Overblog
Editer l'article Suivre ce blog Administration + Créer mon blog
Daniel Broche
Manipulating search engines for profit become a serious problem (Brin & Page 2000)

3D & 4 coins: A quoi joue t'on ?

Daniel Broche #paiements & confiance

Règles du jeu:

  • Améliorer la sécurité ne rien perdre en simplicité.
  • Objectif: Garder la confiance des consommateurs.
  • Mise de départ: 25 milliards d'euros (marché e-commerce français).

Ce jeu c'est 3D secure (3DS), la norme de paiement en ligne dont il était question cet après midi lors de l'atelier FEVAD réunissant e-marchand, banquiers et représentant du GIE cartes bancaires.

Pour le non initié aux arcanes de la monétiques que je suis, c'était l'occasion d'apprendre dans le désordre que:

  1. 3DS n'est pas un système d'authentification, 3DS c'est une organisation 4 COINS (e-marchand + banque e-marchand + banque porteur CB + porteur CB). D'ou le 3 dans le sigle... Ne demandez pas d'où vient le D !!
  2. Le GIE CB n'a pas précisé si cette histoire a été inventée au bistrot du coin, mais dans la salle on sentait que les marchands étaient sous pression.
  3. Pour fonctionner cette organisation requiert une méthode d'authentification. Dans notre époque laminée par le fléau du libéralisme, cela implique qu'il existe une flopée de solutions concurrentes.
  4. On ne peut donc plus faire confiance aux banquiers pour se mettre d'accord en douce et imposer aux consommateurs une solution unique, simple et rentable.
  5. Si on en est là, c'est un peu à cause de 3 Suisses qui a demandé de pouvoir payer à distance dans les années 80 sans penser à Internet et aux réseaux sociaux ! (doléances à déposer chez Capitaine commerce qui aurait du arriver plus tôt et finir le job avant de partir avec son trophée)
  6. Il y a une météo du 3Dsecure. Par moment le taux d'échec augmente beaucoup car une banque décide de lancer une nouvelle solution d'authentification sans prévenir personne, même pas le porteur de la carte. On y peut rien: Il faut bien que les ingénieurs dans banques s'amusent un peu avant que l'ecommerce ne devienne aussi barbant que le reste. On appelle ça des pilotes.
  7. Chez Cdiscount ils sont couillus: Ils ont mis 3DS en place juste avant noel !
  8. Chez AirFrance ils ont enlevé brièvement 3DS hier mais c'était une panne et non une blague juste avant cet atelier
  9. Le taux de rejet 3DS dépend des banques. Dommage que l'ecommerçant ne puise pas encore proposer spontanément à l'internaute bloqué en fin de commande de changer de banque.
  10. Il ne faut pas se plaindre, en Espagne la mise en place de 3DS c'est encore pire; et en Angleterre ils n'ont même pas eu le choix !
  11. Olivier Levy n'était même pas là pour défendre le petit e-commerce (la FEVAD aurait du penser aux petits fours à la fin !)
  12. C'est moins grave 3Dsecure pour le petit e-commerce car ils ont pas les moyens de mesurer et y a d'autres problèmes plus importants que gagner 0,3% de taux de transfo quand on démarre
  13. 3DS fait bien rigoler Amazon. Ils n'ont pas l'intention d'y passer ni en France ni ailleurs. eBay/Paypal attend que tous les européens soient d'accord. On comprend donc pourquoi Amazon rigole.
  14. Un paiement 3DS est bien valide 6+1 jours comme pour une transaction normale
  15. Ne vous embêtez plus a optimiser votre tunnel de commande, 3DS offre au moins 8 nouvelles sources d'abandon de commande possibles. Ogone les a toutes recensées.
  16. 3DS reste optionnel. Meme en juin, cela ne devrait pas être imposé aux emarchands. Seules les banques en ligne vont avoir à passer obligatoirement aux authentifications fortes.
  17. Il y a plein de groupes de travail qui planchent sur 3DS au GIE cartes bancaires
  18. Ca ne fait que depuis 2002 que 3D secure existe. Les groupes de travail n'ont donc pas encore analysé tout les cas possibles avec internet.
  19. Le stockage des n° CB est un probleme à part entière. Les banques risquent gros mais la mafia n'a pas encore pigé la faille, donc c'est moins urgent que 3D secure.
  20. Le GIE carte bancaire a compris qu'il y a avait un souci avec 3D secure. Par exemple pour le 3x sans frais. Ou pour les commandes téléphonique. Ou encore pour les abonnements. etc...
  21. Le temps passé sur l'étape de paiement augmente de +25 secondes avec 3DS et encore +15 sec avec les super technologies d'authentifications fortes
  22. La bataille navale c'est moyen. Au final il est préférable d'avoir un SMS pour payer. (Quid quand on payera via mobile ? un groupe de travail en plus ?)
  23. Y a des gars futés qui développent des solutions intelligentes 3DS ou le e-marchand aurait la sécurisation du paiement même sans saisie du code par le client pour certaines transactions (petit montant, client connu...)
  24. Reste aux futés à convaincre la banque de France en espérant que les escrocs ne seront pas plus malins.
  25. La Fevad propose de créer un observatoire afin d'avoir des chiffres précis, mesurer les tendances et tenir les banquiers au courant de ce qui ne marche pas.

