Le protocole 3D Secure victime d’une panne informatique

C’est pour une malencontreuse raison que le célèbre protocole de cybersécurité 3D Secure est revenu sur le devant de la scène ce mercredi 14 juin : Atos Worldline, qui administre ce service, a connu une panne de grande ampleur liée à un petit oubli néanmoins crucial. Ce sont donc de nombreuses transactions en ligne qui ont été invalidées et rendues impossible par ce bug informatique.

Petit oubli, grandes conséquences pour 3D Secure

Un administrateur réseau doit se mordre les doigts à l’heure actuelle, car un simple oubli a mené à des pertes colossales pour certains agents économiques. Pour faire très simple, 3D Secure est un service qui redirige le client vers un service d’authentification lorsque ce dernier effectue une transaction en ligne. Or, cette redirection se fait au moyen d’un nom de domaine : wlp-acs.com. C’est précisément ce nom de domaine qui n’a pas été renouvelé à son expiration de 14 juin 2017 dans la matinée, après 10 ans de bons et loyaux services. Beaucoup de clients se sont donc retrouvés bloqués dans le processus d’authentification, incapables de procéder à leur paiement en ligne.

Les dégâts sont encore difficiles à estimer, mais les experts estiment pour l’instant qu’environ 30% des paiements ont été bloqués. Ce chiffre est déjà relativement important, mais il est absolument colossal si on le met en perspective avec le nombre d’entreprises et de banques qui ont recours à l’authentification 3D Secure. Si certains clients ont pu reporter leur achat au jour suivant, le volume d’affaires en a certainement pris un coup. La situation est progressivement revenue à la normale le jeudi 15 juin.

L’un des plus gros acteurs du marché

Etant donné que 3D Secure est un protocole de sécurité développée par Visa et Mastercard, il est proposé à un très grand nombre d’acteurs économiques. Pour les sites e-commerce, la vignette « Paiement certifié 3D Secure » est même un gage de qualité : elle rassure les clients sur le fait que leurs transactions seront bien sécurisées, et qu’ils n’ont pas à craindre de fraudes. Compte tenu des données sensibles qui sont concernées, rien ne peut être laissé au hasard.

Le principe du 3D Secure est simple : lors d’une transaction entre deux agents économiques équipés du système 3D Secure, l’acheteur doit saisir une information personnelle supplémentaire pour authentifier son paiement. Un code reçu par SMS, une date de naissance ou un code généré spécifiquement pour la transaction doivent être saisis (en plus du numéro de carte, de sa date d’expiration et des trois chiffres au dos) pour que la transaction s’effectue. Cette nécessité de posséder un moyen d’authentification secondaire, en plus de la carte bleue, est une excellente barrière contre les usurpations d’informations bancaires, qu’elles soient physiques (perte/vol) ou en ligne (phishing, hacking et autres pratiques frauduleuses). Espérons que ce petit incident de parcours n’entamera pas la fiabilité du protocole, et la confiance que beaucoup d’agents économiques placent en 3D Secure.