Enquête : Hier, le système 3D Secure censé assurer la sécurisation de certains paiements CB a connu une panne importante. Il semblerait que l’opérateur du système, Atos Worldline, ait oublié de procéder au renouvellement d’un nom de domaine utilisé par le système…

Hier, vous avez peut-être été dans l’impossibilité de réaliser un paiement en ligne, votre CB étant rejetée sans explication par le système de paiement du site web sur lequel vous faisiez un achat. Si c’est le cas, pas d’inquiétude, votre carte bancaire n’est pas en cause !

C’est le système 3D Secure qui est tombé en panne mercredi 14 juin vers 10h30. Et pour une raison directement liée à l'un des noms de domaines utilisé pour communiquer avec les systèmes informatiques des banques utilisatrices de 3D Secure.

publicité

Valerio Testa a découvert dans l'après-midi la cause de l’anomalie, qui a été également analysée par Stéphane Bortzmeyer, ingénieur spécialiste du système DNS : le nom de domaine wlp-acs.com, utilisé pour rediriger des requêtes d'autorisations de paiement vers les banques des utilisateurs, n’était plus opérationnel : il avait tout simplement disparu des serveurs du système DNS dans la matinée du 14 juin.

Cette analyse technique est confirmée ce matin par la base de données WHOIS qui montre que le nom de domaine a été renouvelé le 14 juin 2017, 2 jours après l'échéance administrative du 12 juin :

J'ai appelé un ami qui est directeur technique d'un fournisseur de solutions de paiement en ligne et voici les explications que j'ai recueillies de sa part : « Cette panne a affecté les paiements effectués avec une carte Visa, pour toutes les grandes banques qui utilisent le service SIPS d’Atos Worldline, à l’exception de CIC – Crédit Mutuel qui a mis en œuvre 3D Secure en utilisant son propre nom de domaine. Les possesseurs de cartes MasterCard et American Express n’ont pas été concernés par cette panne, qui a affecté uniquement les cartes Visa. De ce que j’ai pu constater chez nos clients, c’est tout de même environ 30% des paiements qui ont échoué, ce qui représente un impact important pour l’activité d’un e-commerçant. »

Selon une autre source, non seulement les paiements par carte Visa et aussi les paiements par carte MasterCard étaient inopérants.

La cause la plus probable de cette disparition du nom de domaineest un oubli de l’opérateur du système, Atos Worldline , qui avait créé le nom de domaine le 12 juin 2007. Du coup, le temps que l’information sur le renouvellement du nom de domaine soit propagée à tous les serveurs du système DNS, la situation devrait progressivement revenir à la normale aujourd’hui jeudi 15 juin.

Ce n’est pas la première fois qu’un incident lié à un nom de domaine a des conséquences dommageables pour une entreprise : en avril 2014, le groupe TF1 avait oublié de renouveler le nom de domaine de sa plateforme vidéo Wat.tv, la rendant inaccessible. En janvier 2012, même bourde chez le journal gratuit 20 Minutes. Et en février 2011, le quotidien Le Monde avait mal effectué le transfert de son nom de domaine d’un bureau d’enregistrement à un autre, rendant le site web inaccessible durant plusieurs heures.



Je ne le répéterai jamais assez : le Domain Name System est un composant essentiel du fonctionnement d'Internet et du web, et il nécessite une grande vigilance de la part de ses utilisateursqui doivent gérer leurs noms de domaines avec la plus grande rigueur. Espérons désormais que Atos a bien noté que le nom de domaine sera à renouveler le 12 juin 2018, sans faute !



