Adyen 3D Secure : Comment fonctionne l’authentification 3DS2
3D Secure est la couche d'authentification qui s'interpose entre un paiement par carte et son approbation. Adyen 3DS est l'une des implémentations les plus répandues de cette norme ; intégrée à la plateforme de paiement d'Adyen, elle traite des milliards de transactions chaque année en Europe, en Amérique du Nord et en Asie.
La manière dont Adyen gère 3D Secure est cruciale pour tout développeur intégrant les paiements par carte, et pour tout commerçant cherchant à concilier prévention de la fraude et conversion au moment du paiement. Ces deux aspects sont contradictoires : une authentification renforcée réduit la fraude, mais engendre également des frictions, et ces frictions ont un impact négatif sur les ventes. Les données régionales à ce sujet, notamment aux États-Unis et au Brésil, sont plus alarmantes que ce que la plupart des commerçants anticipent.
Qu'est-ce que Adyen 3D Secure ?
Lorsqu'un utilisateur paie en ligne avec une carte Visa, Visa peut exiger qu'il prouve son identité. Ce mécanisme repose sur 3D Secure, un protocole d'authentification développé par les réseaux de cartes (Visa l'appelle Verified by Visa, Mastercard SecureCode) spécifiquement pour les transactions sans présentation de la carte. Adyen utilise 3DS pour implémenter ce protocole sur sa plateforme de paiement.
Il existe deux versions. La première génération, 3DS1, redirigeait le client vers la page d'authentification de l'émetteur de la carte, interrompant complètement le processus de paiement. Le taux de conversion a chuté. Les commerçants ont détesté cette version. La plupart l'ont abandonnée dès qu'ils le pouvaient.
3D Secure 2 a remplacé ce système par une approche plus intelligente. Au lieu de rediriger l'utilisateur, il collecte discrètement en arrière-plan des données relatives à l'appareil et au navigateur (résolution d'écran, fuseau horaire, adresse IP, historique de session) et les transmet à la banque émettrice. Le système d'analyse des risques de la banque dispose ainsi de plus de 150 points de données. Grâce à ces informations, il peut souvent approuver la transaction sans que le client ne se rende compte que 3D Secure a été utilisé.
Les commerçants de l'UE et de l'EEE n'ont guère le choix. La directive PSD2 relative à l'authentification forte du client impose l'utilisation de 3D Secure 2 pour les paiements par carte supérieurs à 30 €. Tout mode de paiement impliquant une transaction par carte est concerné. En dehors de l'UE, l'utilisation de 3D Secure 2 est fortement recommandée pour la protection contre la fraude qu'elle offre, mais n'est pas obligatoire.
Fonctionnement de l'authentification Adyen 3DS2
Le processus 3DS2 se déroule en trois phases : collecte des données, authentification et autorisation. Il s’achève en quelques secondes lorsque tout se déroule sans problème.
- Le client initie le paiement — il saisit les informations de sa carte sur la page de paiement du marchand
- Adyen collecte des données sur l'appareil : un petit composant JavaScript (l'empreinte digitale 3DS2) s'exécute en arrière-plan et recueille des signaux du navigateur et de l'appareil : résolution d'écran, fuseau horaire, langue, type d'appareil et adresse IP.
- Adyen envoie une requête d'authentification : l'empreinte digitale de l'appareil et les données de transaction sont regroupées et transmises à l'émetteur de la carte via le réseau de cartes.
- L'émetteur évalue la demande : son système d'analyse des risques compare plus de 150 points de données à l'historique comportemental du titulaire de la carte et aux signaux de fraude.
- L'émetteur décide : authentification automatique ou avec vérification — si le risque est faible, l'émetteur authentifie silencieusement (authentification automatique) ; si des signaux de risque sont présents, l'émetteur demande une vérification.
- Le processus de vérification s'exécute s'il est déclenché ; le client effectue alors une vérification supplémentaire : mot de passe à usage unique, authentification biométrique ou confirmation via l'application bancaire.
- Résultat de l'authentification renvoyé — Adyen reçoit le résultat de l'authentification (authentifié, non authentifié ou tentative d'authentification).
- Adyen soumet l'autorisation ; le résultat de l'authentification étant joint, le paiement est transmis au réseau de cartes pour autorisation.
- Le transfert de responsabilité s'applique : si l'authentification a réussi, la responsabilité en cas de rétrofacturation liée à la fraude est transférée du commerçant à la banque émettrice.
La principale différence entre 3DS1 et 3D Secure 2 réside dans l'étape 2. Avec 3DS1, l'émetteur ne disposait que de très peu de données, ce qui entraînait de fréquentes contestations. Avec 3D Secure 2, l'empreinte digitale plus complète de l'appareil permet aux émetteurs d'approuver beaucoup plus de transactions de manière transparente, quel que soit le mode de paiement utilisé par le client, pourvu qu'il s'agisse d'une carte.
