Aller au contenu principal
Ecran d'authentification 3D Secure sur smartphone lors d'un paiement en ligne au Maroc
Securite

3D Secure au Maroc : comment ca marche et pourquoi c'est obligatoire

14 min de lecture

Introduction : la securite des paiements en ligne au Maroc

Le commerce electronique marocain a franchi un cap decisif. Avec plus de 15 milliards de dirhams de transactions en ligne en 2025 et une croissance annuelle a deux chiffres, la securisation des paiements est devenue un enjeu central pour les commercants, les consommateurs et les regulateurs. Au coeur de cette securisation se trouve un protocole que tout acheteur marocain connait, parfois sans le nommer : le 3D Secure.

Ce mecanisme d'authentification forte est la couche de securite qui apparait au moment du paiement, lorsque la banque vous demande de confirmer votre identite -- generalement par un code SMS ou une validation biometrique. Au Maroc, le 3D Secure n'est pas une option : c'est une obligation reglementaire imposee par Bank Al-Maghrib et appliquee par le Centre Monetique Interbancaire (CMI) sur l'ensemble des transactions en ligne par carte bancaire.

Ce guide couvre le fonctionnement technique du 3D Secure, les differences entre les versions 1.0 et 2.0, son impact sur les taux de conversion, le cadre reglementaire marocain, et les bonnes pratiques d'integration pour les commercants et developpeurs. Si vous gerez un site e-commerce ou integrez une passerelle de paiement au Maroc, cette lecture est indispensable.

Qu'est-ce que le 3D Secure ?

Le 3D Secure (3DS) est un protocole de securite concu pour authentifier le porteur d'une carte bancaire lors d'un paiement en ligne. Le terme "3D" fait reference aux trois domaines (domains) impliques dans le processus :

  1. Domaine acquereuse -- la banque du commercant et sa passerelle de paiement
  2. Domaine emetteur -- la banque du client qui a emis la carte
  3. Domaine d'interoperabilite -- le reseau de paiement (Visa, Mastercard) qui orchestre l'echange

Le protocole est gere par EMVCo, le consortium detenu par les principaux reseaux de cartes. Chaque reseau commercialise sa propre implementation sous un nom specifique :

  • Visa : Visa Secure (anciennement Verified by Visa)
  • Mastercard : Mastercard Identity Check (anciennement Mastercard SecureCode)
  • American Express : American Express SafeKey

L'objectif fondamental du 3D Secure est de verifier que la personne qui effectue le paiement est bien le titulaire legitime de la carte. Sans cette verification, un fraudeur en possession d'un numero de carte, de sa date d'expiration et de son CVV pourrait effectuer des achats sans entrave.

Comment fonctionne le 3D Secure : le flux complet

Le processus d'authentification 3D Secure s'insere dans le flux de paiement standard entre le moment ou le client valide son panier et celui ou la transaction est autorisee. Voici les etapes detaillees :

  1. Initiation du paiement -- Le client saisit ses informations de carte sur le site du commercant ou dans l'application
  2. Envoi a la passerelle -- Le commercant transmet les donnees de paiement a sa passerelle de paiement (Chari Pay, CMI, etc.)
  3. Requete au Directory Server -- La passerelle envoie une requete au Directory Server du reseau (Visa ou Mastercard) pour verifier si la carte est enrolee en 3D Secure
  4. Verification par l'emetteur -- Le Directory Server interroge l'ACS (Access Control Server) de la banque emettrice
  5. Authentification du porteur -- L'ACS determine le niveau d'authentification requis : code OTP par SMS, validation biometrique (empreinte, reconnaissance faciale), ou approbation automatique (frictionless)
  6. Resultat -- L'ACS retourne le resultat d'authentification a la passerelle via le Directory Server
  7. Autorisation -- Si l'authentification reussit, la passerelle soumet la transaction pour autorisation aupres de la banque acquereuse
  8. Confirmation -- Le commercant recoit la confirmation et le client voit son paiement valide

Ce flux se deroule en quelques secondes. Du point de vue du client, il ne voit que l'etape d'authentification (le pop-up ou la redirection vers sa banque). Toute la mecanique technique entre la passerelle, le Directory Server et l'ACS est invisible.

3D Secure 1.0 vs 2.0 : comparaison detaillee

La premiere version du 3D Secure, deployee au debut des annees 2000, a pose les bases de l'authentification en ligne. Mais elle presentait des limitations majeures qui affectaient l'experience utilisateur et les taux de conversion. La version 2.0, ratifiee par EMVCo en 2017 et deployee progressivement au Maroc depuis 2022, apporte des ameliorations fondamentales.