On ne s'est donc pas ennuyé et il y a du boulot pour tout le monde. Au final il est tout de même réconfortant de constater que tout ce petit monde veut arriver au même but. Le seul souci c'est que les e-marchands ont la facheuse tendance à focaliser sur le court terme à 1 mois alors que les banquiers travaillent sur le court-terme à 3 ans...

La journée des complications ecommerce ne se termine pas là, ce soir c'était débat parlementaire à propos des nouvelles loi VAD, avec plein d'idées intéressantes; comme les pénalités en cas de retard de paiement indexées sur le TEG max du e-marchand, ou encore la confirmation par écrit des commandes téléphones... Résultat des courses demain.

Ps: Si vous aussi vous voulez pouvoir assister aux prochains ateliers et découvrir en live les bonnes blagues de nos amis banquiers: Adhérez à la Fevad ! (la cotisation ne se paye pas via 3Dscure)

Pour être informé des derniers articles, inscrivez vous :

Vous aimerez aussi :

test
test
Rh8 (bis!)
Rh8 (bis!)
Troll e-commerce 2013: la pré-sélection
Troll e-commerce 2013: la pré-sélection
Chess 19#
Chess 19#
Franco de port ?
Agents & argent

melvinlyon 21/12/2012 16:33

Bonjour, je ne sait pas si Daniel passe sur ce site mais je rencontre exactement le même problème que JR.
J'ai découvert Discounteo par hasard et idem que JR j'ai décidé de commander un article " barre de son"
pour la somme de 280 euro. 5 article étais dispos j'ai donc commandé et payé avec paypal, un fois le payement terminé de retour sur le site celui-ci m'indique rupture de stock, j'ai donc appelé le SAV et on me répond que le produit ne seras plus jamais dispos, je voulais donc me reporter sur un produit moins performant au même prix , car de toute façon la somme étais déjà prélevé de mon compte et pour moi il s'agit d'une urgence car c'est pour un cadeau de noël, on me répond que je dois attendre que l'argent revienne sur mon compte pour passer commande a nouveau. j'ai passé 6 appel depuis, (numéro surtaxé) on me répond a chaque fois " ne vous inquiétez pas je règle le problème de suite et on vous envoie un mail de confirmation.
Ce jour, je n'ai encore pas reçu de mail, ni de remboursement et mon cadeau pour noël c'est foutu. je n'ai plus de quoi payer. merci discountéo.

