avec votre implémentation et une banque que je ne nommerai pas qui pour économiser des sous n’envoie le SMS que pour des commandes dépassant un certain montant (et demande la date de naissance en dessous) il reste encore un risque de fraude que vous devrez assumer.

par Quentin, le 3 juillet 2012 à 15h35. Répondre #

Moi, je suis plutôt pour ce système. Je suis à La Banque Postale et je n’ai jamais eu le moindre souci avec. Et pareil, je suis assez parano avec mes informations bancaires.

En gros : je suis également pour une option d’activation ou non de la sécurité.
Bon, il est évident que c’est stupide de gérer ça par compte alors que le « voleur » utilisera le sien et non le mien… Mais j’aurais proposé de mémoriser ce choix par numéro de carte (hashé bien entendu)…

Je suis contre les solutions qui évitent de s’embêter au détriment de la sécurité. C’est la même chose avec les gens qui restent en compte administrateur parce que c’est chiant de taper son pass pour faire une installation…

par Niaatan, le 3 juillet 2012 à 15h36. Répondre #

Sont cons ces fraudeurs : y a pas moyens de les repérer et de les identifier avec Facebook Connect ?

par Vivian, le 3 juillet 2012 à 15h45. Répondre #

À mon humble avis, si on parle de quelqu’un qui fraude une CB, frauder un compte Facebook paraît à sa portée 😉

par Matti Schneider, le 3 juillet 2012 à 15h47. Répondre #

Tentatives de protéger les usagers à répétition, justification claire et précise de la raison de la diminution (minimale) d’usabilité, choix d’un compromis tout à fait acceptable.

En bref : GG 🙂

PS : je verrai lors de la prochaine commande, mais je suis curieux : si on a déjà fait des achats, on a déjà votre confiance ou le passage par 3Dsecure (qui n’a rien de 3D) est obligatoire pour tous ?

par Matti Schneider, le 3 juillet 2012 à 15h45. Répondre #

Il est obligatoire pour tous : vous serez obligé d’y passer lors de votre prochain achat. Après, on vous laissera tranquille tant que vous n’utiliserez pas de nouvelle carte bancaire. Précision : on ne vous infligera pas non plus l’étape 3DSecure en cas de renouvellement de votre carte (tant que le numéro ne change pas, c’est bon).

par Jonathan, le 3 juillet 2012 à 16h11. Répondre #

le remboursement de la fraude vous voulez dire
le 3d secure c’est pas plus compliqué à péter que la carte
mais maintenant vous serez remboursé

par ah, le 3 juillet 2012 à 15h52. Répondre #

Et comment cela se passe pour payer avec une carte sans 3D Secure (style Amex) ?

par julien, le 3 juillet 2012 à 15h54. Répondre #

Hélas nous n’acceptons pas l’Amex. Nous avons expliqué pourquoi ici : http://blog.capitainetrain.com/166-pourquoi-nous-nacceptons-pas-lamex

par Jonathan, le 3 juillet 2012 à 16h12. Répondre #

Finalement il y a eu du changement. Nous acceptons l’Amex depuis ce matin sur notre site : https://blog.capitainetrain.com/7388-achetez-vos-billets-american-express-capitaine-train

par Michel, le 6 août 2014 à 11h55. Répondre #

Pendant des années ma banque (Caisse d’Épargne Alsace) utilisait la date de naissance comme mot de passe pour 3DSecure / Verified by Visa. J’ai râlé en 2009, et ils m’ont envoyé une lettre de réponse complètement creuse: « tous les points présentés font l’objet d’une analyse globale aboutissant aux aménagements spécifiques nécessaires », « la sécurité sur internet est une priorité pour notre groupe », « la validation de ces données se font en mode sécurisé » (ben oui, mais si la donnée entrée n’est pas secrète…). Mais un peu plus tard ils sont passés par l’authentification par SMS, ce qui est tout de même mieux, bien que ce soit pour de nombreuses personnes un frein à l’achat dont un commerçant sur internet se passerait bien…

par Eric B, le 3 juillet 2012 à 16h43. Répondre #

Moi je passe par Payline, c’est eux qui ont lancé le 3D secure sélectif et franchement c’est top. Je ne suis pas développeur et j’ai pu via leur back office mettre en place les règles en fonction desquelles je force 3D secure.
J’ai vu que sarenza bosse avec eux et utilise cette fonction.

