En 2024, une attaque deepfake ciblant un système de vérification d’identité se produit quelque part dans le monde toutes les 5 minutes, selon le rapport Entrust Identity Fraud 2025, et le secteur crypto concentre 88 % de tous les cas de fraude deepfake détectés cette année-là. Les plateformes d’échange ont généralisé le KYC facial pour satisfaire aux exigences MiCA et FATF. Les réseaux criminels ont répondu par une industrialisation de l’usurpation biométrique. Cette enquête documente comment ils opèrent, et ce que la riposte technique a de réel.
Au programme
- Trois vecteurs d’attaque distincts, faux documents IA, face-swap temps réel, injection caméra virtuelle, permettent de contourner le KYC biométrique pour moins de 50 dollars.
- L’affaire OnlyFake, jugée à New York en juin 2026, illustre l’industrialisation : plus de 10 000 faux documents générés, revendus 15 dollars pièce (DOJ, 2026).
- Les plateformes ripostent par la détection active du flux caméra et l’analyse passive du flux sanguin, mais seulement 72 % d’entre elles déploient la vérification de vivacité en 2025.
Pourquoi les plateformes crypto sont-elles la cible prioritaire ?
La crypto concentre 4 facteurs structurels qui en font une cible de choix : transactions pseudonymes, règlement irréversible, historiquement faible vérification à l’entrée, et portefeuilles pouvant valoir plusieurs millions. Une fois qu’un deepfake franchit le KYC et qu’un transfert est autorisé, les fonds sont irrécupérables : pas de service fraude à appeler, pas de remboursement possible.
Des réseaux criminels organisés opèrent des services de fraude à la demande, louant des outils de contournement de la vérification d’identité à des clients qui paient par compte ouvert. Ces réseaux ciblent les exchanges crypto, les néobanques et les plateformes de prêt, où l’onboarding numérique constitue le seul rempart entre le fraudeur et un compte actif.
Selon Sumsub, les deepfakes représentent 11 % de toute l’activité frauduleuse mondiale en 2026, contre 7 % en 2024. La progression n’est pas linéaire. Selon le rapport Resistant AI Global Document Fraud 2026, la fraude documentaire alimentée par l’IA générative a progressé de 90 % en un an, devenant le vecteur de fraude à la plus forte croissance dans la vérification d’identité.
Comment fonctionne le contournement en trois vecteurs ?
3 méthodes coexistent sur le marché souterrain. Elles sont souvent combinées lors d’une même session frauduleuse.
Premier vecteur : le faux document généré par IA. Un flux en circulation sur Telegram décrit la procédure : générer un visage synthétique via des outils open source comme StyleGAN ou des services commerciaux facturés 5 à 15 dollars par identité ; créer un faux document à partir de gabarits disponibles sur des marchés du dark web ; passer la vérification de vivacité avec des outils de face-swap en temps réel. Coût total : moins de 20 dollars.
Deuxième vecteur : le face-swap en temps réel. Des modèles génératifs grand public réalisent un remplacement de visage image par image sur des ordinateurs portables standard, avec une latence inférieure à 50 millisecondes. Le document d’identité capturé est authentique, volé ou synthétique, mais le visage sur la webcam est piloté par le fraudeur assis devant la caméra. Les vérifications de vivacité passive passent car le modèle réplique les micro-mouvements, les clignements et les variations d’éclairage.
Troisième vecteur : l’injection par caméra virtuelle. Une attaque par caméra virtuelle substitue au flux de la vraie caméra du téléphone un flux vidéo défini logiciellement, contenant généralement un deepfake de la personne usurpée en train d’effectuer le mouvement de vivacité demandé. Selon les recherches d’iProov, les attaques par injection de caméra virtuelle ont bondi de plus de 2 600 % et les attaques par face-swap de 300 % en un an.
Qui sont les acteurs de ce marché souterrain ?
