Mastercard Identity Check : Tout ce que les émetteurs et les commerçants doivent savoir

Le monde du commerce numérique est confronté à une tension fondamentale : comment les entreprises peuvent-elles offrir une expérience de paiement en ligne fluide et sans effort, tout en se protégeant et en protégeant leurs clients de la menace omniprésente de la fraude ? Les transactions sans présentation de la carte (CNP), qui sont la colonne vertébrale de l'e-commerce, ne bénéficient pas de la sécurité inhérente à la présentation physique d'une carte, ce qui entraîne des taux de fraude nettement plus élevés. Historiquement, les transactions CNP ont représenté une part disproportionnée des pertes dues à la fraude par rapport à leur volume. De plus, le coût de la prévention de la fraude par des mesures trop agressives, qui entraînent le refus erroné de transactions légitimes (faux refus ou « insultes au client »), peut parfois dépasser le coût de la fraude elle-même, ce qui se traduit par des pertes de ventes et de la frustration pour les clients.

C'est là qu'intervient Mastercard Identity Check, le programme complet de Mastercard conçu pour relever ce défi de front. Basé sur la norme mondiale EMV 3-D Secure, il représente une évolution significative dans l'authentification des paiements en ligne. Sa mission principale est de renforcer la sécurité, de lutter contre la fraude, d'augmenter les taux d'approbation des transactions et de simplifier le parcours de paiement pour les titulaires de cartes, les banques émettrices (émetteurs) et les entreprises (commerçants).

Cet article de blog répond aux questions essentielles que se posent les émetteurs, les commerçants, les prestataires de services de paiement (PSP), les développeurs de logiciels, les chefs de produit et les professionnels de la sécurité qui cherchent à comprendre en profondeur Mastercard Identity Check :

1. Qu'est-ce que Mastercard Identity Check exactement, et pourquoi a-t-il été développé ?

2. Comment Mastercard Identity Check s'appuie-t-il sur la technologie EMV 3-D Secure pour réduire la fraude et les faux refus ?

3. Quel rôle les technologies avancées, comme la biométrie comportementale NuData, jouent-elles dans la mise en place d'une authentification utilisateur sans friction ?

4. Comment les commerçants et les PSP peuvent-ils intégrer efficacement Mastercard Identity Check dans leurs processus de paiement existants ?

5. Quels avantages concrets — en termes de taux d'approbation des transactions, d'expérience utilisateur et de réduction de la fraude — les entreprises peuvent-elles attendre de l'adoption de Mastercard Identity Check ?

Le parcours vers Mastercard Identity Check a commencé avec les vulnérabilités inhérentes aux débuts de l'e-commerce. Avec l'essor des achats en ligne, les fraudeurs ont exploité l'absence de carte physique, ce qui a entraîné une escalade des taux de fraude CNP. La première réponse du secteur est venue en 1999 avec l'introduction du protocole 3-D Secure (3DS). La version de Mastercard de cette première itération était connue sous le nom de Mastercard SecureCode. Bien que SecureCode (3DS 1.0) visait à reproduire la sécurité d'un paiement physique en ajoutant une couche d'authentification du titulaire de la carte et offrait l'avantage crucial de transférer la responsabilité de certaines rétrofacturations frauduleuses loin des commerçants, il souffrait d'inconvénients importants qui ont entravé son efficacité et son adoption :

• Friction élevée : La mise en œuvre la plus courante impliquait des mots de passe statiques ou des questions de sécurité fastidieuses, exigeant souvent que les utilisateurs s'inscrivent au préalable et se souviennent d'identifiants distincts. Cela ajoutait une friction notable au processus de paiement.

• Mauvaise expérience utilisateur : Les redirections vers les pages de l'émetteur pour l'authentification créaient une expérience utilisateur incohérente et souvent déroutante, source de confusion et de méfiance chez les acheteurs. Cette friction a directement contribué à des taux élevés d'abandon de panier.

• Échange de données limité : 3DS 1.0 ne permettait l'échange que d'environ 15 éléments de données entre le commerçant et l'émetteur, fournissant un contexte insuffisant pour une évaluation précise des risques.

• Conception centrée sur le navigateur : Il était principalement conçu pour les transactions basées sur un navigateur, ce qui le rendait mal adapté au monde en pleine croissance des paiements via des applications mobiles et au commerce émergent de l'IoT.

• Atténuation inadéquate des faux refus : Les données limitées et l'accent mis sur les challenges explicites ne traitaient pas efficacement le problème important des faux refus, où des transactions légitimes étaient incorrectement signalées comme frauduleuses, nuisant aux relations avec les clients et entraînant des pertes de revenus.

Il est devenu évident que l'impact négatif d'une mauvaise expérience utilisateur – se manifestant par l'abandon de panier et les faux refus – représentait souvent une perte financière plus importante pour les entreprises que les coûts directs de la fraude. Cette réalité économique, associée à la nécessité d'une prévention plus forte de la fraude dans un monde de plus en plus numérique, a conduit au développement d'une approche modernisée.

Le lancement de Mastercard Identity Check, basé sur le protocole EMV 3-D Secure de nouvelle génération, visait à surmonter ces limitations avec un ensemble clair d'objectifs :

1. Réduire la fraude CNP : Employer des techniques plus sophistiquées pour détecter et prévenir les transactions non autorisées.

2. Minimiser la friction : Créer des flux d'authentification sans friction plus fluides et plus rapides pour la grande majorité des transactions.

3. Augmenter les taux d'approbation : Réduire les faux refus en fournissant aux émetteurs des données plus riches pour des évaluations de risques plus précises.

4. Prendre en charge les canaux modernes : Supporter nativement l'authentification au sein des applications mobiles, des portefeuilles numériques et d'autres appareils connectés.

5. Permettre un échange de données riche : Faciliter le partage sécurisé d'un volume beaucoup plus important de données transactionnelles et contextuelles.

6. Maintenir le transfert de responsabilité : Préserver l'avantage de transférer la responsabilité des transactions frauduleuses authentifiées loin des commerçants participants.

