Deepfakes et identité : méthodes de détection en 2026

L'année 2025 a basculé. Le Sumsub Identity Fraud Report 2025 a recensé une explosion sans précédent des deepfakes appliqués à la fraude d'identité : +700 % d'escroqueries vidéo deepfake sur l'année, 8 millions de deepfakes en ligne fin 2025 contre 500 000 en 2023, +2 665 % d'attaques par caméra virtuelle sur les flux d'onboarding biométrique. Si vous pilotez la conformité d'une banque, d'une fintech, d'une plateforme crypto ou d'un opérateur iGaming, la question n'est plus « comment empêcher les deepfakes ? », mais « comment construire un dispositif anti-fraude qui reste résilient quand la biométrie devient attaquable ? ». Nous l'observons dans nos missions : repenser l'eIDV (vérification d'identité électronique) comme un système multi-couches, où la donnée transactionnelle prend une place centrale, n'est plus une option.

L'explosion documentée des deepfakes

Les chiffres parlent d'eux-mêmes. Le tableau ci-dessous compile les statistiques 2024-2025 publiées par les principaux acteurs de la prévention fraude identité.

IndicateurMesureSource
Croissance deepfakes+4× (2023 → 2024)Sumsub Identity Fraud 2024
Escroqueries vidéo deepfake 2025+700 % (159 378 cas T4)ScamWatch HQ 2025
Deepfakes en ligne fin 20258 M (vs 500 k en 2023)Cyble 2025
Fintech : croissance deepfake+533 %Sumsub 2024
Crypto : croissance deepfake+217 %Sumsub 2024
iGaming : croissance deepfake+1 520 %Sumsub 2024
Face-swap sur IDV+704 % (depuis 2023)iProov 2025
Caméra virtuelle (attaque flux)+2 665 %iProov 2025
Vishing (deepfake voix)+442 %CrowdStrike 2025
Centres de contact bancaires+1 300 % deepfakePindrop 2025
Pertes fraude IA projetées 202740 milliards USDDeloitte

Le cas Arup (février 2024) reste l'incarnation médiatique : un employé hongkongais a transféré 25,6 millions USD en 15 virements après une visioconférence où le directeur financier et plusieurs collègues étaient des deepfakes en temps réel. Ce qui était une attaque expérimentale en 2023 est devenu une attaque industrialisée en 2025.

::: callout-info En bref La fraude d'identité par deepfake n'est plus marginale. Elle représente entre 5 % et 10 % des tentatives de fraude sur les services eIDV (vérification d'identité électronique) B2C en 2025, avec une concentration sectorielle marquée sur fintech, crypto et iGaming. La projection 2027 (Deloitte) estime les pertes à 40 milliards USD annuels. :::

Pourquoi la biométrie seule ne suffit plus

Pendant dix ans, la vérification biométrique avec liveness check (test de présence vivante) actif ou passif a constitué le standard de l'eIDV moderne. La photo capturée du client était comparée à la photo de la pièce d'identité, et un test de présence physique (clignements, mouvements de tête, analyse de texture) garantissait que l'utilisateur n'était ni une vidéo enregistrée ni une photo imprimée.

Cette architecture a été conçue pour résister à des attaques de présentation classiques. Elle n'a pas été conçue pour résister à des IA génératives de 2025. Le différentiel est aujourd'hui mesurable.

Face-swap temps réel. Les modèles open source (DeepFaceLab, FaceFusion) génèrent depuis 2024 un échange de visage en direct à 30 images/seconde avec une fidélité photographique. Sur un flux de webcam standard, le résultat passe sans difficulté la PAD passive (Presentation Attack Detection — détection d'attaque par présentation) non certifiée. iProov mesure +704 % de face-swap depuis 2023.

Caméra virtuelle. Plutôt que d'attaquer la PAD, les fraudeurs détournent le flux. Une caméra virtuelle (OBS Studio + plugin) injecte une vidéo synthétique préparée à l'avance ou un flux face-swap en direct. Le module logiciel de l'app eIDV ne sait pas, par défaut, distinguer un flux de webcam physique d'un flux logiciel. iProov mesure +2 665 % sur cette technique.

Voice cloning. Les modèles ElevenLabs, Resemble, Coqui produisent des clones vocaux convaincants à partir de 30 secondes d'échantillon. Sur les centres de contact bancaires, Pindrop mesure +1 300 % d'attaques deepfake voix. CrowdStrike mesure +442 % sur le vishing (hameçonnage par téléphone).