par Thomas, le 3 juillet 2012 à 18h18. Répondre #

Pas mal apparemment, moi qui galère avec mon banquier je pense que je vais aller voir payline

par Curieux42, le 3 juillet 2012 à 18h23. Répondre #

Payline est suiveur sur la majorité des sujets en matière de epayment. Le 3dsecure à la demande est un service operé depuis des années au UK. Sur la disponibilité et la compétence de leur support il y a beaucoup à faire chez eux…

par Bobelfanatico, le 5 juillet 2012 à 21h51. Répondre #

Payline ne réponds pas au contact, je pense qu’ils sont fermés, impossible de les joindre. Alors méfiance…

par momo, le 19 mai 2015 à 0h27. Répondre #

Moi, en tant que consommateur, j’aime bien le 3D Secure. Et pourtant, vous savez que je peux être lourd 🙂

par Damien B, le 3 juillet 2012 à 20h45. Répondre #

Vous êtes vraiment bons !
Juste un peu d’auto promo anti-calculette (spéciale dédicace au Crédit Coopératif) : http://on.fb.me/N8KBqK

par benitoandco, le 4 juillet 2012 à 17h47. Répondre #

Nooooooooooooooon !!!!
Bon si c’est juste une fois… Vous avez probablement trouvé un compromis intelligent.

J’attends en revanche avec impatience l’app iPhone ou le site mobile, j’ai vraiment besoin de tout ça en déplacements !

Allez travaillez bien, la bise.

par cyberkrol, le 4 juillet 2012 à 23h19. Répondre #

Je viens de subir ce système. Pour valider ma carte, il fallait que je saisisse un code d’authentification. D’abord, je n’ai pas compris lequel, c’était celui du site web de ma banque !
Puis j’ai essayé de taper le code au clavier… ben non, il faut utiliser une calculatrice mal présentée. Après un mauvais code tapé, je réussis, j’attends le SMS (« où c’est que j’ai mis mon téléphone, il est chargé ? », « c’est quoi le code PIN pour le démarrer ? »), mais je reçois un courriel : mauvais code = carte bloquée pour les paiements en ligne ! Donc impossibilité de payer. Je reçois aussi le code, refus de paiement de la banque…

La sécurité, c’est bien quand c’est simple à comprendre.

J’espère que lorsque ça marchera, ça sera plus simple pour payer. Sinon, je passe par l’option sans 3d secure chez voyage-sncf.com.

par Olivier, le 7 juillet 2012 à 0h46. Répondre #

Nous sommes bien d’accord : l’implémentation du 3DSecure par les banques est tout sauf pratique. C’est ce qu’on explique dans ce billet — pourquoi ça nous embête autant d’en arriver là. De surcroît, si vous avez été victime de la panne de réseau d’Orange d’hier soir, ça vous a empêché de recevoir de recevoir le code par SMS, donc ça ne pouvait pas fonctionner. Vous n’êtes pas tombé au meilleur moment…

D’autre part, vous n’aurez à subir cette étape qu’une seule fois. Ensuite, on vous laissera tranquille.

par Jonathan, le 7 juillet 2012 à 13h18. Répondre #

Alors c’est ça qu’on appelle « être pragmatique » :
« On vous impose une petite contrainte car on est bien obligé, mais on fait en sorte que ça soit le moins douloureux possible, et en plus on vous explique pourquoi on le fait » …

Bref, encore une fois bravo à vous et merci pour votre travail !

par 1105173, le 8 juillet 2012 à 19h40. Répondre #

Impossibilité de payer mes billets sur le site de Capitaine Train aujourd’hui, la popup de 3d secure s’ouvre mais ne se charge pas ! Qqn sait ce qu’il se passe ?