Mastercard Identity Check - Early Adopter Program Learnings

Il est essentiel de faire la distinction entre la norme technologique sous-jacente et la mise en œuvre spécifique de Mastercard.

EMV 3DS est la spécification de protocole mondiale développée et gérée par EMVCo, une organisation détenue conjointement par les principaux réseaux de paiement mondiaux, dont Mastercard, Visa, American Express, Discover, JCB et UnionPay. Elle définit le cadre technique pour la communication sécurisée et l'échange de données entre les trois domaines clés impliqués dans l'authentification d'une transaction en ligne :

1. Domaine de l'acquéreur : Comprend le commerçant, sa passerelle de paiement et la banque acquéreuse (la banque du commerçant). Ce domaine initie la demande d'authentification via un composant généralement appelé le Serveur 3DS (ou historiquement, le Merchant Plug-In/MPI).

2. Domaine de l'émetteur : Comprend la banque émettrice (la banque du titulaire de la carte) et le titulaire de la carte. Ce domaine est responsable de la vérification de l'identité du titulaire de la carte via un composant appelé le Serveur de Contrôle d'Accès (ACS).

3. Domaine d'interopérabilité : Se compose principalement du Serveur d'Annuaire (DS), exploité par le réseau de cartes (comme Mastercard). Le DS agit comme un routeur central, dirigeant les messages d'authentification entre le bon Serveur 3DS et l'ACS en fonction du numéro de carte (plus précisément, le Bank Identification Number ou BIN).

Le protocole EMV 3DS (souvent appelé 3DS 2.0 ou 2.x) a introduit des améliorations significatives par rapport au 3DS 1.0 original :

• 10 fois plus de données : Prend en charge l'échange de plus de 150 éléments de données (contre ~15 dans 3DS 1.0), offrant un contexte plus riche pour l'évaluation des risques, y compris les informations sur l'appareil, l'historique des transactions, les détails du navigateur et les données du commerçant.

• Authentification basée sur le risque (RBA) : Permet des flux d'authentification sans friction où les transactions à faible risque sont approuvées silencieusement en arrière-plan sur la base de l'analyse des données, sans nécessiter d'interaction du titulaire de la carte. L'objectif est d'atteindre 90 à 95 % de taux de transactions sans friction.

• Support natif mobile/app : Inclut des kits de développement logiciel (SDK) pour une intégration transparente dans les flux de paiement des applications mobiles, éliminant les redirections de navigateur perturbatrices.

• Méthodes d'authentification améliorées : Prend en charge les méthodes d'authentification modernes comme les mots de passe à usage unique (OTP) livrés par SMS ou application, la biométrie (empreinte digitale, reconnaissance faciale) et l'authentification hors bande, s'éloignant des mots de passe statiques.

• Cas d'usage plus larges : S'étend au-delà de la simple authentification de paiement pour prendre en charge l'authentification hors paiement (par exemple, l'ajout d'une carte à un portefeuille numérique), les paiements récurrents et la tokenisation.

Mastercard Identity Check

Corbado 3DS ACS Passkeys

Mastercard Identity Check est le nom du programme spécifique de Mastercard qui met en œuvre et régit l'utilisation du protocole EMV 3DS au sein de son réseau. Il succède au programme Mastercard SecureCode. Bien que basé sur la norme EMV 3DS, Mastercard Identity Check intègre les actifs et technologies uniques de Mastercard pour améliorer les performances et la sécurité. Cela inclut :

• IA et Machine Learning propriétaires : Exploitation des vastes données du réseau de Mastercard et de ses capacités d'IA pour affiner le scoring de risque et la prise de décision.

• Analyse comportementale (NuData) : Intégration des informations de la biométrie comportementale NuData (discutée dans la section suivante) pour comprendre les modèles d'interaction des utilisateurs et détecter les tentatives de fraude sophistiquées.

• Intelligence du réseau : Utilisation des informations provenant de milliards de transactions traitées dans le monde entier pour éclairer les évaluations de risques.

• Gouvernance du programme : Mastercard définit des indicateurs de performance clés (KPI) et des règles spécifiques pour les participants (émetteurs, commerçants, acquéreurs) au sein du programme Identity Check afin de garantir des performances et une expérience utilisateur optimales sur son réseau.

Par conséquent, Mastercard Identity Check n'est pas simplement un changement de nom du protocole EMV 3DS. Il représente la superposition stratégique par Mastercard de son intelligence propriétaire et de son cadre de gouvernance sur la base du protocole standardisé. Cette synergie vise à fournir un service d'authentification potentiellement plus efficace et différencié par rapport à une mise en œuvre EMV 3DS de base, offrant une détection des risques et une optimisation des performances améliorées au sein de l'écosystème Mastercard.

Mastercard Identity Check

Mastercard Identity Check repose sur une interaction sophistiquée de plusieurs composants technologiques de base pour atteindre ses objectifs de sécurité et de fluidité. Comprendre ces composants est crucial pour apprécier comment le système évalue les risques et authentifie les utilisateurs.

Acquise par Mastercard en 2017, la technologie de biométrie comportementale NuData est une pierre angulaire des capacités d'authentification avancées de Mastercard. Contrairement à l'authentification traditionnelle qui se concentre sur ce qu'un utilisateur sait (mot de passe) ou possède (téléphone pour OTP), la biométrie comportementale analyse la manière dont un utilisateur interagit avec son appareil et l'application. Elle se concentre sur la biométrie passive – des modèles d'interaction inhérents, souvent subconscients.