Ecommerce Wall 21/12/2012 16:33

Bonjour,
J'ai interviewé Ogone France cette semaine à propos de 3D Secure. Il publieront une étude la semaine prochaine qui explique que sur leur parc de clients, l'échec d'authentification 3D Secure est de 13,4% en France.
Pour plus d'informations, je vous invite à consulter mon lien:
http://www.ecommercewall.com/2010/03/paiement-en-ligne/ogone-3d-secure/
J'espère que cette information vous sera utile, je vous remercie et je vous souhaite une bonne continuation,
PHT

David Andrianavalontsalama 21/12/2012 16:33

Bruce Schneier évoque sur son blog un papier de Ross Anderson au sujet de 3D Secure : http://www.schneier.com/blog/archives/2010/02/online_creditde.html

discounteo 21/12/2012 16:33

Bonjour JR
Je vous ai répondu et votre souci va être réglé. Désolée pour le retard...

JR 21/12/2012 16:33

Bonsoir,
Je suis désolé de venir vers vous ici, mais il est impossible d'avoir un dialogue suivi avec le service commercial ou logistique de votre site.
J'ai commandé une tv (numéro de commande: D0466148AA) le 13 janvier. Après que ma commande soit restée sur validée je me suis inquieté de la suite des événements. J'ai du aller sur la page facebook de discounteo pour apprendre que le produit était en rupture de stock car personne ne m'avait rien dit! Depuis j'attends de vos nouvelles qui ne viennent pas. J'ai eu une personne au téléphone qui était sensée me rappeler mais ne l'a pas fait.
Lorsque j'ai procédé à la commande, il y avait plus de 5 produits disponibles. Vous m'avez ensuite demandé de justifier mon identité, chose que j'ai fait dans l'heure suivante, ça n'a pas empêché le fait que vous ayez continuer à prendre des commandes et les envoyer aux autres personnes en me laissant sans nouvelles! De plus, la référence n'est plus fabriquée.
Il est impossible de vous joindre par téléphone et vous ne répondez pas aux mails. Cette situation commence à devenir très énervante!
La devise de votre site est que vous ne proposez que des produits en stock. C'est d'ailleurs la raison pour laquelle j'ai commandé chez vous, j'ai même payé 10€ de plus pour avoir une livraison rapide.
Vous dites dans vos cgv que vous proposez un produit de substitution aux caractéristiques identiques si cela se produisait. J'attends donc cette proposition et voir si vous vous tenez à vos engagements avant de donner mon avis sur les sites appropriés.
Comprenez que je ne veux pas vous faire mauvaise pub. En lisant les divers avis et vos réponses, j'ai la certitude que vous êtes de bonne foi et que vous travaillez simplement en sous-effectif. C'est pourquoi je ne vais pas (encore) donner mon avis sur les sites spécialisés. J'ai pris le risque de commander chez vous malgré tous les avis négatifs, ne me faites pas regretter ce choix.
Vous devez également savoir que la somme que j'ai dépensé est importante à mes yeux d'étudiant, que j'ai longuement muri mon choix avant de commander, et que de ce fait, la situation est très stressante pour moi.
P.S: Je ne souhaite pas réellement que ce commentaire soit publié, je voulais simplement attirer votre attention. Vous pouvez donc l'effacer.
Cordialement,
J.R

Alexandre 21/12/2012 16:33

Merci pour le résumé,
J'avais vu pour Cdiscount, qu'ils avaient intégré 3DS un peu avant noel, mais il y avait le choix entre les 2 solutions au moment du payement.

Frederic 21/12/2012 16:33

très bon résumé très fidèle à la situation "entre poule et oeuf" que nous vivons depuis de nombreux mois.

olivier levy 21/12/2012 16:33

Pas de petits fours ??? !!! La honte ... C'est vraiment pas mon truc 3D Secure. Maintenant j'en suis sûr !