par Laurie, le 12 juillet 2012 à 20h49. Répondre #

Je vous ai envoyé un email.

par Jonathan, le 14 juillet 2012 à 14h08. Répondre #

moi aussi je hais 3D secure (http://fr.ugal.com/blog/les-banques-et-internet/#secure)
D’ailleurs j’attends toujours le SMS de confirmation pour payer mon billet qui arrive à échéance demain…..

par Mathilde, le 17 juillet 2012 à 9h28. Répondre #

Moi un jour, je me suis fait piquer mon N° de CB, je sais pas trop comment, et j’étais quand même bien contente que ma banque m’envoie un SMS avant d’accepter un paiement internet, parce que sinon, je sais pas trop quand je m’en serai rendu compte :%

par Axelle, le 20 juillet 2012 à 16h57. Répondre #

Merci pour le post, clair et franc.

par Rémy, le 21 juillet 2012 à 12h57. Répondre #

Que se passe-t-il si on active sa carte via 3D secure, mais qu’on se la fait voler ensuite?

par benj, le 22 juillet 2012 à 22h39. Répondre #

Pas de souci, le voleur sera coincé.

Quand Martin explique que « nous ne l’activons que lorsqu’un utilisateur utilise une carte pour la première fois », ça veut dire que si la même carte est utilisée par un autre utilisateur, il devra passer par l’étape 3D Secure.

Concrètement, pour que le voleur puisse utiliser votre carte sur notre site, il faudrait qu’il vole votre carte et vos identifiants Capitaine Train !

par Guillaume, le 23 juillet 2012 à 14h27. Répondre #

J’ai voulu changer mon numéro de téléphone sur le 3D secure car j’ai changé de portable… et #erreur impossible d’accéder à la page 🙁 je suis sous Mac OS Safari. Je vais retester sur FF

par Mr P, le 3 août 2012 à 0h24. Répondre #

Bonjour Mr P. Je vous ai envoyé un email pour vous demander des précisions.

par Guillaume, le 3 août 2012 à 17h28. Répondre #

Ouais bah depuis c’est paiement impossible, avec message sympathique :
[missing « fr:invalid » transaction]

Et le 3D secure c’est vraiment galère pour les gens comme moi qui n’ont pas toujours leur tel sur eux, et qui changent de numéro…

par joachim, le 7 août 2012 à 21h01. Répondre #

Ouais bah depuis c’est paiement impossible, avec message sympathique :
[missing « fr:invalid » transaction]

Il a bien un bug d’affichage de notre côté, au niveau du message d’erreur. Nous essayons de le corriger.
Soit il y a une erreur de saisie (date d’expiration, numéro de carte…), soit c’est la banque qui refuse le paiement (plafond dépassé, solde insuffisant…).

Et le 3D secure c’est vraiment galère pour les gens comme moi qui n’ont pas toujours leur tel sur eux, et qui changent de numéro…

Je comprends. Comme l’explique Martin dans le post, c’est vraiment à contre-coeur qu’on a dû le mettre en place. Néanmoins, la procédure n’aura lieu qu’une seule fois. Ensuite on vous laissera tranquille. C’est le meilleur compromis qu’on ait pu trouver.

par Jonathan, le 7 août 2012 à 23h23. Répondre #

Ouais bah depuis c’est paiement impossible, avec message sympathique :
[missing « fr:invalid » transaction]

Pour information, ce vilain bug d’affichage a été corrigé. Merci pour votre contribution !

par Jonathan, le 10 septembre 2012 à 14h55. Répondre #

Bonjour

je comprends votre raisonnement sur 3D Secure (l activer ou non)
Par contre, etes vous certain que le cout de la fraude (carte volee et non utilisation 3DS sur votre site) soit inferieur a la somme des transactions perdues en raison de la presence du 3DS ?

