Selon Sumsub, acteur mondial de
la vérification d’identité, avec la démocratisation de l’IA, l’accélération
numérique et la généralisation des contrôles à distance, la fraude à l’identité
n’a jamais été aussi sophistiquée si bien que les systèmes classiques ne
parviennent plus à résister à l’ingéniosité des fraudeurs.
En
2024, les pertes globales liées à la fraude ont dépassé les 12,5 milliards de
dollars, c’est-à-dire 25% de plus que l’année précédente. Les fraudeurs
exploitent les failles techniques, humaines et systémiques pour infiltrer les
entreprises, détourner des fonds, ou manipuler les dispositifs de contrôle.
Sumsub
dresse ici une liste de 7 tactiques utilisées par ces acteurs malveillants et
propose quelques pistes pour y faire face.
1. Les
deepfakes pour usurper des visages et des voix
Les
vidéos générées par IA ne sont plus rares pour passer les processus de
vérification par selfie ou appel vidéo. Sumsub pointe une augmentation de 700%
des deepfakes en France depuis 2024. Certaines vont jusqu’à simuler des voix
pour tromper des centres d’appel ou des interlocuteurs humains.
---- La parade consiste à
combiner sensibilisation des équipes aux artefacts (décalage labial, reflets
incohérents) et détection automatisée : analyses biométriques dynamiques des
micro-mouvements oculaires et des textures cutanées, couplées à des moteurs anti-deepfake
intégrés au parcours de contrôle selon le niveau de risque.
2. La
falsification de documents avec l’IA générative
L’IA
générative permet de créer en quelques secondes de faux documents d’identité ou
de faux justificatifs avec un niveau de réalisme tel qu’ils échappent à la
vigilance d’humains non outillés.
---- Il devient
indispensable de s’appuyer sur des moteurs de vérification capables
d’identifier les anomalies micrographiques et les métadonnées incohérentes,
tout en croisant systématiquement les informations avec des sources fiables. La
mise à jour continue des modèles face à de nouveaux gabarits et la vérification
avec des référentiels externes renforcent la robustesse du dispositif.
3. Le
“Fraud-as-a-Service” : un écosystème prêt à l’emploi
Alors que
les opérations de fraude massives nécessitaient auparavant d’important moyens,
1 000 $ suffisent aujourd’hui pour y accéder. Des plateformes proposent des
kits de phishing, des modèles de deepfakes, ou même des identités synthétiques
prêtes à l’emploi.
---- Les organisations
doivent surveiller en temps réel des signaux corrélés (empreintes d’appareils,
géolocalisations, rythmes d’usage) et déclencher rapidement des réponses
graduées dès l’émergence de signaux faibles. La mutualisation des listes et
indicateurs de compromission entre acteurs d’un même secteur permet d’élargir
la détection et entrave la réutilisation de schémas connus.
4. L’usurpation
post-onboarding : quand la fraude commence après l’entrée
Contrairement
aux idées reçues, la majorité des fraudes ne se produisent qu’après que
l’utilisateur a été validé. Changement d’appareil, nouvelle IP, comportements
inhabituels sont des signaux typiques.
---- La protection repose
sur une surveillance continue de l’identité sur tout le cycle de vie du client,
avec re-vérification adaptative dès qu’un écart est détecté. La journalisation
précise des événements et anomalies dans un historique vérifiable facilite
l’investigation et l’escalade appropriée.
5. Les
identités synthétiques : ni réelles, ni fictives
Certaines
identités sont créées à partir de fragments de vraies et de fausses
informations (nom existant, date de naissance inventée, document manipulé).
Cette technique n’est pas anodine puisqu’elle a augmenté de 281% en France
depuis l’année dernière selon Sumsub. Ce mélange de réel et de fictif rend leur
détection difficile, bien qu’elles soient parfois utilisées de façon
incohérente.
---- Leur détection gagne
en efficacité lorsque l’on analyse la cohérence d’usage dans la durée, que l’on
repère la duplication de documents entre comptes et que l’on applique un
scoring de crédibilité aux combinaisons. Ces mécanismes priorisent les cas afin
de concentrer l’effort d’examen humain aux cas réellement douteux.
6. Les
comptes mules et réseaux de fraude
Dans les
cas d’opérations massives, les fraudeurs opèrent rarement seuls. Ils manipulent
ou louent des identités réelles (mules) pour exécuter des opérations illégales
tout en masquant leur implication.
---- Relier les comptes
utilisant des données identiques (adresses IP, empreintes d’appareils, adresses
postales…) met en évidence les interconnexions, tandis que l’analyse de
comportements mimétiques (dates de création proches, mêmes bénéficiaires,
montants récurrents) révèle les schémas organisés. Des règles ciblées, comme
des plafonds de transaction, des délais avant retrait et des contrôles
renforcés lors de transferts entre comptes récents, limitent les risques.
7. L’exploitation
des vérifications ponctuelles et isolées
Beaucoup
d’organisations pensent, à tort, qu’il suffit de ne vérifier qu’une fois
l’identité de leur interlocuteur. En réalité, une telle politique ouvre la voie
à l’usurpation d’identité ou aux reprises de compte.
---- Une approche plus sûre
consiste à demander un consentement explicite à chaque usage sensible et à
ajuster l’authentification au contexte : canal, appareil, localisation, valeur
de la transaction et historique. L’adoption d’identités vérifiées et réutilisables
permet de concilier sécurité et fluidité, en réduisant les frictions inutiles
pour l’utilisateur légitime.
Face à des fraudeurs toujours plus rapides, l’identité ne peut plus être un point de contrôle figé mais un processus vivant, porté par des systèmes hybrides, intelligents et interconnectés. L’automatisation assure la vigilance continue et la détection proactive des signaux faibles, tandis que la fluidité de l’expérience utilisateur reste non négociable : protéger sans friction inutile pour nourrir la confiance et la relation client.