Avast impacte sur le 3D Secure
[MAJ]: Le 20 mars 2014, Avast a mis à jour son antivirus avec un correctif validé en amont par nos équipes. Il est donc important d'appliquer cette mise à jour pour résoudre le problème et autoriser à nouveau les paiements 3D-Secure!
Depuis le 12 décembre de nombreux e-marchands se plaignaient d'un taux d’échec important sur les paiements au moment du 3D Secure. Après de longues investigations, notre service technique a enfin trouvé la cause:
La dernière mise à jour de l'antivirus gratuit Avast.
Penchons-nous sur la partie technique non visible du 3D Secure:
- Lors d'un paiement 3D Secure, l'internaute est dirigé depuis la plateforme de paiement vers un ACS afin de s'authentifier.
- Cet ACS reçoit un PAReq (Payment Authentication Request) et émet en suivant un PARes (Payment Authentication Response) à destination de la plateforme de paiement.
- Ce PARes informe du succès ou de l'échec de l'authentification. Or tout ceci se fait évidement via le navigateur de l'internaute.
Et bien c'est au moment de l'envoi du PARes via le navigateur de l'internaute que la dernière version d'Avast ( à l'évidence buggée) tronque le code en supprimant des octets.
Résultat: La plateforme de paiement reçoit un message PARes dont l'intégrité a été compromise. Les règles de "compliance" du MPI imposent donc d'abandonner la transaction.
Depuis le 12 décembre de nombreux e-marchands se plaignaient d'un taux d’échec important sur les paiements au moment du 3D Secure. Après de longues investigations, notre service technique a enfin trouvé la cause:
La dernière mise à jour de l'antivirus gratuit Avast.
Tous les e-commerçants sont concernés par ce problème quelle que soit leur plateforme de paiement.
Pour mieux comprendre le pourquoi du comment
Penchons-nous sur la partie technique non visible du 3D Secure:
- Lors d'un paiement 3D Secure, l'internaute est dirigé depuis la plateforme de paiement vers un ACS afin de s'authentifier.
- Cet ACS reçoit un PAReq (Payment Authentication Request) et émet en suivant un PARes (Payment Authentication Response) à destination de la plateforme de paiement.
- Ce PARes informe du succès ou de l'échec de l'authentification. Or tout ceci se fait évidement via le navigateur de l'internaute.
Mais que vient faire Avast dans tout ça?
Et bien c'est au moment de l'envoi du PARes via le navigateur de l'internaute que la dernière version d'Avast ( à l'évidence buggée) tronque le code en supprimant des octets.
Résultat: La plateforme de paiement reçoit un message PARes dont l'intégrité a été compromise. Les règles de "compliance" du MPI imposent donc d'abandonner la transaction.
Tests effectués et résultats obtenus :
- En installant Avast sur plusieurs postes, aucune transaction ne fonctionne (PARes tronqué)
- La désactivation du logiciel ne change rien
- Une trace en amont du poste permet de montrer que le PARes est entier, puis arrive tronqué en sortie du poste suite à l’installation d’Avast
À ce jour, Cartes Bancaires a communiqué l'incident à Visa et MasterCard afin que celui-ci soit remonté auprès de AVAST pour la résolution dans les meilleurs délais de cet incident qui dépasse le cadre de la simple acceptation CB.
Bonjour !
RépondreSupprimerVoilà qui explique pourquoi j'ai du mal à faire mes soldes !!
Peut être l'occasion d'essayer gratuitement un autre antivirus ?!
Merci pour l'info !
Ou de virer cette daube de 3D Secure qui fait rater des ventes aux commerçants car les gens abandonnent en cours de paiement : je n'ai pas toujours mon téléphone à côté de moi !
RépondreSupprimerCe qui m'étonne, compte-tenu de la popularité d'Avast! auprès des utilisateurs et de l'impact énorme sur tous les sites e-commerces, c'est qu'il n'y ait pas plus d'articles sur le sujet.
RépondreSupprimerDe même ~10% des internautes utilisent Avast! et il n'y a pas tant de plaintes que ça sur les forums.
Est-ce que ce problème est toujours d'actualité ? Ont-ils proposé un correctif dans une version ultérieure ?
Bonjour Romain,
SupprimerAvast a proposé un correctif aux alentours du 20 mars qui a été validé par nos équipes. Le recul est encore un peu faible mais nous avons mis à jour l'article, le problème semble résolu!
Excellent post. Keep writing such kind of info on your blog.
RépondreSupprimerIm really impressed by your blog. Hi there, You've performed a great job.
I will definitely digg it and personally recommend to my friends.
I'm sure they will be benefited from this web site.
My weblog
Merci beaucoup pour cet article utile. La seule chose que je peux ajouter est le fait que, parfois, lors de l'installation d'anti-virus ne peut pas installer certains fichiers dll. Téléchargez-les ici pour vous http://fr.fix4dll.com/msvcp100_dll. Bonne chance!
RépondreSupprimer