Flux sans friction vs flux avec défi à Adyen
Le résultat des transactions (sans friction ou avec contestation) est déterminé par l'émetteur, et non par Adyen ou le commerçant. Cela dit, la qualité de la collecte de données d'Adyen influe directement sur la fréquence à laquelle les émetteurs peuvent opter pour une transaction sans friction : des données d'empreinte numérique de meilleure qualité signifient que moins d'émetteurs auront besoin de recourir à la contestation.
| Facteur | Écoulement sans frottement | Flux de défi |
|---|---|---|
| Expérience client | Invisible — aucune étape supplémentaire | Nécessite une confirmation par code OTP, biométrique ou via une application |
| Impact de la conversion | Minimal — comme sans 3DS | Baisse significative (variable selon les marchés) |
| Qui décide ? | Le moteur de risque de la banque émettrice | Le moteur de risque de la banque émettrice |
| Déclenchement | Signal de risque faible, données suffisantes | Signaux de risque élevés ou données incomplètes |
| Transfert de responsabilité | Oui, l'émetteur supporte le risque de fraude | Oui, l'émetteur supporte le risque de fraude |
| Action typique | 40 % à 93 % des transactions (selon le marché) | 7 % à 60 % (selon le marché) |
Le Japon illustre les avantages d'une transaction fluide : environ 60 % des transactions 3DS s'effectuent sans friction, et le taux de conversion global se maintient à 93 %. Le Brésil présente la situation inverse : les nombreux défis relevés ont entraîné une baisse de 55 % du taux de conversion. Aux États-Unis, l'impact moyen des défis relevés sur le taux de conversion s'élève à 43 %, selon une étude de Stripe sur les tendances d'adoption de 3DS.
La protection contre la fraude est identique quel que soit le processus de paiement. L'authentification sans contact et l'authentification par défi entraînent toutes deux le transfert de responsabilité. Un remboursement pour fraude après une authentification 3DS réussie incombe à l'émetteur, et non au commerçant.
Règles de sécurité 3D dynamiques d'Adyen
La plupart des implémentations 3DS appliquent l'authentification de manière universelle : à chaque transaction, systématiquement. Le moteur de règles Dynamic 3D Secure d'Adyen permet aux commerçants d'être plus précis dans son application.
Dynamic 3DS permet aux commerçants de configurer un routage basé sur des règles qui applique 3DS de manière sélective, en fonction des signaux de risque, des exemptions et des caractéristiques de la transaction. L'objectif est de maximiser l'authentification des transactions à risque tout en utilisant des exemptions pour réduire les frictions sur les transactions à faible risque.
Principaux types de règles disponibles dans la configuration Dynamic 3DS d'Adyen :
- Règles d'exemption — acheminer les transactions à faible risque via les exemptions SCA (analyse des risques liés aux transactions, exemptions pour les transactions de faible valeur inférieures à 30 €, listes de marchands de confiance) afin d'éviter complètement l'authentification à trois facteurs (3DS) lorsque la loi le permet.
- Gestion des refus temporaires — rediriger automatiquement les transactions refusées par les émetteurs sans authentification 3DS, déclenchant une authentification 3DS lors de la seconde tentative.
- Règles de vélocité — appliquer la méthode 3DS en fonction de la fréquence des transactions effectuées avec une carte ou un appareil donné au cours d’une période donnée.
- Seuil de montant — déclenche le système 3DS au-delà d’une valeur de transaction spécifiée, tout en exemptant les achats de moindre importance.
- Règles basées sur le pays — appliquer une logique d’authentification différente selon le pays de l’acheteur, en tenant compte des exigences SCA régionales et du comportement de l’émetteur
- Règles relatives aux types de cartes — les cartes d’entreprise ou premium sont acheminées via 3DS, tandis que les cartes de débit standard des particuliers sont autorisées via des flux d’exemption.
Les commerçants qui configurent intelligemment Dynamic 3DS peuvent réduire considérablement leur exposition aux flux de défis par rapport à une application 3DS universelle, tout en maintenant une protection complète contre la fraude sur les segments à haut risque.
Méthodes d'intégration Adyen 3DS
La manière dont les commerçants intègrent 3DS via Adyen dépend de leur méthode d'intégration des paiements. Adyen prend en charge trois approches principales :
- Sessions (recommandé) — L’intégration préconfigurée d’Adyen gère nativement 3DS sans configuration supplémentaire. Le flux Sessions collecte automatiquement les empreintes digitales des appareils et gère le routage simplifié/avec vérification de manière transparente. Solution la plus simple pour la plupart des commerçants.
- Intégration simplifiée — Le composant d’interface utilisateur hébergé d’Adyen s’intègre à la page de paiement du marchand et gère les flux 3DS, notamment les fenêtres contextuelles de vérification et le traitement des résultats. Configuration simplifiée par rapport à une intégration API complète, personnalisation plus poussée qu’avec les sessions.