• Comment ça marche : Pendant une session en ligne (comme le paiement ou même l'ouverture d'un compte), la technologie NuData collecte et analyse passivement des centaines de signaux comportementaux subtils. Ceux-ci peuvent inclure :

  • La dynamique de frappe (vitesse, rythme, pression)

  • Les mouvements de la souris (schémas, vitesse, clics)

  • La manipulation de l'appareil (angle, données de l'accéléromètre)

  • L'interaction avec l'écran tactile (pression, schémas de balayage)

  • Les schémas de navigation (utilisation de la touche Tab par rapport au clic, progression dans le formulaire, comportement de « retour en arrière »)

  • Le comportement de la session (familiarité avec le formulaire, temps passé, utilisation du copier-coller, changement de fenêtre)

• Objectif et intégration : Ces données comportementales sont injectées dans des modèles de machine learning qui construisent un profil unique pour chaque utilisateur légitime. Le système analyse des milliards de points de données chaque année pour apprendre et affiner continuellement ces profils. Sa fonction principale au sein de Mastercard Identity Check est de distinguer les humains authentiques des bots automatisés et des fraudeurs sophistiqués, même lorsqu'ils possèdent des identifiants volés. Il détecte les anomalies et les signaux à haut risque en temps réel, fournissant une information essentielle au moteur d'authentification basée sur le risque.

La technologie NuData fait partie intégrante de la stratégie de sécurité à plusieurs niveaux de Mastercard, alimentant des solutions comme NuDetect et contribuant de manière significative à l'intelligence derrière Mastercard Identity Check. Elle est particulièrement efficace contre les attaques automatisées comme le credential stuffing et les tentatives de prise de contrôle de compte.

WSJ Mastercard Nudata

En tirant parti des capacités d'échange de données riches d'EMV 3DS 2.0, Mastercard Identity Check intègre une intelligence complète de l'appareil. Cela implique la collecte et l'analyse d'un large éventail de points de données spécifiques à l'appareil qui initie la transaction.

• Points de données : Le protocole EMV 3DS permet la transmission de plus de 150 variables. Cela inclut des informations telles que :

  • Le type, le modèle et le système d'exploitation de l'appareil

  • Le type de navigateur, la version, la langue et les plugins installés

  • L'adresse IP et les données de géolocalisation

  • Le type de connexion réseau et le fuseau horaire

  • Les identifiants ou empreintes de l'appareil

  • La résolution de l'écran et d'autres caractéristiques de l'appareil

  • Mastercard peut également s'associer à des entreprises comme Ekata pour enrichir davantage les données de vérification de l'appareil et de l'identité

• Objectif : Cette richesse d'informations sur l'appareil aide à construire un profil de risque complet. Elle permet au système de reconnaître les appareils de confiance, de détecter les anomalies comme les incohérences de localisation ou les tentatives d'usurpation d'informations sur l'appareil, d'identifier les connexions réseau à haut risque et de signaler les activités potentiellement frauduleuses provenant d'appareils inconnus ou compromis. L'intelligence de l'appareil est une autre entrée essentielle pour le moteur RBA.

Le moteur RBA est le centre d'intelligence de Mastercard Identity Check, responsable de l'évaluation du risque global d'une transaction en temps réel et de la détermination du parcours d'authentification approprié.

Comment ça marche : Le moteur synthétise les informations de plusieurs sources :

• Les champs de données EMV 3DS (détails de la transaction, informations sur le commerçant, intelligence de l'appareil)

• Les signaux de biométrie comportementale NuData

• Les données de transactions historiques et les profils d'utilisateurs

• L'IA et les modèles de machine learning propriétaires de Mastercard, entraînés sur les données du réseau mondial

Objectif : Sur la base de cette analyse holistique, le moteur RBA calcule un score de risque pour la transaction. Ce score éclaire la décision de procéder à une authentification sans friction (pour les transactions à faible risque) ou d'initier un challenge renforcé (pour les transactions à plus haut risque) afin de vérifier davantage l'identité du titulaire de la carte. Le résultat (un score ou une recommandation) est généralement envoyé à l'ACS de l'émetteur pour l'aider dans sa décision d'authentification finale. Mastercard propose également des services de RBA de secours (Stand-In) pour assurer une couverture si l'ACS d'un émetteur est indisponible ou n'est pas encore prêt pour le 3DS.

La puissance de Mastercard Identity Check réside dans la synergie entre ces composants. Alors que les données riches sur l'appareil et la transaction provenant d'EMV 3DS fournissent un contexte essentiel, l'intégration de la biométrie comportementale de NuData ajoute une couche de défense critique. NuData peut souvent détecter des tentatives de fraude sophistiquées, telles que des prises de contrôle de compte utilisant des identifiants valides ou des bots conçus pour imiter l'interaction humaine, qui pourraient contourner les systèmes reposant uniquement sur des points de données traditionnels. Cette approche à multiples facettes permet au moteur RBA de faire des évaluations de risque plus nuancées et plus fiables, permettant un taux plus élevé d'approbations sans friction tout en maintenant une sécurité robuste.

Mastercard Identity Check Program

L'un des principaux objectifs de Mastercard Identity Check est de minimiser les perturbations lors du paiement en ligne en permettant des flux d'authentification sans friction chaque fois que possible. Cette expérience transparente, où l'authentification se déroule silencieusement en arrière-plan, repose fortement sur des approbations basées sur les données, une utilisation intelligente des exemptions et une compréhension claire des implications en matière de responsabilité.

Le fondement du flux sans friction est l'authentification basée sur le risque (RBA). Le protocole EMV 3DS facilite l'échange d'une grande quantité de données (plus de 150 éléments potentiels) entre l'environnement du commerçant (via le serveur 3DS) et l'environnement de l'émetteur (l'ACS). Mastercard enrichit ces données avec sa propre intelligence réseau, ses algorithmes d'IA et les informations de la biométrie comportementale NuData. L'ACS de l'émetteur (ou le service RBA de Mastercard) analyse cet ensemble de données complet en temps réel. Si l'analyse indique une faible probabilité de fraude – basée sur des facteurs tels qu'un appareil reconnu, un comportement d'achat typique, un lieu familier, des schémas comportementaux cohérents et d'autres indices contextuels – la transaction peut être authentifiée passivement, sans que le titulaire de la carte n'ait à effectuer d'action (comme saisir un OTP ou utiliser une empreinte digitale). C'est l'essence d'une approbation basée sur les données permettant le flux sans friction, visant à couvrir 90 à 95 % des authentifications.