Tableau comparatif

Critere3D Secure 1.03D Secure 2.0
Experience utilisateurRedirection vers une page bancaire externe, souvent lenteAuthentification dans un iframe integre, fluide
Methodes d'authentificationCode SMS (OTP) uniquementOTP, biometrie, push notification, frictionless
Support mobileMauvais -- pages non responsives, redirections casseesNatif -- SDK mobile, pas de redirection
Donnees transmises15 champs de donneesPlus de 100 champs de donnees pour l'analyse de risque
Frictionless flowInexistant70-80% des transactions approuvees sans intervention
Taux d'abandon10-30% d'abandon supplementaireReduction significative grace au frictionless
Reduction de la fraudeBonneExcellente -- analyse comportementale et contextuelle
Temps d'authentification30-45 secondes en moyenne1-5 secondes (frictionless) ou 15-25 secondes (challenge)

Les avancees cles de la version 2.0

La version 2.0 a ete concue pour resoudre le dilemme entre securite et conversion. Ses principales innovations :

Analyse de risque en temps reel -- L'emetteur recoit plus de 100 points de donnees (type d'appareil, geolocalisation, historique de transactions, heure, montant) qui lui permettent d'evaluer le risque de la transaction sans solliciter le client.

Frictionless flow -- Pour les transactions a faible risque, l'authentification se fait en arriere-plan. Le client ne voit aucune etape supplementaire. C'est un changement majeur pour les taux de conversion.

SDK mobile natif -- Plus besoin de redirections qui cassent l'experience sur mobile. Le SDK s'integre directement dans l'application du commercant.

Authentification biometrique -- Au-dela du simple code SMS, la version 2.0 supporte la reconnaissance faciale, l'empreinte digitale et les notifications push de l'application bancaire.

Pourquoi le 3D Secure est obligatoire au Maroc

Le Maroc a adopte une position claire et stricte sur la securite des paiements en ligne. Le 3D Secure est obligatoire pour toutes les transactions e-commerce par carte bancaire, sans exception. Cette obligation repose sur plusieurs piliers reglementaires :

Directives de Bank Al-Maghrib

Bank Al-Maghrib, la banque centrale du Maroc, a emis des directives specifiques exigeant l'authentification forte pour les paiements en ligne. Ces directives s'inscrivent dans le cadre plus large de la loi bancaire (loi 103-12) et des circulaires relatives a la securite des systemes de paiement. L'objectif est double : proteger les consommateurs marocains et renforcer la confiance dans le commerce electronique.

Application par le CMI

Le Centre Monetique Interbancaire (CMI), qui opere l'infrastructure de paiement par carte au Maroc, applique systematiquement le 3D Secure sur toutes les transactions en ligne. Tout commercant souhaitant accepter les paiements par carte via le CMI doit supporter le protocole 3D Secure. Les passerelles de paiement agreees, y compris celles comparees dans notre guide, integrent toutes cette obligation.

Resultats concrets

L'imposition du 3D Secure au Maroc a produit des resultats mesurables. Le taux de fraude sur les paiements en ligne par carte bancaire a ete reduit de maniere significative depuis l'adoption generalisee du protocole. Les litiges lies aux transactions non autorisees ont diminue, et la confiance des consommateurs dans le paiement en ligne s'est renforcee -- un facteur cle dans la croissance du e-commerce marocain.

Impact sur les conversions : donnees et optimisation

L'un des sujets les plus debattus autour du 3D Secure est son impact sur les taux de conversion. La realite est nuancee et depend fortement de la version deployee.

Le probleme de la version 1.0

Avec le 3D Secure 1.0, les etudes internationales montrent un taux d'abandon supplementaire de 10 a 30% au moment de l'authentification. Les causes principales :

  • Redirection vers une page bancaire externe qui inspire la mefiance
  • Pages non optimisees pour mobile
  • Temps de chargement lent
  • Codes SMS qui arrivent en retard ou pas du tout
  • Interface confuse pour les clients non familiers avec le processus

L'amelioration avec la version 2.0

Le 3D Secure 2.0 change la donne. Grace au frictionless flow, 70 a 80% des transactions sont approuvees sans aucune intervention du client. Le taux d'abandon sur les transactions restantes (celles qui necessitent un challenge) est aussi reduit grace a une interface mieux concue et des methodes d'authentification plus pratiques.

