Et maintenant, la date de naissance !

Le numéro de carte bancaire à 16 chiffres, la date de validité, le cryptogramme visuel et dorénavant... la date de naissance. Depuis le 1er octobre, en effet, certains cybermarchands demandent aux clients qui souhaitent commander sur leur site de leur fournir, outre leurs coordonnées bancaires, leur jour, mois et année de naissance. Objectif : s'assurer que l'acheteur est bien le titulaire de la carte (ou qu'il l'utilise avec son accord) et donc limiter la fraude.

En fait, ce sont les deux grands éditeurs de cartes bancaires, Visa et Mastercard, qui sont à l'origine de la mise en place de ce nouveau protocole de sécurisation des paiements appelé 3DSecure. Le GIE Cartes bancaires coordonne son déploiement en France, mais, au final, il revient aux banques de le promouvoir auprès de leurs clients (commerçants et particuliers).

Concrètement, lorsque vous payez en ligne, le système reconnaît automatiquement le nom de votre banque grâce au numéro de carte bancaire que vous avez saisi. Apparaît alors une fenêtre dans laquelle vous êtes invité à donner votre date de naissance. Cette information est comparée instantanément avec celle que vous avez donnée à votre établissement bancaire. Si les deux dates concordent, le paiement est accepté.

Transfert de responsabilité

Du côté des cybermarchands, on a plutôt tendance à se réjouir, car ce processus d'authentification s'accompagne d'un transfert de responsabilité. En clair, en cas d'impayé, ce n'est plus à l'e-commerçant d'assumer les pertes : la charge en revient au banquier qui a authentifié l'acheteur (1). Néanmoins, les marchands redoutent que la procédure soit un peu lourde et qu'une partie de leurs clients abandonnent leur commande en cours de route. Du coup, seule une partie d'entre eux ont mis en place ce système (ceux qui affichent les logos « MasterCard Secure » ou « Verified by Visa »).

Leur inquiétude est d'autant plus fondée que cette authentification n'est pas infaillible. Si un fraudeur récupère les données de votre carte bancaire, il peut aussi dans certains cas retrouver votre date de naissance via Google, sur des réseaux sociaux (Facebook ou autre) ou sur votre permis de conduire, qui accompagnait la carte bancaire dans le portefeuille que vous avez perdu. « Il fallait trouver une donnée facile à mémoriser pour les clients, immuable et surtout faire vite pour respecter la date du 1er octobre imposée par le GIE Cartes bancaires », explique Sébastien Le Charpentier, responsable marketing grand public du groupe Carte Bleue Visa. Néanmoins, il n'est pas impossible que dans les mois qui viennent, une autre information soit demandée aux acheteurs, comme, par exemple, un code secret que seuls la banque et vous connaissez, comme l'a déjà mis en place le Crédit mutuel pour ses clients.

Période transitoire

Lancé officiellement le 1er octobre, le système est encore en rodage et une période transitoire est prévue pour les utilisateurs. Ainsi, les clients de la Caisse d'épargne pourront effectuer jusqu'à trois paiements sur des sites marchands MasterCard Secure et Verified by Visa sans avoir à s'authentifier. L'authentification ne deviendra obligatoire qu'à partir du quatrième paiement. Ceux de BNP-Paribas ne seront pas contraints de laisser leur date de naissance, mais s'ils le font une fois, ils devront ensuite le refaire à chaque paiement. L'objectif demeure néanmoins de généraliser la procédure auprès d'un maximum de commerçants début 2009.

1. Pour la victime qui découvre un débit frauduleux sur son compte, la démarche à suivre reste la même : elle se retourne vers sa banque qui doit lui rembourser la somme.