Dans des régions comme l'Europe, régies par la Directive sur les Services de Paiement (DSP2), l'Authentification Forte du Client (AFC) – exigeant généralement deux facteurs d'authentification indépendants – est souvent obligatoire pour les paiements en ligne. Cependant, la réglementation et le protocole EMV 3DS autorisent des exemptions spécifiques où l'AFC n'est pas requise, facilitant ainsi davantage les expériences sans friction. Mastercard Identity Check prend en charge l'application de ces exemptions. Les principales exemptions incluent :

• Analyse du risque de la transaction (TRA) : Si l'acquéreur ou l'émetteur effectue une analyse des risques en temps réel et juge la transaction à faible risque, et que le montant de la transaction est inférieur à certains seuils liés au taux de fraude global de l'entité, l'AFC peut être exemptée.

• Paiements de faible valeur : Les transactions inférieures à une certaine valeur (par exemple, 30 € en Europe) peuvent être exemptées, bien que des limites cumulatives s'appliquent (par exemple, le montant total ou le nombre de transactions depuis la dernière AFC).

• Bénéficiaires de confiance (liste blanche de commerçants) : Les titulaires de carte peuvent désigner des commerçants spécifiques comme « de confiance » auprès de leur émetteur. Les transactions ultérieures avec ces commerçants sur liste blanche peuvent être exemptées d'AFC.

• Paiements récurrents et transactions initiées par le commerçant (MIT) : Bien que la configuration initiale d'un paiement récurrent ou d'un accord de carte enregistrée nécessite généralement une AFC, les paiements ultérieurs initiés par le commerçant utilisant ces informations d'identification peuvent être considérés comme hors du champ d'application ou exemptés sous certaines conditions. Les versions EMV 3DS 2.2 et ultérieures offrent un support spécifique pour ces transactions 3RI (3DS Requestor Initiated).

• Paiements d'entreprise sécurisés : Des exemptions spécifiques peuvent s'appliquer aux paiements d'entreprise effectués à l'aide de protocoles sécurisés dédiés.

Les commerçants et les PSP peuvent indiquer leur demande d'exemption dans le message d'authentification EMV 3DS.

Corbado Outcome Based SCA Passkey

Un avantage significatif de l'utilisation de 3-D Secure a toujours été le transfert potentiel de responsabilité pour certains types de rétrofacturations frauduleuses.

• Transactions authentifiées avec succès : Lorsqu'une transaction est authentifiée avec succès via Mastercard Identity Check (que ce soit par un flux sans friction ou un challenge), la responsabilité pour les rétrofacturations déclarées comme « non autorisées » est généralement transférée du commerçant à l'émetteur de la carte. Cette protection s'applique même si l'authentification était sans friction, bien que des règles et des scénarios spécifiques au réseau de cartes puissent s'appliquer.

• Impact des exemptions : C'est un point essentiel : si un commerçant ou son PSP demande une exemption d'AFC (comme TRA ou faible valeur) et que l'émetteur l'accorde, la responsabilité de la fraude reste généralement au commerçant. Le commerçant bénéficie d'un paiement plus fluide mais conserve le risque financier de la fraude. Cependant, si l'émetteur décide unilatéralement d'appliquer une exemption (par exemple, sur la base de sa propre évaluation des risques), la responsabilité peut être transférée à l'émetteur.

• Tentative/Échec d'authentification : Les règles concernant la responsabilité lorsque l'authentification est tentée mais échoue ou ne peut être achevée (par exemple, l'ACS de l'émetteur est indisponible) peuvent être complexes et dépendent des circonstances spécifiques et des règles du réseau de cartes. Les règles de Mastercard peuvent offrir une protection au commerçant dans certains scénarios, même si l'émetteur n'a pas entièrement migré.

• Flux de données uniquement : Des flux spécifiques comme « Identity Check Insights » de Mastercard, qui impliquent le partage de données pour l'évaluation des risques sans effectuer une tentative d'authentification complète, n'accordent explicitement pas de transfert de responsabilité au commerçant.

Cela crée un point de décision stratégique important pour les commerçants et les PSP. Demander des exemptions peut optimiser les taux de conversion en garantissant une expérience sans friction, mais cela se fait au prix de la conservation de la responsabilité de la fraude. Inversement, forcer l'authentification (même si cela aboutit à un flux sans friction approuvé par l'émetteur) peut garantir le transfert de responsabilité mais pourrait potentiellement introduire de la friction si un challenge est requis. Par conséquent, une stratégie de gestion des risques sophistiquée est nécessaire pour déterminer l'approche optimale au cas par cas, en équilibrant les objectifs de conversion avec la tolérance au risque de fraude.

De plus, le succès du flux sans friction et la précision de la décision RBA dépendent fortement de la qualité et de l'exhaustivité des données fournies par le commerçant et son PSP via les messages EMV 3DS. Des données incomplètes ou inexactes entravent la capacité de l'émetteur à effectuer des évaluations de risques fiables, ce qui peut entraîner davantage de challenges ou même de refus, sapant ainsi les avantages du système. Atteindre des performances optimales sans friction est un effort collaboratif nécessitant une gestion diligente des données du côté de l'acquéreur.

Mastercard Identity Check Program

Mastercard Frictionless Future

Pour les émetteurs de cartes, l'intégration au programme Mastercard Identity Check est essentielle pour tirer parti de ses avantages en matière de sécurité et d'expérience utilisateur. Cela implique d'activer leurs portefeuilles de cartes (identifiés par des Bank Identification Numbers, ou BIN) et de se connecter à l'infrastructure d'authentification, principalement via un Serveur de Contrôle d'Accès (ACS).