L’affaire OnlyFake documente l’industrialisation avec précision. Les faux documents numériques vendus par OnlyFake permettaient de contourner les programmes KYC et de blanchir de l’argent en dissimulant la véritable identité de l’acheteur. La plateforme proposait des remises sur les achats en volume, jusqu’à des lots de 1 000 faux documents à la fois. Entre 2021 et 2024, OnlyFake a généré au minimum 10 000 faux documents et reçu plusieurs centaines de milliers de dollars.
Des tests journalistiques ont démontré qu’il était possible de franchir la vérification KYC de l’exchange OKX, qui utilise le prestataire tiers Jumio, avec un faux passeport britannique produit par OnlyFake. L’opérateur de la plateforme, Yurii Nazarenko, 27 ans, a plaidé coupable à New York pour complot en vue de commettre une fraude aux documents d’identité. Il a accepté la confiscation de 1,2 million de dollars de bénéfices.
Des investigations ont retracé des liens opérationnels avec des complexes de fraude au travail forcé au Cambodge, où des opérateurs deepfakes et des travailleurs victimes de traite humaine gèrent des milliers de comptes mules. Ce n’est pas un artisanat isolé. 22 canaux Telegram actifs vendent des outils de contournement KYC, ciblant des plateformes comme Binance, BBVA et Revolut, à partir de 30 dollars la session.
Quelles failles techniques les fraudeurs exploitent-ils réellement ?
La plupart des infrastructures KYC sont bien défendues contre les deepfakes en 2026, mais sous-protégées contre l’identité synthétique. La distinction est opérationnelle. La détection deepfake porte sur l’analyse du signal : cartes de profondeur, micro-mouvements, artefacts au niveau pixel. La fraude à l’identité synthétique porte, elle, sur l’analyse relationnelle : cette combinaison de données correspond-elle à une personne réelle cohérente ?
La société de renseignement Group-IB a documenté 8 065 tentatives d’attaques biométriques par injection contre le flux KYC d’une seule institution financière entre janvier et août 2025, toutes utilisant des images deepfake injectées via des caméras virtuelles. Toutes n’ont pas réussi. Pas toutes.
Le FATF Horizon Scan de décembre 2025 identifie explicitement les deepfakes comme un outil capable de contourner les contrôles AML, les systèmes de diligence raisonnable sur les clients et la vérification d’identité à l’entrée. Le rapport appelle à une approche normalisée et basée sur le risque, et signale que les superviseurs examineront les contrôles anti-deepfake dans le cadre des revues AML standard.
Malgré l’ampleur du problème, les cadres réglementaires de la plupart des juridictions n’ont pas encore émis de normes techniques spécifiques pour la détection des deepfakes dans les processus KYC. MiCA impose des obligations d’identification, pas de protocole technique de détection biométrique. L’obligation d’agrément CASP sous MiCA s’applique à partir du 1er juillet 2026 pour les acteurs de l’UE, ce qui signifie que nombre d’entre eux basculent vers des flux KYC renforcés précisément au moment où les outils d’attaque prolifèrent.
Comment les plateformes ripostent-elles ?
En 2025, 72 % des plateformes crypto utilisent la détection de vivacité, ce qui a réduit la fraude deepfake de 39 %. Pas suffisamment.
La riposte technique s’articule autour de 3 niveaux. Le premier est la détection passive du vivant : analyse du flux sanguin sous-cutané par photopléthysmographie, lecture des cartes de profondeur 3D, détection d’artefacts de compression. Une détection qui fonctionne en 2025 valide la source de capture, analyse plusieurs images dans le temps et lit des signaux passifs comme le flux sanguin et la profondeur 3D, plutôt que des actions provoquées.
Le deuxième niveau est la détection d’injection. La nouvelle spécification technique européenne CEN/TS 18099 définit des exigences de détection des attaques par injection, en complément de la norme ISO 30107-3. La future norme ISO 25456 établira les procédures de test mondiales pour les systèmes résistants à l’injection.