Documents synthétiques. Au-delà de la biométrie, les pièces d'identité elles-mêmes sont générées : photo d'identité par diffusion, données biographiques cohérentes, fond et hologrammes simulés. Onfido/Entrust mesure que 2 % des faux documents en KYC (Know Your Customer — vérification d'identité client) online sont aujourd'hui d'origine IA.

Trois lignes de défense côté biométrie :

1. PAD certifiée ISO/IEC 30107-3 Niveau 2 (iBeta) : résistance aux attaques 3D, masques, deepfakes calibrés. Indispensable mais insuffisante seule. 2. Détection canal : empreinte du flux webcam vs caméra virtuelle, signature du module logiciel, attestation de l'environnement (App Attest, Play Integrity). Vulnérable à terme aux attaques sur l'attestation. 3. Détection de modèle : empreintes statistiques typiques des sorties des modèles génératifs (artefacts spectraux, cohérence temporelle). Course permanente entre attaquants et défenseurs.

ENISA, dans ses guidelines 2025 sur les menaces IA, conclut explicitement à l'insuffisance des liveness detection face aux IA génératives avancées. La biométrie reste utile, mais elle ne peut plus porter seule la charge de la vérification d'identité.

Une biométrie sans corroboration externe est aujourd'hui un château fort dont la porte d'entrée est en bois.

Pourquoi la donnée transactionnelle reste résiliente

C'est ici que la donnée transactionnelle change la nature du problème. Un attaquant peut générer un visage en quelques secondes. Un attaquant peut imprimer un faux passeport pour quelques centaines d'euros. Un attaquant ne peut pas générer en volume :

  • 18 mois d'historique d'achats Carrefour, Amazon ou FNAC à une adresse cohérente
  • 3 ans d'abonnement Orange, SFR ou Bouygues sur un numéro non recyclé
  • Un avis d'imposition émis par la DGFiP qui croise les données de l'employeur déclaré
  • Un historique de virements SEPA sur un IBAN actif depuis plus de 24 mois
  • Un compte de fidélité Sephora avec achats récurrents et adresses de livraison cohérentes

Chacune de ces traces est, prise isolément, falsifiable au prix d'un effort. Leur convergence est statistiquement infalsifiable à grande échelle. Pour fabriquer 100 identités synthétiques avec ces caractéristiques, un attaquant devrait coordonner une fraude au niveau d'un État. Les deepfakes excellent en one-shot (cas Arup, 25,6 M USD en 15 virements). Ils échouent en volume.

Le FATF (Financial Action Task Force — Groupe d'action financière) recommande explicitement, dans ses behavioral analytics & transaction monitoring guidelines, une approche convergente combinant signaux d'identité + signaux comportementaux + signaux transactionnels. C'est exactement le métier que nous exerçons depuis 45 ans.

::: callout-info Le mantra anti-deepfake

  • Parce qu'aujourd'hui, tout est falsifiable, sauf la vie réelle et les actes d'achats de chacun.
  • Un deepfake fabrique un visage. Il ne fabrique pas 18 mois d'achats Carrefour.
  • Trois sources transactionnelles convergentes valent une biométrie certifiée Niveau 2.
  • Le couple biométrie + data est plus résilient que la somme de ses parties.

:::

Stratégies de détection multi-couches

Une architecture eIDV résiliente face aux deepfakes en 2026 s'organise en cinq couches complémentaires.

Avant même le selfie, on observe le canal : type d'appareil, empreinte navigateur, adresse IP, attestation OS (App Attest iOS, Play Integrity Android), absence de caméra virtuelle. Cette couche élimine 20 à 30 % des tentatives à coût quasi nul. Les attaques industrialisées laissent toujours des traces sur le canal.

L'individu déclaré existe-t-il dans la vie réelle, à cette adresse, sous ce nom, depuis cette date ? L'eIDV par data transactionnelle interroge 4 000 sources mondiales et 197 pays couverts. Une convergence sur achats + télécoms + sources gouvernementales garantit l'existence réelle. Pour un dossier en convergence forte, la friction biométrique peut être allégée. Pour un dossier en doute, nous durcissons en couche suivante.

Pour les dossiers en doute ou pour les opérations à niveau eIDAS (règlement européen sur l'identité électronique) substantiel/élevé, biométrie face match + liveness PAD certifié ISO/IEC 30107-3 Niveau 2 + détection de caméra virtuelle + signature du module logiciel. L'objectif n'est pas la perfection : c'est de durcir suffisamment pour que l'attaque coûte plus cher que le bénéfice.

OCR (reconnaissance optique de caractères) + analyse de pixel + détection de pièce générée par IA + lecture NFC (Near Field Communication — lecture sans contact de la puce) des pièces compatibles (passeport, carte d'identité française au format CNIe, la carte d'identité électronique). La lecture NFC est aujourd'hui la barrière la plus fiable contre les pièces synthétiques : la signature cryptographique de la puce ICAO ne peut pas être contrefaite sans accès à la clé privée du pays émetteur.