L'ACS réside dans le domaine de l'émetteur et constitue le cœur technologique du processus d'authentification du point de vue de l'émetteur. Ses principales responsabilités incluent :

• Recevoir les demandes d'authentification (messages AReq) acheminées depuis le commerçant via le Serveur d'Annuaire (DS) de Mastercard

• Vérifier si le numéro de carte spécifique est enrôlé et éligible pour Mastercard Identity Check

• Effectuer une évaluation des risques (souvent en s'appuyant sur des moteurs RBA et des données comme le score Mastercard Smart Authentication)

• Décider s'il faut authentifier sans friction ou initier un challenge

• Gérer le processus de challenge si nécessaire (par exemple, envoi d'un OTP par SMS, demande de vérification biométrique via une application bancaire)

• Générer et renvoyer le message de réponse d'authentification (ARes), y compris la cruciale Valeur d'Authentification du Titulaire de Compte (AAV) pour les transactions authentifiées avec succès, au DS

Les émetteurs disposent de plusieurs voies pour mettre en œuvre la fonctionnalité ACS :

1. ACS interne : Un émetteur peut choisir de construire, déployer, héberger et gérer sa propre solution logicielle ACS au sein de son propre environnement informatique.

   • Avantages : Offre un contrôle maximal sur la logique d'authentification, les règles de risque, la personnalisation de l'expérience utilisateur et l'intégration avec les systèmes internes.

   • Inconvénients : Nécessite une expertise technique interne substantielle, des ressources de développement et de maintenance importantes, et une adhésion rigoureuse aux normes de conformité EMVCo et PCI 3DS en vigueur.

2. ACS hébergé (fournisseur tiers) : Les émetteurs peuvent s'associer à des fournisseurs d'ACS spécialisés et approuvés par Mastercard qui fournissent l'ACS en tant que service géré. L'émetteur dans ce modèle est souvent appelé « Hosted Principal ».

   • Avantages : Réduit la complexité opérationnelle de l'émetteur, les coûts d'infrastructure et le fardeau de la conformité. Tire parti de l'expertise du fournisseur et offre potentiellement un délai de mise sur le marché plus rapide.

   • Inconvénients : Peut offrir moins de contrôle granulaire et de personnalisation par rapport à une solution interne. Dépendance à l'égard d'un tiers pour une fonction critique.

   • Écosystème de fournisseurs : Mastercard maintient une liste de fournisseurs d'ACS conformes, avec des exemples comme Entersekt, Netcetera, GPayments et Logibiztech.

3. Services supplémentaires de Mastercard : Mastercard propose des services à valeur ajoutée qui peuvent compléter le parcours ACS choisi par un émetteur :

   • Mastercard Smart Authentication for ACS/Issuers : Fournit une intelligence RBA pour améliorer les capacités de décision de l'ACS.

   • Mastercard Stand-In RBA : Offre un traitement RBA de secours si l'ACS principal de l'émetteur est indisponible ou si des BIN spécifiques ne sont pas encore entièrement activés pour EMV 3DS.

   • Mastercard 3-D Secure Authentication Challenge Service : Fournit des capacités de challenge biométrique (utilisant les normes FIDO) qui peuvent être intégrées au flux ACS.

Le choix entre un ACS interne et un ACS hébergé représente une décision stratégique importante pour les émetteurs, qui doivent trouver un équilibre entre le désir de contrôle et le besoin d'efficacité, de rentabilité et de rapidité de mise en œuvre.

L'activation de plages de Bank Identification Number (BIN) spécifiques pour Mastercard Identity Check implique une série d'étapes coordonnées :

1. Choisir le parcours ACS : Déterminer s'il faut utiliser un ACS interne ou un fournisseur hébergé.

2. Assurer la conformité de l'ACS : Vérifier que la solution ACS choisie (interne ou fournisseur) est conforme aux règles actuelles du programme Mastercard Identity Check et à la version pertinente de la spécification EMV 3DS. Cela implique généralement que l'opérateur de l'ACS réussisse les tests de conformité de Mastercard.

3. S'inscrire à Mastercard Identity Check : Inscrire l'institution émettrice au programme via la plateforme de test Mastercard Identity Check sur Mastercard Connect, en acceptant les conditions et en fournissant les identifiants nécessaires comme l'ID de l'entreprise (CID) et le numéro de l'Interbank Card Association (ICA).

4. Enrôler les plages de BIN auprès du Serveur d'Annuaire : Utiliser l'outil Identity Solutions Services Management (ISSM) sur Mastercard Connect pour enregistrer les plages de BIN spécifiques qui participeront à Identity Check. Pour chaque plage enrôlée, l'URL de l'ACS correspondant doit être fournie. Notez que les plages de BIN précédemment enrôlées pour Mastercard SecureCode (3DS 1.0) nécessitent un enrôlement distinct pour Identity Check (EMV 3DS).

5. Configurer les règles d'authentification : Définir les méthodes d'authentification principales (par exemple, RBA) et les méthodes de challenge renforcé (par exemple, OTP par SMS, biométrie) à utiliser pour les BIN enrôlés. S'assurer que la prise en charge des flux sans friction et avec challenge est configurée.

6. Gérer les certificats : Obtenir et gérer les certificats serveur/client Transport Layer Security (TLS) nécessaires pour une communication sécurisée avec le Serveur d'Annuaire de Mastercard, et les certificats de signature numérique le cas échéant, en utilisant le portail de gestion des clés de Mastercard.

7. Mettre en œuvre la validation de l'AAV : Mettre en place des processus pour valider la Valeur d'Authentification du Titulaire de Compte (AAV) reçue dans les messages d'autorisation pour les transactions authentifiées. Cela peut être fait en interne ou en utilisant le service de validation AAV de Mastercard.

8. Coordonner avec le processeur : S'assurer que le processeur de paiement de l'émetteur est capable de gérer les nouveaux éléments de données associés à Mastercard Identity Check, tels que les Digital Transaction Insights.

9. Mettre en service et surveiller : Une fois la configuration et les tests terminés, activer les plages de BIN enrôlées dans l'environnement de production et surveiller en continu les performances des transactions et les KPI.

