Le rapport annuel 2011 publié par l’Observatoire de la sécurité des cartes de paiement confirme ce que nous savions déjà: la fraude est en hausse (413 millions € en 2011 contre 369 l’année précédente: +12% en un an !) mais tout est sous contrôle, principalement grâce à 3DS !

Simpson credit card
Ce n'est pas sa carte !

3DS c’est quoi ? Quand vous achetez un bien ou un service avec votre carte bancaire sur un site «protégé» par 3DS, votre banque vous envoie un code par SMS que vous devez saisir pour valider votre achat.
Environ un tiers des acheteurs sont déroutés par ce système et abandonnent en chemin.
Si le marchand met en place le système 3DS, à moins d’avoir une clientèle captive comme la SNCF, il supporte une perte de chiffre d’affaires et doit répercuter le manque à gagner sur ses prix.
Si un marchand a l’outrecuidance de penser qu’un processus aussi laborieux va lui faire perdre des clients et par conséquent décide de ne pas mettre en place 3DS sur son site, tant pis pour lui: la fraude sera désormais à sa charge. Il devra intégrer le risque de fraude dans ses prix donc, in fine, ce sont les clients qui payent dans tous les cas.

En réalité, 3DS, c’est le mécanisme inventé par Visa et Mastercard pour transférer la responsabilité de la fraude depuis les banques (clientes de Visa et Mastercard) vers les marchands et donc vers l’économie réelle.
Car 3DS ne protège aucunement les acheteurs, vous et moi, contre la fraude: si un pirate récupère vos données cartes bancaires (le nombre de numéros volés est en progression constante), il lui suffit de l’utiliser sur un site qui n’a pas mis en place 3DS, c’est çà dire la majorité des sites français ou étrangers.
Vous l’avez compris, 3DS protège les banques, pas les clients.

La «généralisation progressive» de 3DS prônée dans le rapport comme une «priorité» est en fait un leurre inatteignable: tant qu’il y aura un site dans le monde capable de livrer un pirate et ne vérifiant pas votre indentité avec 3DS, votre carte pourra être piratée.

La carte bancaire n’a pas été inventée avec internet mais dans les années cinquante. L’idée d’en saisir toutes les données sur un site pour effectuer un paiement est tout simplement absurde du point de vue de la sécurité. Le site n’est pas supposé les enregistrer mais si il le fait, comme Amazon, ce doit être avec votre permission.

Le problème , c’est que si le marchand (Amazon ou un autre) se fait pirater sa base de données cartes, vous ne le découvrirez sans doute pas avant qu’une fraude vous arrive car, dans les faits, rien n’oblige le marchand (en Europe) à faire état du piratage.

Etrangement, le rapport n’évoque aucune piste d’innovation qui, comme bitcoin, permettrait d’acheter sur internet sans révéler aucune donnée bancaire..