par jon martin, le 8 août 2012 à 14h43. Répondre #

Vivement l’arrivée de BrainTree ou autre Stripe dans nos contrées ! Ils restent super chers, celà dit…

par Michael Baudino, le 19 août 2012 à 16h04. Répondre #

En tant que consommateur très régulier sur le net, je suis au contraire rassuré que les sites mettent en place des solutions comme 3D secure. Le mode de sécurité choisi derrière (SMS, grilles générées…) dépend ensuite surtout de la banque ! Je n’ai jamais eu à me plaindre de ce système avec la mienne, et il m’a déjà sauvé lors d’un vol de CB. Donc personnellement j’aimerais au contraire que ce système soit mis en place pour chaque commande !

par Aquineas, le 21 août 2012 à 14h08. Répondre #

C’est vraiment la misère le 3D secure. En plus le formulaire est affreux. Merci pour le retour d’expérience en tout cas.

par Olivier, le 3 septembre 2012 à 0h32. Répondre #

Ce poste reflète parfaitement ma pensée! Le 3DSecure est une plaie et il faut absolument le transformer en quelque chose de « user friendly ».
Voici verbatim un mail envoyé la semaine dernière à mon banquier:
===============
Bonjour,

Je vous contacte car, encore une fois, je suis super frustré de ne rien pouvoir acheter sur internet avec ma carte Crédit Mutuel.
Dès qu’une authentification 3D Secure est demandée, le credit mut me demande un code que je n’ai pas (Mon assistante l’a peut être mais elle est en vacances).
Les autres banques envoient un code sur le téléphone portable et c’est quand même beaucoup beaucoup plus pratique.
Pouvez vous faire quelque chose car c’est un calvaire d’acheter quoique ce soit avec votre carte bleue!!
Etant donné qu’on ne peut rien acheter sur internet avec votre carte bleue, ca la rend très sécurisée il faut bien l’avouer. J’en suis à chaque fois réduit à utiliser ma carte perso et à faire une note de frais…. on a vu plus pratique.

Merci d’avance,
Bien cordialement,

Thibauld

par Thibauld, le 16 septembre 2012 à 20h01. Répondre #

Moi ce que je trouve « bête » avec ce système, c’est qu’un fraudeur peut toujours utiliser la carte : je m’explique.
Je voulais réserver un billet d’avion avec Air France qui utilise la 3d. Ma carte ne passant pas, je demande celle de ma mère qui me communique ses chiffres etc. N’ayant plus internet, j’appelle le service client pour faire la résa par téléphone (ok, la 3D c’est pour internet) et bien sur, le paiement se déroule en 30sec. Donc finalement, rien n’empeche un fraudeur de récupérer de l’argent (alors oui, il ne va pas se rémunérer à coups de billets d’avion et de train), mais le système connait des limites

par mackallaway, le 4 octobre 2012 à 12h20. Répondre #

Avec un peu de retard, situation pas du tout comparable pour Air France (AF) par tel :

* Il y a toujours une personne physique très bien identifiée pour effectuer le voyage au bout (sauf si le billet payé ne sert à rien).
* Le billet d’avion n’est pas retiré par téléphone (donc en plus du voyage, deux canaux différents avant pour avoir des traces et/ou faire de l’analyse de risque)
* Vu le surcoût payé avec un billet pris par téléphone (de l’ordre de 19€ minimum et encore à supposer qu’ils prennent la même place dans le même avion), AF a largement de quoi compenser les rares pertes dues à l’absence de 3DS par tel et de quoi renforcer des mesures de vigilance.

par Dave, le 14 avril 2015 à 5h36. Répondre #

Bonjour,
Vvant à l’étranger, je subie le 3D Secure depuis belle lurette quand j’utilise ma CB Française… Et je déteste toujours autant!
Bravo pour ce compromis qui préserve l’utilisateur et ne l’impacte pas trop.
Regardez aussi du côté des moyens alternatifs comme FlashIZ, ils sont top et moins chers que les CB (précisons : je n’ai aucun intérêt chez eux :-).

