L’Apple Store en ligne adopte à son tour 3D Secure

Nicolas Furno |

3D Secure fête ses dix ans cette année, mais Apple n’avait pas adopté cette sécurité supplémentaire jusque-là. En tout cas, nous ne l’avions jamais rencontrée avant aujourd'hui, et comme nous commandons régulièrement sur la boutique, c’est un ajout très récent d’après nous. Les MacBook Pro de 2018 ont été commandés sans passer par la vérification 3D Secure et nous les avons achetés il n’y a même pas deux semaines.

Vérification d’un paiement en ligne sur l’Apple Store avec 3D Secure : à notre connaissance, c’est une première et c’est tout nouveau.

VISA et MasterCard ont mis au point 3D Secure pour limiter les fraudes liées aux achats sur internet. Vous le savez, il n’est pas nécessaire d’avoir le code à quatre chiffres lié à la carte de paiement pour payer sur le web, il faut connaître le numéro de la carte, le nom et prénom du porteur, la date de péremption et les trois chiffres au dos. Cela peut sembler beaucoup, mais il suffit d’une photo pour obtenir ces éléments.

Avec 3D Secure, une étape supplémentaire se charge de vérifier que c’est bien le porteur de la carte qui veut payer. Chaque banque propose un fonctionnement différent, cela peut aller d’un code envoyé par SMS à une information personnelle (date de naissance, réponse à question secrète), ou pour les néobanques comme N26, une confirmation dans l’app associée. Cette étape de vérification permet d’éviter les fraudes, mais si elle n’est pas présente partout, c’est qu’elle n’arrange pas forcément les affaires des sites.

Cette étape supplémentaire peut dissuader certains clients légitimes et ainsi causer des ventes en moins. Imaginez que vous n’ayez pas votre téléphone portable sous la main pour recevoir le code, le temps de le retrouver et votre achat impulsif sera peut-être oublié. Dans le cas d’Apple, il y a aussi une longue tradition de ne jamais ennuyer le client et de lui offrir la meilleure expérience possible. Alors, pourquoi ce changement ? Peut-être que le nombre de fraudes a augmenté, peut-être que les banques l’ont imposé à Apple, ou peut-être aussi que l’entreprise l’utilise uniquement sur certains comptes. Celui de MacGeneration est probablement un bon candidat, tant il sert régulièrement…

Si vous avez commandé dernièrement sur l’Apple Store en ligne, avez-vous été contraint de vérifier le paiement avec 3D Secure ?


avatar arnaudducouret | 

J’ai commandé hier et je n’ai pas eu de 3D Secure.

avatar dorninem | 

Curieux car au CIC la vérification 3ds peut aussi se faire via l'application mobile CIC. Il faut au préalable avoir activé la 'confirmation mobile' et hop plus ces saletés de SMS ?

avatar Sergio_bzh | 

Oui cela fait bien longtemps que la confirmation au CIC se fait via l'appli . Bien plus pratique que les SMS !
Idem au Crédit Mutuel. Normal c'est le même groupe donc à peu près la même app.

avatar McFlan | 

@ShowMeHowToLive

C’est surtout un choix du commerçant il me semble. Je suppose que derrière il doit y avoir une question d’assurance.

avatar patchoulol | 

@McFlan

En effet. Si le 3D Secure est activé la banque devient responsable en cas de fraude et non plus le commerçant.

avatar amazigh | 

Commande de 2800 euros tout à l'heure via fortuneo et bforbank pas de 3DSecure

avatar tahitibobx987 | 

Correction ils faudrait 2 photos une de chaque face de la carte pour pouvoir avoir les informations de la carte ?

avatar _Teo_ (non vérifié) | 

@tahitibobx987

Une photo suffit avec un miroir... ?

avatar cecemf | 

@_Teo_

LOL

avatar charlie105 | 

@tahitibobx987

Pas avec une American Express: le numéro est devant aussi

avatar fousfous | 

Une idée de comment désactiver ça pour la caisse d'épargne? C'est juste insupportable et on ne gagne pas en sécurité, les SMS quand même...

avatar AirForceTwo | 

Aucun moyen, c'est associé au vendeur et non à l'acheteur.

