Avast impacte sur le 3D Secure

[MAJ]: Le 20 mars 2014, Avast a mis à jour son antivirus avec un correctif validé en amont par nos équipes. Il est donc important d'appliquer cette mise à jour pour résoudre le problème et autoriser à nouveau les paiements 3D-Secure!


Depuis le 12 décembre de nombreux e-marchands se plaignaient d'un taux d’échec important sur les paiements au moment du 3D Secure. Après de longues investigations, notre service technique a enfin trouvé la cause: 
La dernière mise à jour de l'antivirus gratuit Avast.


Tous les e-commerçants sont concernés par ce problème quelle que soit leur plateforme de paiement. 


Pour mieux comprendre le pourquoi du comment


Penchons-nous sur la partie technique non visible du 3D Secure:
- Lors d'un paiement 3D Secure, l'internaute est dirigé depuis la plateforme de paiement vers un ACS afin de s'authentifier.
- Cet ACS reçoit un PAReq (Payment Authentication Request) et émet en suivant un PARes (Payment Authentication Response) à destination de la plateforme de paiement. 
- Ce PARes informe du succès ou de l'échec de l'authentification. Or tout ceci se fait évidement via le navigateur de l'internaute. 


Mais que vient faire Avast dans tout ça?


Et bien c'est au moment de l'envoi du PARes via le navigateur de l'internaute que la dernière version d'Avast ( à l'évidence buggée) tronque le code en supprimant des octets.

Résultat: La plateforme de paiement reçoit un message PARes dont l'intégrité a été compromise. Les règles de "compliance" du MPI imposent donc d'abandonner la transaction.

Tests effectués et résultats obtenus :


  • En installant Avast sur plusieurs postes, aucune transaction ne fonctionne (PARes tronqué)
  • La désactivation du logiciel ne change rien
  • Une trace en amont du poste permet de montrer que le PARes est entier, puis arrive tronqué en sortie du poste suite à l’installation d’Avast
C'est finalement la désinstallation de l'antivirus qui résout le problème et autorise le paiement.
À ce jour, Cartes Bancaires a communiqué l'incident à Visa et MasterCard afin que celui-ci soit remonté auprès de AVAST pour la résolution dans les meilleurs délais de cet incident qui dépasse le cadre de la simple acceptation CB.

Commentaires

  1. Bonjour !

    Voilà qui explique pourquoi j'ai du mal à faire mes soldes !!
    Peut être l'occasion d'essayer gratuitement un autre antivirus ?!

    Merci pour l'info !

    RépondreSupprimer
  2. Ou de virer cette daube de 3D Secure qui fait rater des ventes aux commerçants car les gens abandonnent en cours de paiement : je n'ai pas toujours mon téléphone à côté de moi !

    RépondreSupprimer
  3. Ce qui m'étonne, compte-tenu de la popularité d'Avast! auprès des utilisateurs et de l'impact énorme sur tous les sites e-commerces, c'est qu'il n'y ait pas plus d'articles sur le sujet.
    De même ~10% des internautes utilisent Avast! et il n'y a pas tant de plaintes que ça sur les forums.

    Est-ce que ce problème est toujours d'actualité ? Ont-ils proposé un correctif dans une version ultérieure ?

    RépondreSupprimer
    Réponses
    1. Bonjour Romain,

      Avast a proposé un correctif aux alentours du 20 mars qui a été validé par nos équipes. Le recul est encore un peu faible mais nous avons mis à jour l'article, le problème semble résolu!

      Supprimer
  4. Excellent post. Keep writing such kind of info on your blog.
    Im really impressed by your blog. Hi there, You've performed a great job.
    I will definitely digg it and personally recommend to my friends.
    I'm sure they will be benefited from this web site.


    My weblog

    RépondreSupprimer
  5. Merci beaucoup pour cet article utile. La seule chose que je peux ajouter est le fait que, parfois, lors de l'installation d'anti-virus ne peut pas installer certains fichiers dll. Téléchargez-les ici pour vous http://fr.fix4dll.com/msvcp100_dll. Bonne chance!

    RépondreSupprimer

Enregistrer un commentaire