Il est important de reconnaître que la gestion des BIN est un processus continu. Les changements dans l'industrie, tels que la migration des BIN de 6 à 8 chiffres, exigent que les émetteurs évaluent de manière proactive leurs portefeuilles, consolident potentiellement les BIN et mettent à jour leurs systèmes et configurations en conséquence pour assurer le fonctionnement continu et transparent des services d'authentification comme Mastercard Identity Check.

Mastercard Identity Check Program

L'adoption de Mastercard Identity Check et du programme sous-jacent EMV 3DS Mastercard offre des avantages significatifs pour les commerçants et les prestataires de services de paiement (PSP) qui les servent. Les principaux impacts tournent autour de l'amélioration des taux de réussite des transactions, de l'amélioration de l'expérience client et de la simplification des opérations dans le paysage mondial de l'e-commerce.

L'un des avantages les plus convaincants est le potentiel d'augmentation des taux d'approbation des autorisations.

• Comment ça marche : Les données plus riches échangées via EMV 3DS, combinées à des moteurs RBA sophistiqués utilisant l'IA et l'analyse comportementale, fournissent aux émetteurs une bien meilleure compréhension de la légitimité d'une transaction. Cela leur permet de distinguer plus précisément les clients authentiques des fraudeurs, ce qui entraîne une réduction des faux refus – situations où une transaction légitime est rejetée par erreur en raison d'une suspicion de fraude.

• Résultats quantifiés : Des études et des rapports indiquent des améliorations significatives. Les données de Mastercard ont montré des augmentations moyennes du taux d'approbation de 10 à 12 points de base (0,10 à 0,12 %) ou même des augmentations allant jusqu'à 14 % sur des milliards de transactions en un an. D'autres sources mentionnent des augmentations potentielles de 12 %. Des études de cas, comme celle impliquant un détaillant de vêtements, ont démontré des augmentations de ventes substantielles attribuées à l'amélioration des approbations et à la réduction de la fraude via Identity Check.

• Avantages : Pour les commerçants, des taux d'approbation plus élevés se traduisent directement par une augmentation des ventes finalisées, des revenus plus élevés et une meilleure satisfaction client. Pour les PSP, offrir une solution qui augmente de manière démontrable les taux d'approbation de leurs clients améliore leur proposition de valeur et leur compétitivité.

Une conséquence directe d'une RBA efficace est une réduction significative du besoin d'authentification renforcée, où le titulaire de la carte est activement mis au défi de fournir une preuve d'identité supplémentaire.

• Comment ça marche : L'objectif est que la grande majorité (souvent citée comme >90 % ou 95 %) des transactions soient authentifiées sans friction sur la base de l'évaluation des risques. Cela signifie moins d'interruptions pour le client lors du paiement.

• Avantages : Cela améliore considérablement l'expérience utilisateur en supprimant les obstacles inutiles. Une friction réduite conduit directement à des taux d'abandon de panier plus faibles et à des taux de conversion plus élevés pour les commerçants.

Le fait que Mastercard Identity Check soit basé sur la norme mondiale EMV 3DS facilite la mise en œuvre et la gestion pour les entreprises opérant à l'international.

• Comment ça marche : EMV 3DS fournit un langage technique et un cadre communs pour l'authentification, reconnus par les émetteurs et les acquéreurs participants dans le monde entier.

• Avantages : Cette normalisation réduit la complexité pour les commerçants internationaux et les PSP, qui pourraient autrement avoir besoin d'intégrer plusieurs solutions d'authentification régionales disparates. L'intégration est simplifiée grâce à des protocoles, des API et des SDK standardisés fournis par Mastercard et ses partenaires. De plus, l'utilisation d'une solution basée sur EMV 3DS comme Mastercard Identity Check aide les entreprises à répondre aux exigences réglementaires telles que la DSP2 en Europe et des mandats similaires émergeant ailleurs.

Pour les PSP, ces avantages pour les commerçants sont amplifiés. En offrant une solution d'authentification robuste, cohérente à l'échelle mondiale et performante comme Mastercard Identity Check, les PSP peuvent attirer plus de commerçants, réduire leurs propres frais généraux liés à la gestion de diverses méthodes d'authentification et potentiellement réduire leur exposition aux coûts liés à la fraude répercutés par les commerçants.

Mastercard Identity Check

Pour gérer et optimiser efficacement les performances de Mastercard Identity Check, les émetteurs, les acquéreurs et les commerçants ont besoin d'un cadre clair d'indicateurs de performance clés (KPI). Le suivi de ces métriques fournit des informations sur l'expérience utilisateur, l'efficacité de la sécurité et la conformité avec les règles du programme EMV 3DS Mastercard.

Sur la base des guides du programme et des meilleures pratiques, les KPI suivants sont cruciaux pour surveiller les performances de Mastercard Identity Check :

1. Taux de challenge : Il mesure le pourcentage de demandes d'authentification qui aboutissent à un challenge actif pour le titulaire de la carte (par exemple, demande d'un OTP ou d'une vérification biométrique). Un taux de challenge plus faible indique généralement une expérience utilisateur meilleure et plus fluide. Les directives de Mastercard suggèrent de viser des challenges dans moins de 10 % des transactions, en s'appuyant sur la RBA pour la majorité.

2. Taux de réussite de l'authentification : Il suit le pourcentage de tentatives d'authentification (à la fois sans friction et avec challenge) qui sont complétées avec succès par le titulaire de la carte et vérifiées par l'émetteur. Des taux de réussite élevés sont essentiels pour minimiser l'abandon de transaction. Mastercard peut fixer des seuils minimaux pour les taux d'approbation globaux des transactions authentifiées (par exemple, 90 %) et surveiller spécifiquement les taux de réussite des challenges.

3. Taux sans friction : L'inverse du taux de challenge, il mesure le pourcentage d'authentifications complétées avec succès sans nécessiter d'interaction du titulaire de la carte. Un taux sans friction élevé est un objectif principal d'EMV 3DS et est fortement corrélé à des taux de réussite globaux plus élevés et à une meilleure expérience utilisateur.