par Ironmano, le 16 octobre 2012 à 9h40. Répondre #

Pour moi 3D Secure rend le paiement impossible. A ma Caisse d’Epargne ils ne proposent que le SMS comme solution, et je n’ai pas de téléphone portable. J’ai cherché une autre banque qui n’oblige pas à avoir un téléphone portable ou installer un logiciel (auquel je ne pourrais pas faire confiance vu que je n’aurais pas le code source), mais je n’ai pas encore trouvé. Je suis même prêt à utiliser une calculette s’il le faut.
En attendant, c’est dommage, j’aimais bien captain train…

par Damien, le 3 janvier 2013 à 18h09. Répondre #

Plusieurs banques proposent des alternatives qui pourraient vous convenir : http://fr.wikipedia.org/wiki/3-D_Secure#Modalit.C3.A9s

Dans votre cas, peut-être pourriez-vous voir du côté du CIC ou de la BNP ?

Sinon, pour contourner le problème différemment (puisque la plupart des banques utilisent le SMS, vous avez raison), Free Mobile vend des forfaits à 2 € par mois. 🙂

par Jonathan, le 5 janvier 2013 à 11h22. Répondre #

Bonjour tous, je fais une étude pour une agence de voyages en ligne qui a pour but d’identifier les solution pour authentifier à 2 facteurs, un paiement en ligne. Le sms a été mentionné plus haut, mais ca demande de ré entrer les infos a la main, et quelques autres inconvénients (sécurité et temps de réponse). Il existe des solutions qui remplace le sms par 2 boutons sur son smartphone pour confirmer l’achat ou pas. Donc nul besoin d’entrer un code sur son pc, d’autant que la validation est un process sécurisé sur un 2nd canal, donc on détache le pc du smartphone. Si vous avez des idées ou juste discuter sur le sujet, avec grand plaisir.
Salutations

par Marco, le 25 avril 2013 à 12h11. Répondre #

J’oubliais comme l’intérêt premier c’est d’éviter les fraudes, certains systemes d’autentification 2 facteurs, peuvent géolocaliser le tél donc soit synchroniser les zones ou une personne spécifique peut acheter // a son adresse. voire interdire les achats d’une personne se trouvant en Roumanie ou ailleurs.

par Marco, le 25 avril 2013 à 12h23. Répondre #

Le 3D Secure fonctionne bien pour les clients « geek » (ce n’est pas péjoratif), et on perd des clients à l’achat pour les utilisateurs qui ne comprennent pas le fonctionnement, parfois erratique selon les banques il est vrai. Mais vu le risque de fraude avec les achats par carte bancaire sur Internet, pour lesquels l’acheteur ne signe pas avec son code PIN, et vu les trop faibles moyens que la police, la gendarmerie, ont pour prendre en compte les plaintes de spécialistes du paiement ou de commerçants, vu les habitudes des service de fraude des banques à faire payer les commerçants depuis la naissance du eCommerce en France, il vaut mieux suivre les recommandations du GIE Carte Bancaire, et mettre en place le 3D Secure 😉 Le problème du secret bancaire, c’est qu’il protège aussi… les fraudeurs,ceux qui utilisent les numéros de carte bancaire de leurs parents à leur insu, ou bien de de leurs voisins de bureau (on l’a vu), ou bien des cartes volées ou achetées..

De plus en plus de sites demandent donc des pièces justificatives de type carte d’identité, justificatif de domicile. Ils ont raison. Ne pas oublier que c’est pénible, d’accord, mais cela protège TOUS les consommateurs. C’est pénible mais c’est un fait : 0,5% de fraudeurs font que 99,5% de consommateurs citoyens doivent montrer patte blanche.

Avec nos solutions informatiques, il est possible de filtrer les adresses IP des anonymiseurs de sites, les provenances géographiques de cartes ou d’adresses IP à partir desquelles sont faits les achats, les cartes prépayées douteuses, les types de cartes, et observer l’historique client et la vitesse de paiement des nouveaux clients. Et devinez quoi ? Les plus fraudeurs ne sont pas forcément les Roumains statistiquement, comme je viens de le lire sur un message posté sur ce blog. Les français sont au top en ce moment… A cause de la crise ?

par Burlet Sébastien, le 11 septembre 2013 à 22h08. Répondre #

Donc si je comprend bien il faut un téléphone pour acheter sur votre site ; on fait quoi si on n’a pas de téléphone ?