Comment optimiser vos conversions

Pour les commercants marocains, plusieurs leviers permettent de maximiser les conversions tout en respectant l'obligation 3D Secure :

  • Migrer vers le 3D Secure 2.0 -- Si votre passerelle utilise encore la version 1.0, la migration est prioritaire
  • Transmettre un maximum de donnees -- Plus vous envoyez de champs a la passerelle, meilleure sera l'analyse de risque et plus frequent sera le frictionless flow
  • Optimiser l'experience mobile -- Utilisez un SDK mobile natif plutot qu'une redirection web
  • Informer vos clients -- Un message clair expliquant l'etape de verification reduit l'anxiete et l'abandon

Le frictionless flow en detail

Le frictionless flow est l'innovation la plus importante du 3D Secure 2.0. Il permet de valider l'authentification du porteur sans lui demander aucune action.

Comment l'emetteur decide

Lorsque la banque emettrice recoit la requete d'authentification, son ACS analyse un ensemble de donnees pour evaluer le risque de la transaction. Si le risque est juge faible, la transaction est approuvee en mode frictionless. Voici les principaux points de donnees utilises :

  • Historique du porteur -- Frequence d'achat chez ce commercant, montants habituels
  • Appareil -- L'appareil est-il connu ? A-t-il deja ete utilise pour des transactions reussies ?
  • Geolocalisation -- L'achat est-il effectue depuis une localisation coherente avec le profil du porteur ?
  • Montant -- Le montant est-il dans la fourchette habituelle du porteur ?
  • Horaire -- L'achat est-il effectue a un horaire coherent ?
  • Donnees du navigateur -- Empreinte numerique, langue, fuseau horaire
  • Adresse de livraison -- Est-ce une adresse deja utilisee ?

Taux de frictionless au Maroc

Les banques marocaines ajustent progressivement leurs modeles de risque pour optimiser le ratio entre securite et fluidite. En 2026, les taux de frictionless observes sur le marche marocain varient entre 50% et 75% selon les emetteurs, avec une tendance a la hausse a mesure que les modeles de scoring s'affinent.

Le transfert de responsabilite (liability shift)

Un aspect souvent meconnu du 3D Secure est le transfert de responsabilite en cas de fraude. Ce mecanisme a un impact financier direct pour les commercants.

Sans 3D Secure

Si un commercant traite une transaction sans authentification 3D Secure et que celle-ci s'avere frauduleuse, la responsabilite financiere incombe au commercant. Il devra rembourser le montant au porteur (chargeback) et supporter les frais associes.

Avec 3D Secure

Lorsque la transaction a ete authentifiee via le 3D Secure, la responsabilite se transfere vers la banque emettrice. En cas de fraude malgre une authentification reussie, c'est la banque du porteur qui assume le cout du chargeback, pas le commercant.

Ce liability shift est un incitatif puissant pour les commercants. Au-dela de l'obligation reglementaire, le 3D Secure constitue une protection financiere directe contre les chargebacks frauduleux. Pour les marchands qui gerent des volumes importants ou des paniers moyens eleves, cet avantage est considerable.

Guide d'integration technique

L'integration du 3D Secure est geree par la passerelle de paiement. Le commercant n'a generalement pas besoin d'implementer le protocole directement -- c'est la passerelle qui orchestre l'ensemble du flux d'authentification. Neanmoins, comprendre le processus technique est essentiel pour une integration optimale.

Flux API typique

  1. Creer une session de paiement -- Le commercant appelle l'API de la passerelle avec les details de la transaction (montant, devise, reference) et les donnees du porteur
  2. Recevoir l'URL d'authentification -- La passerelle retourne une URL ou un identifiant de session pour l'authentification 3D Secure
  3. Rediriger ou afficher l'iframe -- En 3DS 2.0, la passerelle peut fournir un iframe a integrer directement dans la page de paiement
  4. Recevoir le callback -- Apres l'authentification, la passerelle envoie un webhook avec le resultat (succes, echec, tentative)
  5. Finaliser la transaction -- Si l'authentification est reussie, le commercant confirme la transaction via l'API

Webhooks et gestion des resultats

La passerelle envoie un webhook contenant le resultat de l'authentification 3D Secure. Les principaux statuts a gerer :

  • Y (Authenticated) -- Authentification reussie. Poursuivre avec l'autorisation. Liability shift actif.
  • A (Attempted) -- Tentative d'authentification. Le porteur ou l'emetteur ne supporte pas pleinement le 3DS. Liability shift partiel.
  • N (Not Authenticated) -- Authentification echouee. Ne pas poursuivre la transaction.
  • U (Unavailable) -- Le serveur d'authentification est indisponible. Decision a prendre selon votre politique de risque.
  • R (Rejected) -- L'emetteur a rejete l'authentification. Ne pas poursuivre.

Pour les e-commercants utilisant des plateformes comme Shopify ou des solutions de paiement recurrent, ces details techniques sont abstraits par la plateforme. Mais pour les integrations API directes, la gestion correcte de ces statuts est critique.

Pour une documentation technique complete sur l'integration des APIs de paiement, consultez notre documentation API.

