Vous passez commande sur Amazon, vous validez le paiement, et à aucun moment on ne vous demande les trois chiffres au dos de votre carte. Sur la plupart des autres sites marchands, ce code (le cryptogramme visuel, ou CVV) est systématiquement requis. Amazon fonctionne différemment, et ce choix repose sur des mécanismes techniques précis.
Tokenisation des cartes bancaires : ce qu’Amazon stocke vraiment
Quand vous enregistrez une carte sur Amazon, le site ne conserve pas votre numéro de carte tel quel. Il utilise un système appelé tokenisation EMV, un standard porté par les réseaux de paiement internationaux. Le principe : votre numéro réel est remplacé par un jeton numérique unique, un « token », qui sert de référence pour les transactions futures.
Lire également : Comment planifier efficacement votre prochain voyage en voiture ?
Ce token est réutilisable. À chaque nouvel achat, Amazon transmet ce jeton au réseau de paiement sans manipuler directement votre numéro de carte ni votre cryptogramme. Les réseaux Visa et Mastercard ont mis en place des programmes spécifiques pour les gros marchands éligibles à cette tokenisation. Amazon en fait partie.
Le cryptogramme n’a donc plus de rôle à jouer après le premier enregistrement. Il a pu être demandé une seule fois, lors de l’ajout de la carte, pour vérifier que vous en étiez bien le porteur. Ensuite, le token prend le relais. Si vous vous demandez pourquoi Amazon ne demande pas le 3d secure à chaque commande, c’est ce mécanisme qui l’explique en grande partie.
A découvrir également : L'art de la carte à envoyer : un message qui fait la différence
Authentification forte et DSP2 : le rôle de votre banque
Vous avez peut-être remarqué qu’Amazon vous redirige parfois vers l’application de votre banque pour valider un achat. Ce n’est pas un hasard. Depuis la mise en œuvre de la directive européenne DSP2 (deuxième directive sur les services de paiement), l’authentification forte est obligatoire pour les paiements en ligne en Europe.
L’authentification forte repose sur deux facteurs parmi trois catégories possibles :
- Quelque chose que vous connaissez (un code secret, un mot de passe)
- Quelque chose que vous possédez (votre téléphone, une carte physique)
- Quelque chose que vous êtes (empreinte digitale, reconnaissance faciale)
Le cryptogramme à trois chiffres ne rentre dans aucune de ces catégories de manière robuste. C’est un code statique, imprimé sur la carte, facile à copier. La DSP2 a poussé les banques à développer des validations plus fiables : notification sur l’application bancaire, code SMS temporaire, biométrie.
C’est votre banque qui déclenche cette vérification, pas Amazon. Le marchand transmet les données de la transaction, et la banque émettrice décide du niveau d’authentification requis. Amazon peut donc se passer du cryptogramme parce que la sécurité repose sur un autre maillon de la chaîne.
Exemptions à l’authentification forte : pourquoi certains achats passent sans validation
Vous avez sans doute constaté que tous vos achats Amazon ne déclenchent pas de vérification bancaire. Certaines commandes passent directement, sans code SMS ni notification. La DSP2 prévoit des exemptions pour fluidifier le parcours d’achat.
Les cas où l’authentification forte peut être contournée :
- Les transactions de faible montant (en dessous d’un seuil défini par la banque)
- Les paiements récurrents auprès d’un même marchand identifié comme « de confiance »
- Les transactions jugées à faible risque par l’analyse de la banque ou du prestataire de paiement
Amazon dispose d’un taux de fraude très bas sur ses transactions. Ce faible taux de fraude lui permet de bénéficier d’exemptions plus larges auprès des réseaux de paiement. Quand un marchand démontre un historique de sécurité solide, les banques acceptent de valider davantage de transactions sans authentification supplémentaire.
Le cryptogramme devient alors doublement inutile : le token remplace le numéro de carte, et l’exemption DSP2 dispense de la vérification bancaire classique.
Sécurité du paiement Amazon sans cryptogramme : les limites à connaître
Ce système est globalement fiable, mais il déplace la responsabilité. Si quelqu’un accède à votre compte Amazon (mot de passe compromis, session ouverte sur un appareil partagé), il peut passer des commandes sans jamais avoir besoin de votre carte physique. La protection de votre compte Amazon devient le vrai verrou de sécurité.
Activer la vérification en deux étapes sur votre compte Amazon est la mesure la plus efficace. Sans elle, un mot de passe volé suffit pour commander avec vos cartes enregistrées, puisque ni le numéro complet ni le cryptogramme ne seront redemandés.
Ce que vous pouvez faire concrètement
Vérifiez que la double authentification est active dans les paramètres de connexion de votre compte. Supprimez les cartes que vous n’utilisez plus. Consultez régulièrement la liste des appareils connectés à votre compte Amazon pour repérer toute session inconnue.
Le cryptogramme n’a jamais été conçu comme une barrière forte. C’est un code statique, visible par quiconque a la carte en main. La tokenisation et l’authentification bancaire via la DSP2 offrent un niveau de protection supérieur, à condition que l’accès à votre compte reste sécurisé de votre côté.
Amazon a fait le choix de la fluidité en s’appuyant sur des technologies de paiement qui rendent le cryptogramme obsolète dans le cadre de transactions récurrentes. Ce n’est pas un oubli ni un raccourci de sécurité : c’est une architecture où chaque acteur (marchand, réseau de cartes, banque) joue un rôle distinct. La sécurité de votre mot de passe reste le seul élément que vous seul pouvez garantir.