par phil, le 10 décembre 2013 à 21h40. Répondre #

Vous choisissez une banque qui ne requiert pas de téléphone pour faire la vérification 3D Secure (qui utilise donc une des autres méthodes décrites dans l’article).

par Jonathan, le 11 décembre 2013 à 13h50. Répondre #

« Mise à jour de janvier 2014 : depuis la publication de ce post, la règle du 3DS « uniquement la première fois » n’est plus valable actuellement. Depuis, la malice des fraudeurs nous a malheureusement obligé à durcir un peu plus les règles. »

Ne serait-il pas possible de considérer comme sûrs les clients voulant acheter un e-billet sur leur carte Voyageur et en ayant déjà payé un sur cette même carte avec 3D Secure? Autrement dit, ne passer par 3D Secure qu’une fois par trio compte Capitaine Train+carte bancaire+numéro Voyageur (+ une tempo de N jours avant de considérer l’association fiable ?).

Enfin je ne me fais pas trop d’espoir, j’imagine que vous l’avez activé en permanence parce que des clients fraudaient avec leur propre carte bancaire…

par Mathieu, le 23 février 2014 à 19h37. Répondre #

Le problème n’est pas Secure 3D en soi, mais les contraintes que mettent les banques à son utilisation.

Par exemple à la caisse d’Epargne, seul le SMS est possible ; donc si vous n’avez pas de portable, ou s’il est en panne, déchargé, oublié, dans une zone sans réception, vous ne pouvez pas acheter sur internet.

Le plus drôle c’est qu’au bout de 3 essais la carte bleue est bloquée ; il y a donc intérêt à bien identifier dès l’accueil sur le site si c’est secure 3D ou pas (c’est souvent caché ou écrit en tout petit…).

Je passe sur les sites qui prétendent qu’on peut donner sa date de naissance si on n’a pas de téléphone portable, ça ne marche plus depuis longtemps. C’est la SNCF par exemple ; depuis un an, je vais de nouveau chercher les billets à la gare ; quel progrès !

Conclusion, je n’achète que sur certains sites où je suis sûr qu’ils n’utilisent pas Secure 3D (Amazon par exemple).

Au final, Secure 3D est d’une efficacité redoutable pour sécuriser les achats sur internet … puisqu’il empêche les achats sur internet.

Merci Secure 3D, merci la Caisse d’Epargne.

par Philippe, le 8 juin 2014 à 22h37. Répondre #

Hello,

Il semblerait que les liens vers blog ecommerce soient morts. Auriez-vous des chiffres avant / après 3D secure en termes de taux de conversion ?

Bisous 😀

par Matt, le 16 septembre 2014 à 16h50. Répondre #

Je confirme que d’un point de vue sécurité informatique, la « calculatrice » est ce qui se fait de mieux. Il en existe aussi des versions virtuelles sous forme d’application smartphone, comme par exemple Google Authenticator que je vous conseille fortement d’utiliser si vous avez un compte Google.

Les solutions à base de date de naissance et de noms de famille/jeune fille sont totalement inutiles.

par mari, le 18 septembre 2014 à 21h23. Répondre #

eh bien moi je dis non au 3D secure. Même si il tends à se généraliser il faut savoir que cela n’a pas empêché ma banque à mon insu de me relever 2500€ sur mon compte.
Ensuite s’en ai suivi 2 mois sans CB car soit disant la conseillère n’avait pas bien compris ou l’envoyer (oui car quand il y a fraude c’est moi qui doit faire opposition et moi qui doit aller au commissariat alors que c’est ma banque qui est responsable… chercher l’erreur).
Bref quand je demande à ma banque un geste commerciale elle me dit que ce n’est pas possible. Quand je demande de désactiver le 3D secure elle me dit que ce n’est pas possible. Quand je demande de remonter mon mécontentement elle me dit : » oh c’est pas nous c’est le réseau CB, voyez avec eux ».
Mais tout le monde sait ce qu’il va se passer, le gens comme moi qui achète beaucoup par CB depuis des années von sauter sur l’occasion où Apple ou bien un nouveau « Paypall » like inventera un paiement alternatif à la CB. Et là ça fera très mal !!! Aujourd’hui je me sens pris en otage car je n’ai pas le choix, mais demain je rendrai ma CB qui me coute cher tous les ans et qui coute cher au commerçant également.
Y’en a marre des banques et de leur monopole.