Les banques activent le 3Ds pour tous les nouveaux contrats de vente à distance. Comme ça, en cas de fraude, c'est le vendeur qui paye.

avatar patchoulol | 

@AirForceTwo

Ce sont les commerçants qui activent le 3D Secure, afin de pouvoir se retourner vers la banque émettrice en cas de fraude.

avatar SyMich | 

Le jour où vous constaterez sur votre relevé de compte que quelqu'un a utilisé votre numéro de carte bancaire à votre insu (voire le jour où voulant payer pour quitter l'autoroute ou sortir d'un parking vous serez dans l'incapacité de le faire parce que le plafond de dépenses a été atteint ... par quelqu'un d'autre que vous), vous comprendrez peut-être l'intérêt de sécuriser les transactions.
Et franchement, saisir un code reçu par sms c'est quand même pas la mer à boire, surtout avec iOs12 qui va vous le saisir automatiquement!

avatar fousfous | 

@SyMich

Bah je veux bien un système sécurisé, mais les SMS c'est tout sauf sécurisé et ça s'intercepte assez facilement.
Une notification sur la Watch me demandant d'accepter avec le détail moi ça me va.

avatar anti2703 | 

Il était temps qu’Apple s’y mettent... au vu des montants possible des articles sur le site, ça devait être l’un des préférés des personnes mal intentionnés... tout comme Amazon qui n’a toujours pas adopté le système.

avatar marenostrum | 

la plupart des comptes bancaires ont des plafonds bien plus bas que les prix des articles chez Apple. il faut d'abord augmenter un débit provisoire de ton compte, et après réaliser l'achat.

pour le fraudeur il faut de la chance, d'avoir le numéro d'un carte de compte bancaire avec un plafond élevé. et puis on laisse de traces en réalisant un achat dans un site commercial. tu dois renseigner l'adresse, le nom, etc, pour récupérer ton bien.

d'où les fraudeurs utilisent leurs propres sites (de ventes de logiciels souvent), pour récupérer l'argent directement.

avatar ForzaDesmo | 

@marenostrum

Complètement d'accord avec toi.
Mon plafond est de 3000€, certains mois je ne peux même pas régler mes impôts et divers taxes. Il faut que je demande une autorisation pour augmenter le plafond qui demande au moins 3 jours ouvrés.
Apple passe au 3D sécure au moment où se système est dépassé. Maintenant il y a les CB avec cryptogramme "aléatoire" sans compter les Secure key. La pomme ferait mieux d'autoriser les paiements via PayPal, ça c'est le moyen le plus sûre pour l'achat impulsif avec couverture. Entre 2 sites vendant le même produit à valeur relativement égale je n'hésite pas j'achète sur celui où je peux payer en PayPal même sur des sites n'ayant pas forcément tous les éléments réglementaires (comme au niveau des mentions légales).

avatar bigfafa | 

@ForzaDesmo

Hmmm il serait temps de passer à une Gold ou Premier si vous dépassez régulièrement le plafond de 3000€ de dépenses cartes...

avatar JONYBLAZ | 

Il étais temps c’est quand même fou ce retard alors que de vil enseigne l’on intégré

avatar patchoulol | 

@JONYBLAZ

C’est trivial à ajouter. Le problème n’est pas technique. L’inconvénient de l’activation du 3D Secure par le commerçant est qu’il y a un risque que les utilisateurs abandonnent leur achat. C’est donc un compromis à faire en prenant en compte le risque de fraude d’un côté et le risque de perdre l’utilisateur.
Visiblement Apple ne l’a pas activé systématiquement, donc cela dépend sûrement de paramètres tels que le contenu du panier ou l’historique d’achats. Ou alors il s’agit d’une expérimentation auprès d’une frange des utilisateurs pour estimer l’impact du 3D Secure.

avatar Marius_K | 

J'ai commandé mon nouveau Macbook pro en début de semaine, il n'y avait pas ça...
En même temps j'ai payé via Apple Pay alors c'est logique... :)

avatar Zara2stra | 

Je viens de commander un macbook pro personnalisé (1To de dd) pour 3799€, Je suis chez HSBC, et je n’ai pas eu de 3DS.
Peut être est ce différent selon que l’on commande sur le site web ou sur l’appli apple ?

avatar ForzaDesmo | 

@Zara2stra

«Je viens de commander un macbook pro personnalisé (1To de dd) pour 3799€, Je suis chez HSBC, et je n’ai pas eu de 3DS.
Peut être est ce différent selon que l’on commande sur le site web ou sur l’appli apple ?
»
Cela peut également dépendre si tu prends "CB" ou "VISA" ou autres cartes, il y a des différences suivant les commerçants.

avatar guill_old | 

Les sites peuvent choisir plus ou moins de sécurité. Et une option possible est de ne demander ce code que pour le premier achat sur le compte. Ça limite ainsi les risques pour le commerçant et les tracas pour le client

avatar phil.dupa | 

C’est simplement le résultat de la transposition de la deuxième directive européenne sur les services de paiement qui impose entre autre, une authentification forte lors des paiements (strong customer authentication) pour s’assurer que c’est bien le détenteur du moyen de paiement qui est à l’origine de la transaction. Ça se traduit par le 3D secure, code unique envoyé par sms, token. Et il n’est pas possible de le désactiver.

avatar ForzaDesmo | 

@phil.dupa

«Ça se traduit par le 3D secure, code unique envoyé par sms, token. Et il n’est pas possible de le désactiver.»