Une identité qui passe l'onboarding (entrée en relation client) mais commence à se comporter de façon atypique (virements urgents, géolocalisation incohérente, rapprochements entre comptes) doit lever une alerte dans les 90 jours suivant l'ouverture. Le KYC dynamique alimenté par signaux transactionnels rattrape ce qui passe en première barrière.

::: callout-info Recommandation Euroleads : architecture cible 2026 1. Pré-filtrage canal (20-30 % rejets gratuits) 2. eIDV par data transactionnelle en première barrière (60-70 % auto-validés) 3. Biométrie certifiée N2 + caméra virtuelle sur fraction en doute (10-20 %) 4. Vérification documentaire avec lecture NFC sur exigence eIDAS élevé 5. Surveillance continue 90 jours post-onboarding :::

Le coût d'une approche biométrie-seule en 2026

Il est tentant de durcir indéfiniment la biométrie. C'est une stratégie économiquement perdante. Chaque couche supplémentaire de PAD ajoute de la friction, augmente l'abandon client et coûte des points de conversion. Le calcul économique défavorable se manifeste dès 5 000 onboardings/mois : la perte de clients légitimes due au faux positifs biométriques dépasse le gain marginal de fraude évitée.

À l'inverse, décharger la biométrie en première barrière en s'appuyant sur l'eIDV par data permet de :

  • Réserver la friction biométrique aux vraies zones d'incertitude
  • Maintenir un niveau de sécurité global supérieur (résilience deepfake)
  • Réduire l'abandon client de 25 % à 5 % (chiffre mesuré sur cas banque en ligne)
  • Atteindre un ROI 220:1 mesuré

Cadre réglementaire à connaître

Trois textes structurent la riposte deepfake en 2026 :

  • AI Act (Règlement UE 2024/1689) : impose la traçabilité et le marquage des contenus générés par IA, mais ne suffit pas seul à protéger les eIDV.
  • eIDAS 2.0 : maintient et durcit les niveaux de garantie de l'identité électronique. Le niveau élevé devient progressivement la norme pour la banque en ligne et les services financiers sensibles.
  • AMLD6 (la 6ᵉ directive européenne anti-blanchiment, qui s'inscrit dans les règles de lutte contre la fraude et le blanchiment) : renforce les exigences de CDD (Customer Due Diligence — vigilance standard sur le client) et d'EDD (Enhanced Due Diligence — vigilance renforcée sur les profils à risque), et oblige à documenter la fiabilité des méthodes de vérification utilisées. Une biométrie sans corroboration ne tient plus l'audit ACPR sur les profils sensibles.

ENISA et l'EBA ont publié en 2025 des recommandations explicites pour combiner behavioral analytics, transaction monitoring et identity verification dans une architecture résiliente. C'est exactement le sens de la donnée transactionnelle appliquée à l'eIDV.

Ce qu'il faut retenir

::: callout-info À retenir

  • +700 % d'escroqueries deepfake en 2025, 8 millions de deepfakes en ligne fin 2025
  • Sectoriellement : fintech +533 %, crypto +217 %, iGaming +1 520 %
  • La biométrie seule, même certifiée, n'est plus suffisante face aux IA génératives
  • La donnée transactionnelle est quasi infalsifiable en volume : c'est la couche la plus résiliente
  • L'architecture cible 2026 combine 5 couches : canal → data → biométrie → documentaire → surveillance continue
  • ROI 220:1 sur banque en ligne avec abandon réduit de 25 % à 5 %

:::

Pour comprendre comment articuler ces couches dans un projet concret, lisez notre comparatif eIDV /fr/ biométrie /fr/ documentaire et Sources de données transactionnelles : pourquoi elles changent la donne. Sur l'IA appliquée à la prévention fraude, voir IA et détection de fraude : état de l'art 2026. Pour les fondations réglementaires, consultez le pilier eIDV : vérification d'identité électronique et la sectorielle KYC banque. Le calendrier européen est détaillé dans eIDAS 2.0 et l'EUDI Wallet.

Vous mesurez aujourd'hui votre exposition au risque deepfake ? Nous vérifions l'identité depuis 45 ans en croisant transactions d'achats vérifiées, sources gouvernementales, télécoms et médias. Nous construisons avec vous l'architecture résiliente adaptée à vos volumes et à vos exigences réglementaires.

::: cta Évaluer votre architecture anti-deepfake avec nos experts ? Discuter de votre projet :::