par Security Expert, le 1 décembre 2014 à 10h45. Répondre #

Bonjour
Pour moi part je n’arrive pas à payer sur l’application avec ma carte Visa BNP. Lorsque le 3D Secure apparaît, je rentre le code demandé et il m’est alors impossible de valider (le bouton reste grisé). Comment puis-je faire ?
Merci

par Carowski, le 23 décembre 2014 à 8h36. Répondre #

Pour moi c’est 3DSecure 2x par jour sur l’app iPhone avec la connection qui marche 3 fois sur 4 environ, sur l’app SNCF c’est une fois pour toutes avec la même carte… je sens que je vais vite retourner en face même si la pub me gave

par CedricTGV, le 5 juin 2015 à 11h52. Répondre #

Impossible d’utiliser capitaine train avec cette m***de de 3d secure.

Ma banque francaise refuse de mettre mes infos a jours avec un numero de telephone etranger pour le sms, et 3d secure ne marche pas du tout avec mes cartes etrangeres.

Je vois brievement le logo de Chase qui s’affiche, puis rien.

par Matthieu, le 29 juillet 2015 à 23h04. Répondre #

Je viens de faire de la magie, vous ne devriez plus être embêté.

par Jonathan, le 30 juillet 2015 à 10h01. Répondre #

Une merde sans nom pour les expatriés, ça fait 2 ans que je vis au Japon et ça fait 2 putain d’années que ma banque m’ignore pour changer mon numéro de téléphone Français complètement obsolète …

par Rayave, le 17 août 2015 à 0h47. Répondre #

Art, ça ne fait jamais plaisir de devoir composer avec le 3D Secure d’une banque française depuis l’étranger. Vous pouvez payer sur Capitaine Train avec votre compte PayPal aussi. Ça pourrait vous dépanner, le temps que votre banque fasse le changement de numéro de téléphone.

par Brice, le 18 août 2015 à 11h34. Répondre #

Je viens de changer de carte (renouvellement normal au bout de 2 ans) et du coup je me tapes le 3DS à tous mes achats.

C’est sans doute parce que lors du premier achat je me suis gouré lors de la saisie du nouveau numéro de carte (faut dire qu’à force d’acheter des billets de train ici, l’ancien je le connaissais bien par coeur et j’ai un peu de mal à me faire au nouveau).

N’empêche 3DS c’est une belle merde, encore plus sur l’application mobile Android où le clavier cache le champ de saisie du code reçu de ma banque.

Avec ce truc là Capitaine Train perd tout son intérêt (rapidité). Le service téléphonique de la SNCF devient même plus rapide 🙁

Quelles sont les nouvelles règles pour que 3DS ne me fasse plus chier (combien d’achats, en gros ?) ?

par Bruno Beaufils, le 1 octobre 2015 à 16h18. Répondre #

Ça ne fait jamais plaisir de devoir remplir le formulaire 3D Secure, mais nous n’avons pas le choix. Si ça ne tenait qu’à nous, nous le supprimerions, mais les fraudeurs sont trop malins pour que nous puissions nous le permettre, hélas. Nous en avons d’ailleurs fait un article : https://blog.captaintrain.com/1578-leradication-de-la-fraude-cest-maintenant.

Pour répondre à votre question, comme je vous ai dit sur Twitter, je ne peux pas vous donner le contenu des règles. Je vous conseille juste de tenir le coup car quelque chose me dit que vous pourriez rapidement être débarrassé du 3D Secure.

par Brice Boulesteix, le 2 octobre 2015 à 8h16. Répondre #

Ajoutez votre commentaire

Requis

Requis (caché)

Facebook

Twitter