Ce n'est pas totalement vrai car certaines personnes n'ont pas de Mobile (et si y en a, ça existe) et dans ce cas ils reçoivent un code sur leur fixe (faut être chez soi) ou sinon il faut qu'ils renseignent leur date de naissance. C'est à voir avec sa banque.

avatar Alberto8 | 

Un bout de scotche noir sur les chiffres arrière c’est déjà le minimum , plus 1Password et c’est bon.

avatar ForzaDesmo | 

@Alberto8

«Un bout de scotche noir sur les chiffres arrière c’est déjà le minimum ...»

Du scotch ça s'enlève et ça se remet (quand tu files ta carte pour payer) parfois le mec l'amène au sabot hors de ta vue (surtout à l'étranger). Moi je mets un coup de tipp-ex comme ça si c'est gratté je le vois tout de suite ?

avatar Alberto8 | 

?

avatar scanmb (non vérifié) | 

@ForzaDesmo

En mettant une « gommette » , on voit si quelqu’un la ôté pour voir le chiffre (la gommette est abimée) .Ainsi on peut faire opposition tout de suite.
Mais le mieux est de ne jamais permettre que sa carte soit hors de son champs de vision.
C’est une astuce qui vaut ce qu’elle vaut, même si elle n’est pas infaillible.
Je le fais sur ma carte et celle de ma femme.

avatar scanmb (non vérifié) | 

@scanmb

« L’a ôtée », pardon

avatar HooK81 | 

Achat d'un Apple Care cette après midi sur le store, aucune vérification 3D Secure ;-)

avatar jb18v | 

Dépend des montants aussi, en dessous de 15 ou 20€ à la bnp ça demande que la date de naissance, au delà avant c’était le code par sms et maintenant c’est la clé dans l’appli associée (ouvrir et valider le paiement)

avatar cmaurice | 

En Belgique la validation du 3DS est encore plus chiante que le SMS ou un code, il faut utiliser un lecteur de carte et signer la transaction. Bien lourd comme solution car tu dois avoir toi ton lecteur. C’est très pratique quand tu pars en vacances...

avatar pommier | 

@cmaurice

Sur les anciennes versions de 3DS oui, maintenant il y a aussi moyen de valider avec son appli bancaire (ex: Belfius) et ça par contre c’est ultra pratique

avatar cmaurice | 

@pommier

Chez ING on n’a pas ce genre de possibilité mais ils sont toujours à la traîne sur tout par rapport aux autres grandes banques belges...

avatar Navareus | 

Pour ma part, j’ai fait une commande à 18h d’un iPad (plusieurs centaines d’euros, donc) et je n’ai pas eu à passer par 3D Secure.
Je ne sais pas si c’est lié au montant ou si c’est juste systématique...

avatar Mac13 | 

3D secure n'est pas systématique à chaque payement. C'est variable (j'ai précommandé plusieurs bluray et livres à la fnac que j'irais récupérer en magasin à proximité), il est parfois demandé de fournir le code 3Dsecure depuis le sms fourni par la banque afin de valider le paiement.

avatar fredsoo | 

Je gratte avec une lame de rasoir systématiquement le crypto des CB familiale.... chacun fait travailler sa mémoire pour ces 3 chiffres.
C'est imparable.

avatar iDanny | 

C’est quoi cette capture d’écran en photo ?.. comme ma belle-mère ??

avatar bossdupad | 

L’horreur ce système. Pour commander avec une carte étrangère ça va devenir une galère pas possible... Jusque là Apple ne vérifiait pas l’adresse de facturation pour valider la commande et c’était très bien comme ça.

avatar Bigdidou | 

Ceci étant, la 3D secure, c'est pas la panacée.
J'en suis à ma troisième série de débit frauduleux en 4 ans avec ce type de carte (toujours chez mêmes commerçants : zalandoo et un truc célèbre de réservation de voyage et d'hotels , je sais plus lequel).

avatar chandler74 | 

En Suisse, on utilise l’appli Transakt. On reçoit une demande de confirmation sur le téléphone et il faut juste choisir entre accepter ou refuser. Je trouve ça rapide et efficace pour les achats en ligne.

avatar francks67 | 

Non deux gros achats, pas de 3D secure, mais règlement par Amex.

avatar cvauthier | 

Non non, information fausse. Ma carte supporte bien le 3DS mais j'ai été victime d'achats frauduleux sur l'apple store (2 x 809 euros). Ils ont essayé 2 paiements ailleurs avant pour lesquels j'ai reçu des sms pour le 3ds et ils se sont rabattus chez apple. Vu les montants, c'est presque inadmissible.

CONNEXION UTILISATEUR