Le troisième niveau est comportemental : analyse des métadonnées EXIF du flux, fingerprinting de l’appareil, scoring de risque comportemental en temps réel. Les escroqueries alimentées par l’IA extraient en moyenne 3,2 millions de dollars par opération, contre 719 000 dollars pour les arnaques sans IA, soit 4,5 fois plus rentables. L’écart justifie des investissements défensifs, à condition que les plateformes les déploient.
Lecture CryptoActu L’affaire OnlyFake révèle une asymétrie structurelle : fabriquer un faux document d’identité crédible coûte 15 dollars et prend quelques secondes. Mettre à niveau un flux KYC vers la détection d’injection coûte plusieurs dizaines de milliers d’euros et suppose un prestataire tiers compétent. Tant que cette asymétrie persiste, les comptes vérifiés resteront une marchandise sur Telegram. MiCA oblige les plateformes européennes à l’agrément CASP dès juillet 2026, mais n’impose pas de protocole biométrique précis. Ce vide normatif est le prochain terrain de jeu des fraudeurs.
Questions fréquentes
Qu’est-ce qu’une attaque par injection dans un KYC crypto ?
Une attaque par injection contourne physiquement la caméra : au lieu de présenter un visage en direct, le fraudeur injecte un flux vidéo synthétique directement dans le pipeline de vérification via un pilote de caméra virtuelle. L’attaquant alimente directement la vérification biométrique avec des données synthétiques ou altérées, les faisant apparaître authentiques au niveau logiciel. La détection anti-usurpation traditionnelle ne peut souvent pas le détecter. C’est pourquoi les plateformes conformes PSAN auprès de l’AMF investissent dans la détection d’injection active.
Comment les faux documents IA contournent-ils la vérification automatisée ?
Les outils comme OnlyFake utilisaient des réseaux antagonistes génératifs (GAN) : un réseau optimisé pour tromper un second réseau conçu pour détecter les faux. À chaque interaction, les deux réseaux s’améliorent mutuellement. Les documents produits reproduisent les métadonnées EXIF, les textures de papier et les reflets holographiques. La meilleure riposte documentaire passe par la vérification NFC du chip RFID embarqué dans les passeports biométriques, un vecteur que les faux numériques ne peuvent pas imiter. Consulter aussi notre dossier sur le marché noir des comptes KYC vérifiés.
MiCA impose-t-il des normes biométriques spécifiques aux exchanges européens ?
Non. Les cadres réglementaires de la plupart des juridictions n’ont pas encore émis de normes techniques spécifiques pour la détection des deepfakes dans les processus KYC. MiCA exige une vérification d’identité à l’onboarding mais renvoie aux prestataires de services de vérification le choix des méthodes. La norme technique européenne CEN/TS 18099 sur la détection d’injection est volontaire, pas imposée. Ce vide est documenté dans le cadre du règlement MiCA et préoccupe Tracfin depuis 2025. Pour comprendre les enjeux liés au blanchiment via mixeurs et bridges, les mécanismes de contournement KYC en sont souvent le premier maillon.
À retenir : L’usurpation biométrique au KYC crypto s’est industrialisée en 2025-2026, portée par des outils à moins de 50 dollars et des réseaux organisés documentés par le DOJ et Europol. Les plateformes ripostent, mais le vide normatif sur les protocoles de détection laisse une fenêtre d’exploitation que MiCA, seul, ne fermera pas avant 2027.
Retrouvez toutes nos investigations sur notre page enquêtes.
Sources
- DOJ – Creator of OnlyFake Pleads Guilty (communiqué officiel)
- FATF – Targeted Update on Virtual Assets and VASPs, juin 2025
- Sumsub – How Fraudsters Bypass Facial Recognition 2026
- iProov – Biometric Update
- Europol SOCTA 2025 – Serious and Organised Crime Threat Assessment
- Signzy – Crypto KYC Guide 2026
-
HACKS & SÉCURITÉPamStealer vole mots de passe, keychains et wallets crypto
-
HACKS & SÉCURITÉStep Finance : un hack de 21,4 M$ blanchis via Tornado Cash