David 21/12/2012 16:33

Merci pour ce CR. Ah oui, les petits commerçants et 3DS... faudra leur dire que c'est plus impactant, du fait de manque de notoriété qu'on déja les plus gros!
Un site que personne connait avec un systeme de paiement bizarre, si ca fait pas fuir ca!

Christian 21/12/2012 16:33

Merci pour ce petit rapport.
Nous on a enlevé le 3DS de nos 2 sites cet été.
On passait trop de temps au téléphone à expliquer à nos clients (heureusement que certains appelaient !) que le code demandé n'était pas le code PIN de leur CB, ou que s'ils ne connaissaient pas les infos demandées, il fallait demander à leur banque. Banque qui d'ailleurs n'était pas au courant du système 3DS !

Bertrand 21/12/2012 16:33

Bravo ! Décapant mais néanmoins fidèle ... ;-)

Jarvik 21/12/2012 16:33

Merci pour ce compte rendu intéressant.
Nous, on l'avait 3Dsecure. On l'a viré et c'est bien mieux ainsi niveau taux de conversion.
On estime qu'on n'a pas à payer pour l'évangélisation du consommateur.
Ca fait un peu petit commerce des années 40, mais au début de l'implémentation, le nombre de commandes qui ratait parce que les banques n'avaient pas tout simplement pas prévenus leurs clients, c'en était effarant.
A un moment, c'est une question de survie.

Toucouleur 21/12/2012 16:33

Merci Daniel pour ce résumé.
Je ne savais pas que Cdicsount avait osé remettre 3DS juste avant noël, c'est en effet plutôt osé.
Par contre lors de cette journée, il ne semble donc toujours pas d'actualité que les établissements bancaires appliquent une méthodologie commune pour leur protocole de sécurité ?
L'entreprise Fia-Net a encore de beaux jours devant elle. Étaient ils présent lors de cette journée de travail ?
En tout cas la conclusion, c'est que la FEVAD n'a semble pas disposer à ce jour de données chiffrés suffisantes pour que les banques ne se décident à réagir ?
Car à la lecture de ce compte rendu, je constate que peu de solutions sont proposées ? Cette réunion avec le GIE, c'est un peu comme Copenhague ? On constate tous qu'on va droit dans le mur, mais surtout on bouge pas d'un iota et on ne prend pas d'engagements chiffrés ?

Laurent 21/12/2012 16:33

Merci Daniel pour ce compte-rendu très fidèle (et rendant bien compte de l'ambiance !). Réunion effectivement très intéressante, plus que les précédentes... Mais on n'a pas non plus vraiment beaucoup avancé depuis la dernière, hélas.

Daniel Broche 21/12/2012 16:33

En effet mais cela n'est pas à la portée de tous les emarchands actuellement et il va falloir rester vigilant pour que l'on ne l'interdise pas purement et simplement comme c'est le cas en Angleterre (3DS obligatoire et systématique)

Daniel Broche 21/12/2012 16:33

Agacé ? Non pas du tout.
Cette réunion était vraiment très intéressante avec des intervenants pointus aussi bien chez les banques que chez les e-marchands, et le représentant du GIE CB a de la bouteille
Mais c'est clair qu'on a pas la même urgence ni les même enjeux court terme à réussir le passage total vers un systeme comme celui là !

Cyril 21/12/2012 16:33

3D secure veux dire Securite 3 Domaines (Issuer (le banquier de la carte), Acquirer (le banquier du marchand) et Visa (la médiation entre les 2)).
Le cote pratique de 3D secure est que l issuer s 'l accepte la transaction est oblige de payer l'acquirer.
Il est possible de mitiger la perte de temps du 3D secure en faisant une analyse de risque avant l authorisation et de sélectionner le niveau de sécurité en fonction du niveau de risque de la transaction.

Arnaud 21/12/2012 16:33

C'est une idée ou je te sens un brin agacé?

Facebook Twitter RSS Contact