4. Taux de fraude : Le suivi du taux de transactions frauduleuses confirmées, en particulier celles qui ont été authentifiées via Identity Check, est essentiel pour évaluer l'efficacité du système dans la prévention de la fraude. Mastercard surveille les niveaux de fraude des commerçants par le biais de programmes comme le programme Excessive Fraud Merchant (EFM). Un objectif clé est de constater une réduction de la fraude par rapport aux transactions non authentifiées.

5. Taux d'approbation des autorisations : La mesure ultime du succès d'une transaction est le taux d'approbation final de l'autorisation par l'émetteur. Identity Check vise à augmenter ce taux en réduisant les faux refus.

6. Performance technique : Des métriques telles que la disponibilité de l'ACS et du serveur 3DS (Mastercard exige une disponibilité de 99,0 % pour les fournisseurs), les temps de traitement des transactions et les taux d'erreur dans la messagerie d'authentification sont également critiques.

Le suivi de ces KPI repose sur divers canaux de reporting :

• Suivi du programme Mastercard : Mastercard surveille activement les performances des participants par rapport aux KPI établis du programme. La non-conformité peut déclencher des notifications et des évaluations ou amendes potentielles dans le cadre de programmes comme le DIMP ou l'EFM.

• Rapports du Data Integrity Monitoring Program (DIMP) : Ce programme se concentre spécifiquement sur l'exactitude et l'exhaustivité des données de transaction circulant sur le réseau Mastercard. Les émetteurs et les acquéreurs peuvent accéder aux rapports DIMP via un portail dédié pour identifier les transactions signalées pour des problèmes d'intégrité des données. Plusieurs « edits » DIMP concernent directement les données EMV 3DS, comme les ID de transaction DS manquants ou invalides, les indicateurs d'exemption manquants, les AAV invalides ou les montants de transaction discordants. Les émetteurs peuvent spécifiquement s'abonner à un Rapport de suivi de l'intégrité des données Mastercard pour suivre leurs performances par rapport aux objectifs de taux sans friction.

• Reporting du prestataire de services de paiement (PSP) / Fournisseur : Les commerçants et les émetteurs utilisent souvent les tableaux de bord de reporting et les analyses fournis par leurs PSP, fournisseurs de serveurs 3DS ou fournisseurs d'ACS pour suivre leurs métriques de performance d'authentification.

L'utilisation efficace de ces KPI et mécanismes de reporting permet aux parties prenantes d'identifier les domaines d'amélioration, d'optimiser les configurations (comme les règles RBA), de résoudre les problèmes techniques et, finalement, de maximiser les avantages du programme Mastercard Identity Check.

Mastercard Identity Check Program

Le paysage de l'authentification des paiements en ligne est en constante évolution, poussé par le besoin d'une sécurité renforcée, les changements réglementaires et la demande d'expériences utilisateur toujours plus fluides. Mastercard Identity Check, étant construit sur le programme EMV 3DS Mastercard, est intrinsèquement lié à la feuille de route établie par EMVCo pour le protocole 3-D Secure.

Évolution d'EMV 3DS (v2.1, v2.2, v2.3)

Le protocole EMV 3DS a connu plusieurs itérations depuis son lancement initial (version 2.0), chacune introduisant de nouvelles fonctionnalités et améliorations :

• EMV 3DS 2.1 : Est devenu la référence obligatoire, intégrant un support fondamental pour un échange de données plus riche et des expériences mobiles améliorées par rapport à 3DS 1.0. Mastercard a exigé sa prise en charge d'ici mi-2020.

• EMV 3DS 2.2 : A introduit d'autres améliorations, notamment un meilleur support pour les exemptions d'AFC (comme la TRA de l'acquéreur et la liste de commerçants de confiance via des extensions de message Mastercard) et des éléments de données affinés. Mastercard a commencé à prendre en charge les tests de conformité pour la version 2.2, avec des mandats qui ont suivi plus tard. Mastercard Gateway prévoyait de mettre fin au support de la version 2.1 en septembre 2024, faisant de la 2.2 le minimum effectif.

• EMV 3DS 2.3 (spécifiquement 2.3.1) : Publiée par EMVCo fin 2021/2022, cette version représente la dernière avancée significative, se concentrant sur l'amélioration de la sécurité, de l'expérience utilisateur et du support des canaux. Les fonctionnalités clés pertinentes pour l'avenir de l'authentification incluent :

  • Données et flux améliorés : Des éléments de données et des flux de messages supplémentaires pour rationaliser davantage l'authentification et améliorer la détection de la fraude. Inclut des données plus riches pour les paiements récurrents et les jetons de paiement.

  • Support de Secure Payment Confirmation (SPC) : Points d'intégration pour le SPC, permettant la confirmation cryptographique des détails de la transaction à l'aide d'authentificateurs FIDO dans le flux 3DS.

  • Support de WebAuthn : Support explicite de l'utilisation de la norme Web Authentication (WebAuthn) du W3C, facilitant l'utilisation des passkeys et des authentificateurs de plateforme (comme la biométrie de l'appareil) pour les challenges.

  • Améliorations de l'authentification hors bande (OOB) : Transitions automatisées pour simplifier l'expérience utilisateur lorsque l'authentification doit se faire via un canal distinct, comme une application bancaire.

  • Liaison d'appareil (Device Binding) : Permet aux utilisateurs de lier un appareil de confiance à leur compte, réduisant potentiellement les futurs challenges sur cet appareil.

  • Modèle Split-SDK : Offre une plus grande flexibilité pour la mise en œuvre des SDK 3DS sur diverses plateformes, y compris le web/mobile traditionnel et les canaux émergents comme les appareils IoT.

  • Améliorations de l'interface utilisateur : Plus d'options pour les émetteurs et les commerçants pour personnaliser l'interface utilisateur lors des challenges.