- Intégration API : contrôle total du flux 3DS. Le code du marchand gère la collecte des empreintes digitales, les demandes d’authentification, l’analyse des résultats et la soumission de l’autorisation. Indispensable pour les processus de paiement hautement personnalisés ou les applications mobiles natives nécessitant l’intégration native de 3DS2 dans leur interface.
Pour la plupart des e-commerçants, les sessions ou les solutions Drop-in offrent le meilleur compromis entre effort d'intégration et conformité 3DS. L'intégration API native est généralement privilégiée par les grandes entreprises disposant d'équipes d'ingénierie des paiements dédiées.
Une précision propre à Adyen : l’intégration native de 3DS2 dans les applications mobiles requiert les SDK iOS et Android d’Adyen, qui incluent les composants d’empreinte digitale et l’interface utilisateur de défi. Les intégrations web via Sessions ou Drop-in gèrent cela automatiquement.
Impact de la conversion 3D Secure : données régionales
Le titre « 3DS nuit à la conversion » est partiellement vrai, mais l'impact réel dépend presque entièrement de facteurs propres au marché : la familiarité des consommateurs avec les processus d'authentification bancaire et la fluidité de l'expérience utilisateur des services bancaires mobiles.
| Marché | Taux de défi | Impact de la conversion | Notes |
|---|---|---|---|
| Japon | défi d'environ 40 % | Chute minimale | L'authentification via l'application bancaire est familière ; taux de fluidité élevé |
| ROYAUME-UNI | défi d'environ 25 % | Faible à modéré | L'application bancaire (biométrique) est standard et offre une expérience rapide. |
| France | défi à environ 50 % | Modéré | Le taux de défi a doublé, mais les utilisateurs connaissaient déjà les mots de passe à usage unique. |
| NOUS | défi d'environ 45 % | -43 % sur les transactions contestées | La 3DS est encore récente ; les utilisateurs ne sont pas familiarisés avec le processus d’envoi de codes OTP par les banques. |
| Brésil | Défi ~60%+ | -55% | Taux de contestation élevés ; flux d’authentification bancaire incohérents |
| Moyenne mondiale | — | Marché de 1,72 milliard de dollars (2026) | On prévoit qu'il atteindra 4,66 milliards de dollars d'ici 2034. |
Les chiffres concernant la réduction de la fraude sont plus clairs : l’authentification 3DS diminue les litiges liés à la fraude jusqu’à 80 %, et l’Europe estime qu’elle permet d’éviter environ 900 millions d’euros de pertes annuelles dues à la fraude. Il s’agit d’économies réalisées par les commerçants. Les rétrofacturations sont coûteuses au-delà de la valeur de la transaction : elles engendrent des frais opérationnels supplémentaires, des pénalités liées à l’évaluation des risques et, dans certains cas, un risque pour la relation avec le processeur de paiement.
Le paradoxe de la conversion se résout lorsqu'on dissocie deux éléments : l'application de la méthode 3DS et la fluidité du processus. Les marchés dotés d'applications bancaires mobiles performantes et de consommateurs expérimentés absorbent bien les obstacles liés à la validation. En revanche, les marchés où les consommateurs utilisent des codes OTP par SMS ou des applications bancaires peu fiables enregistrent une perte importante de transactions.
3DS et paiements en cryptomonnaie
Le protocole 3D Secure s'applique uniquement aux paiements par carte. Les transactions en cryptomonnaie ne transitent pas par les réseaux de cartes bancaires ; par conséquent, aucun flux 3D Secure n'est déclenché.
Cela a des conséquences à double tranchant. Les plateformes de paiement en cryptomonnaies ne peuvent pas compter sur le transfert de responsabilité 3DS : il n’y a pas de banque émettrice à laquelle transférer le risque de fraude. La sécurité repose donc sur d’autres mécanismes : surveillance des transactions, vérification des portefeuilles et évaluation des risques en temps réel au niveau de la plateforme.
L'autre avantage : aucune contrainte liée à la 3DS. Pas de suivi d'empreinte numérique en arrière-plan, pas de vérification auprès de l'émetteur, pas de code OTP à attendre. Le paiement se résume à scanner l'adresse de son portefeuille ou à confirmer dans une application dédiée. Pour les commerçants qui ont constaté l'impact négatif des vérifications d'identité sur les taux de conversion aux États-Unis ou au Brésil, cette simplicité représente un véritable atout.
Pour les commerçants qui souhaitent proposer les cryptomonnaies comme option de paiement en plus des cartes traditionnelles, Plisio fournit une passerelle de paiement crypto qui gère l'acceptation des cryptomonnaies sans ajouter de complexité de conformité 3DS à l'infrastructure du commerçant.
