obOpen Banking Lab
GlossaireSTETBlogContact
Sécurité

3D Secure

3D Secure (3DS) — protocole d'authentification carte

Protocole d'authentification forte des paiements par carte sur internet. La version actuelle, 3DS2, permet la biométrie, des paiements frictionless et l'application des exemptions SCA.

Voir aussi :SCAFlux SCADSP2PSR

Définition

3D Secure (3DS) authentifie le porteur d'une carte lors d'un paiement en ligne. C'est l'écran que votre banque déclenche — biométrie, notification ou code — pour confirmer que c'est bien vous.

Inventé par Visa en 2001 puis adopté par Mastercard, Amex, JCB et Discover, le protocole a été entièrement refondu en 3DS2 (déployé à partir de 2019) pour répondre à l'authentification forte (SCA) imposée par la DSP2.

3DS1 vs 3DS2 : la rupture UX

  • 3DS1 (2001 → 2022, déprécié) : OTP par SMS ou mot de passe statique, dans une iframe peu engageante. UX dégradée, 20 à 30 % d'abandon au paiement, et non conforme SCA.
  • 3DS2 (depuis 2019) : authentification native dans l'appli bancaire, échange de 150+ paramètres de contexte entre marchand et banque, et surtout un frictionless flow qui supprime toute interaction dans 50 à 80 % des cas. Conforme SCA.

Depuis octobre 2022, 3DS1 est officiellement end-of-life chez les réseaux : toute nouvelle intégration passe par 3DS2.

Frictionless flow vs challenge flow

Le vrai apport de 3DS2 : tous les paiements ne déclenchent pas une SCA visible.

  • Frictionless — l'ACS (Access Control Server) de la banque valide automatiquement sur la base du contexte : appareil connu, marchand habituel, montant cohérent. Paiement en moins de 2 secondes, sans interaction.
  • Challenge — la banque exige une SCA explicite (biométrie, push, OTP) que le client valide activement.

Tout l'enjeu business est de maximiser le frictionless sans dégrader la sécurité, d'où la course au scoring de risque côté ACS comme côté marchand.

Les acteurs du 3DS

Cinq rôles interviennent dans le protocole :

  • Cardholder — le porteur de la carte, qui paie.
  • Merchant — le marchand, qui initie la requête via son PSP.
  • 3DS Server — composant technique côté marchand/PSP (Adyen, Stripe, Worldline) qui orchestre l'échange.
  • Directory Server (DS) — serveur central du réseau (Visa, Mastercard, CB, Amex) qui route vers la bonne banque.
  • ACS — côté banque émettrice, décide d'autoriser en frictionless ou de challenger, et conduit la SCA le cas échéant.

Exemptions SCA via 3DS2

Le RTS-SCA prévoit des exemptions que le marchand peut demander dans la requête ; la banque reste libre de les accorder :

  • Low value : transaction ≤ 30 € (compteur cumulé plafonné à 100 € ou 5 transactions sans SCA).
  • TRA (Transaction Risk Analysis) : ouverte si le PSP affiche un faible taux de fraude — seuils dégressifs, <0,13 % sous 100 €, <0,06 % sous 250 €, <0,01 % sous 500 €.
  • Trusted beneficiary : le porteur a ajouté le marchand à sa liste blanche dans son appli bancaire.
  • Recurring transaction : montant et bénéficiaire identiques à une transaction déjà authentifiée.
  • MIT (Merchant Initiated Transaction) : débit ultérieur consenti (abonnement, carte enregistrée). La première transaction est SCA, les suivantes peuvent s'en passer.

Ce que 3DS ne fait pas

  • Ne couvre pas les virements (PISP) : ceux-ci relèvent d'un autre flux SCA, géré directement par la banque, hors réseau carte.
  • Ne garantit pas l'absence de fraude : un challenge validé sous phishing reste valide pour la banque — mais le liability shift protège alors le marchand.
  • N'est pas systématique : les exemptions s'appliquent largement et le MIT sort du cadre 3DS.
  • Ne s'impose pas hors Europe : techniquement mondial, mais la SCA n'est obligatoire que dans l'EEE. Aux États-Unis, le frictionless est quasi systématique.

Le liability shift : le bénéfice pour le marchand

Dès qu'un paiement passe par 3DS2 — challenge ou frictionless — la responsabilité d'une fraude bascule du marchand vers la banque émettrice : plus de chargeback subi sur ce motif. C'est l'incitation économique majeure à utiliser 3DS, y compris quand une exemption SCA serait possible.

Dans l'écosystème PSD2

3DS2 est le bras armé de la SCA pour les paiements par carte, l'un des deux grands canaux d'authentification de la DSP2. L'autre regroupe les flux SCA propres aux API (redirect, decoupled, embedded) pour les virements et l'agrégation.

Exemples concrets

  • Frictionless en pratique : vous payez Decathlon depuis votre téléphone habituel, sur votre wifi habituel, à 14h, pour 35 €. L'ACS accepte automatiquement, vous ne voyez rien, le paiement passe en 1,5 seconde.
  • Challenge en pratique : même marchand, mais depuis un nouvel appareil, à minuit, pour 450 €. L'ACS demande une SCA : push dans l'appli bancaire, biométrie, retour sur la page marchand.
  • PSP qui optimisent le frictionless : Adyen, Stripe, Checkout.com, Worldline et Mollie investissent dans des moteurs de risque propriétaires pour maximiser le ratio frictionless/challenge sans perdre en sécurité — un différenciateur majeur sur le marché.
  • Cas e-commerce : un grand marchand français atteint 70 à 85 % de paiements frictionless en 3DS2, contre ~30 % sous 3DS1, pour un gain de conversion de 5 à 15 points.
  • Trusted beneficiary : sur BNP Mes Comptes ou Boursorama, ajouter Amazon ou Spotify à ses marchands de confiance garantit le frictionless sur les paiements suivants.
  • Apple Pay / Google Pay : ces wallets utilisent un token (DPAN) qui remplace le numéro de carte réel, et la SCA est faite localement par Face ID ou Touch ID. Côté banque, c'est traité comme une SCA déjà validée — flux particulièrement fluide.
  • 3DS 2.3 : déployée progressivement (2024-2026), elle fluidifie l'out-of-band auth, gère mieux les retry et rend les listes blanches plus dynamiques.

Sources

Retour au glossaire