Mastercard, en tant que membre clé d'EMVCo, participe activement au développement de ces normes. Ils sont de fervents partisans du SPC et du mouvement plus large vers des méthodes d'authentification modernes et sans mot de passe comme les passkeys. Des entreprises comme DECTA ont déjà obtenu une certification précoce pour EMV 3DS 2.3.1.1 avec Mastercard, ce qui indique que l'adoption est en cours. Intégration de Secure Payment Confirmation (SPC) Le SPC est une norme web du W3C conçue pour fonctionner avec des protocoles d'authentification comme EMV 3DS. Il s'appuie sur les identifiants FIDO/WebAuthn (passkeys) pour permettre aux utilisateurs de s'authentifier et de confirmer explicitement les détails de la transaction (montant, bénéficiaire) directement dans le navigateur, en utilisant l'authentificateur intégré de leur appareil (par exemple, empreinte digitale, reconnaissance faciale, PIN).

• Comment il s'intègre avec EMV 3DS 2.3 : Lors d'un flux de challenge 3DS, si l'émetteur prend en charge le SPC et que l'utilisateur a un identifiant FIDO enregistré (passkey) auprès de l'émetteur pour cet appareil, l'ACS de l'émetteur peut renvoyer les informations nécessaires dans le message ARes. Le site web du commerçant invoque alors l'API SPC du navigateur, présentant une boîte de dialogue de confirmation standardisée et sécurisée. L'utilisateur s'authentifie localement (par exemple, via la biométrie), signant cryptographiquement les détails de la transaction. Cette assertion signée est renvoyée à l'ACS pour vérification.

• Avantages : Le SPC promet une expérience de challenge hautement sécurisée (résistante au phishing) et potentiellement à très faible friction par rapport aux OTP, améliorant les taux de conversion. Il fournit une preuve cryptographique forte du consentement de l'utilisateur liée à des détails de transaction spécifiques. Mastercard promeut activement l'adoption des passkeys et le support du SPC.

La vision plus large de Mastercard : vers un avenir sans mot de passe Au-delà de la feuille de route immédiate d'EMV 3DS, Mastercard a articulé une vision plus large pour l'avenir de l'authentification en ligne, visant à éliminer entièrement la saisie manuelle de la carte et les mots de passe d'ici 2030. Cette stratégie repose sur la convergence de :

• Tokenisation : Remplacement des numéros de compte principaux (PAN) sensibles par des jetons de réseau sécurisés (via MDES - Mastercard Digital Enablement Service) pour protéger les données de carte sous-jacentes. Mastercard vise une tokenisation à 100 % du e-commerce dans des régions comme l'Europe d'ici 2030.

• Authentification biométrique : Exploitation de la biométrie sur l'appareil (empreintes digitales, reconnaissance faciale - « sourires et empreintes digitales ») via des normes comme FIDO/WebAuthn et des technologies comme le SPC et le service Payment Passkey de Mastercard.

• Click to Pay : La solution de paiement en ligne simplifiée de Mastercard, basée sur les normes EMV Secure Remote Commerce (SRC), conçue pour fonctionner de manière transparente avec la tokenisation et l'authentification moderne.

Cet état futur envisage une expérience de paiement où les utilisateurs s'authentifient en toute sécurité et confirment les paiements par une simple action biométrique, sans jamais avoir besoin de taper manuellement des numéros de carte ou des mots de passe. L'évolution continue d'EMV 3DS, y compris la version 2.3 et l'intégration du SPC, sont des étapes cruciales vers la réalisation de cet objectif ambitieux.

Corbado EMV 3DS ACS Passkeys

Mastercard Identity Check, alimenté par le programme EMV 3DS Mastercard, représente une évolution essentielle dans la sécurisation de l'écosystème des paiements numériques. Dépassant les limites de son prédécesseur, Mastercard SecureCode, il relève le défi principal qui consiste à équilibrer une prévention robuste de la fraude avec l'impératif de flux d'authentification sans friction dans le e-commerce moderne.

Pour les émetteurs et les commerçants, les avantages sont tangibles :

• Sécurité renforcée : L'exploitation d'un échange de données riche, de moteurs sophistiqués d'authentification basée sur le risque (RBA), de la biométrie comportementale NuData et de l'intelligence de l'appareil améliore considérablement la précision de la détection de la fraude.

• Expérience utilisateur améliorée : L'accent mis sur les flux sans friction minimise les interruptions de paiement, réduisant l'abandon de panier et favorisant la fidélité des clients.

• Taux d'approbation plus élevés : Une évaluation plus précise des risques entraîne moins de faux refus, stimulant les ventes légitimes et les revenus.

• Protection de la responsabilité : Le potentiel de transfert de responsabilité sur les transactions authentifiées reste une incitation clé à l'adoption.

La mise en œuvre de Mastercard Identity Check nécessite un examen attentif des parcours d'intégration, en particulier le choix de l'ACS pour les émetteurs, et une gestion diligente de l'activation des BIN et de la qualité des données. Le suivi des performances via le cadre de KPI et les outils de reporting fournis, tels que le rapport de suivi de l'intégrité des données, est essentiel pour l'optimisation et la conformité. Pour l'avenir, l'évolution se poursuit avec EMV 3DS 2.3 et au-delà, intégrant des normes comme Secure Payment Confirmation (SPC) et WebAuthn pour permettre une authentification encore plus sécurisée et conviviale à l'aide de passkeys et de la biométrie de l'appareil. Cela s'aligne sur la vision plus large de Mastercard d'un avenir sans mot de passe et sans numéro pour les paiements en ligne d'ici 2030, ancré dans la tokenisation et la biométrie.

Alors que le paysage de l'authentification évolue vers ces méthodes plus modernes et résistantes au phishing, il est crucial de comprendre les fondations posées par des programmes comme Mastercard Identity Check. Pour les entreprises qui cherchent à mettre en œuvre une authentification de nouvelle génération combinant une sécurité robuste avec une commodité utilisateur inégalée, l'exploration de solutions basées sur les normes FIDO, comme les passkeys proposés par des fournisseurs tels que Corbado, représente la prochaine étape logique pour pérenniser les interactions et les paiements en ligne.