Comment ChariBaaS simplifie le 3D Secure

ChariBaaS, via sa solution Chari Pay, integre nativement le 3D Secure 2.0 dans sa passerelle de paiement. Voici ce que cela signifie concretement pour les commercants :

Integration zero-effort -- Le 3D Secure 2.0 est active par defaut sur toutes les transactions. Aucune configuration supplementaire requise. La passerelle gere l'ensemble du flux d'authentification, de la requete au Directory Server jusqu'au callback final.

Optimise pour les cartes marocaines -- Chari Pay est optimise pour les specificites du marche marocain : integration directe avec le CMI, support de toutes les banques emettrices marocaines, et parametrage adapte aux modeles de risque locaux.

Frictionless maximise -- En transmettant automatiquement plus de 100 champs de donnees aux emetteurs, Chari Pay maximise le taux de frictionless flow. Resultat : moins de friction pour vos clients, plus de transactions completees.

Dashboard de suivi -- Suivez en temps reel les taux d'authentification, les taux de frictionless, les echecs et leurs causes. Ces donnees vous permettent d'identifier et de resoudre les problemes rapidement.

Support multi-canal -- Que vous integriez via API, via un plugin e-commerce ou via une page de paiement hebergee, le 3D Secure 2.0 est gere de maniere transparente sur tous les canaux.

Pour demarrer avec Chari Pay et beneficier du 3D Secure 2.0, contactez notre equipe ou consultez la documentation technique.

FAQ

Le 3D Secure est-il obligatoire au Maroc ?

Oui. Bank Al-Maghrib et le CMI imposent l'authentification 3D Secure pour toutes les transactions en ligne par carte bancaire au Maroc. C'est une mesure de protection contre la fraude qui s'applique aux cartes marocaines et internationales.

Quelle est la difference entre 3D Secure 1.0 et 2.0 ?

3D Secure 1.0 redirige vers une page bancaire pour saisir un code SMS. 3D Secure 2.0 est plus fluide : l'authentification se fait dans un iframe integre, utilise la biometrie et l'analyse de risque, et peut approuver les transactions a faible risque sans intervention du client (frictionless flow).

Le 3D Secure reduit-il les conversions ?

3D Secure 1.0 pouvait reduire les conversions de 10-30% a cause de la friction. 3D Secure 2.0 reduit cet impact grace au frictionless flow (70-80% des transactions approuvees sans intervention) et a une meilleure experience utilisateur.

Comment integrer le 3D Secure sur mon site e-commerce au Maroc ?

Le 3D Secure est gere par votre passerelle de paiement. Avec Chari Pay, le 3D Secure 2.0 est integre nativement -- vous n'avez rien a developper. La passerelle gere l'authentification, la redirection et le callback automatiquement.

Que se passe-t-il si l'authentification 3D Secure echoue ?

Si l'authentification echoue (statut N ou R), la transaction ne doit pas etre poursuivie. Le client peut retenter le paiement, utiliser une autre carte, ou contacter sa banque pour verifier que sa carte est bien enrolee en 3D Secure et que son numero de telephone est a jour.

Le 3D Secure fonctionne-t-il sur mobile ?

Le 3D Secure 1.0 avait une experience mobile degradee. Le 3D Secure 2.0 a ete concu pour le mobile avec des SDK natifs iOS et Android qui permettent une authentification fluide directement dans l'application, sans redirection externe.

Questions fréquentes

Le 3D Secure est-il obligatoire au Maroc ?
Oui. Bank Al-Maghrib et le CMI imposent l'authentification 3D Secure pour toutes les transactions en ligne par carte bancaire au Maroc. C'est une mesure de protection contre la fraude qui s'applique aux cartes marocaines et internationales.
Quelle est la difference entre 3D Secure 1.0 et 2.0 ?
3D Secure 1.0 redirige vers une page bancaire pour saisir un code SMS. 3D Secure 2.0 est plus fluide : l'authentification se fait dans un iframe integre, utilise la biometrie et l'analyse de risque, et peut approuver les transactions a faible risque sans intervention du client (frictionless flow).
Le 3D Secure reduit-il les conversions ?
3D Secure 1.0 pouvait reduire les conversions de 10-30% a cause de la friction. 3D Secure 2.0 reduit cet impact grace au frictionless flow (70-80% des transactions approuvees sans intervention) et a une meilleure experience utilisateur.
Comment integrer le 3D Secure sur mon site e-commerce au Maroc ?
Le 3D Secure est gere par votre passerelle de paiement. Avec Chari Pay, le 3D Secure 2.0 est integre nativement -- vous n'avez rien a developper. La passerelle gere l'authentification, la redirection et le callback automatiquement.