Devenir Membre

Qu’est-ce que l’usurpation faciale dans les processus KYC ?

Forum des Compétences Cybersécurité forum
Actualité Cybersécurité
Table des matières
KYC IA - Forum

L’usurpation faciale dans un parcours KYC (Know Your Customer) désigne l’ensemble des techniques permettant à un fraudeur de se faire passer pour une autre personne lors d’une étape d’identification ou de vérification d’identité utilisant la biométrie faciale (selfie, vidéo selfie, comparaison avec une pièce d’identité, etc.).
L’objectif est simple : ouvrir un compte, prendre le contrôle d’un compte, contourner une vérification, ou valider un ordre sensible (changement de coordonnées, hausse de plafonds, virement, etc.) en trompant les contrôles.

Dans la banque/assurance, ce risque est devenu central car le KYC s’est industrialisé (onboarding à distance, parcours mobiles, automatisation), et parce que les outils de génération IA d’images/vidéos rendent les attaques plus accessibles et plus crédibles.

Pourquoi c’est un sujet KYC (et pas “juste” un sujet biométrie)

La biométrie faciale en KYC n’est presque jamais une “brique isolée”. Elle s’inscrit dans une chaîne :

  • collecte de documents (CNI/passeport) ;

  • capture selfie/vidéo ;

  • comparaison (face match) ;

  • contrôles de vivacité (liveness) ;

  • contrôles documentaires ;

  • scoring fraude et décisions (accept/review/reject).

Les régulateurs et superviseurs ont précisément encadré l’onboarding à distance : l’EBA a publié des lignes directrices sur l’utilisation de solutions d’entrée en relation à distance, qui insistent sur l’analyse de risques, la robustesse des contrôles, la traçabilité, et la gouvernance des prestataires (EBA/GL/2022/15, 2022).

Les grandes familles d’attaques d’usurpation faciale en KYC

1) Attaque “présentation” (Presentation Attack)

C’est le cas le plus “classique” : le fraudeur présente au capteur une représentation du visage de la victime :

  • photo imprimée ;

  • photo sur un autre écran ;

  • vidéo replay ;

  • masque 3D / silicone (plus rare mais réel sur certains segments).

Ces attaques sont précisément celles visées par la notion de Presentation Attack Detection (PAD), normalisée dans la famille ISO/IEC 30107, dont la partie “testing and reporting” est ISO/IEC 30107-3.

2) Deepfake / face swap en vidéo (attaque “synthèse”)

Ici, le fraudeur génère une vidéo (ou un flux vidéo) où le visage “ressemble” à la victime. Deux variantes fréquentes :

  • face swap (remplacement du visage) ;

  • reconstruction/reenactment (animation d’un visage à partir d’un autre).

Point important : beaucoup de deepfakes “grand public” trompent l’humain, mais pas forcément des contrôles PAD/liveness bien calibrés. Le risque augmente quand :

  • les contrôles sont faibles ou mal paramétrés,

  • le fraudeur combine deepfake + ingénierie sociale + prise de contrôle de device,

  • ou quand l’attaque vise des étapes aval (ex : validation vidéo d’un conseiller).

3) Injection de flux (camera injection) / attaque côté device

C’est une forme plus technique : au lieu de “filmer” un visage, l’attaquant injecte un flux vidéo (préenregistré ou synthétique) directement dans l’application ou le SDK (hooking, instrumentation, malware, émulation).
C’est particulièrement critique sur mobile si :

  • le device est compromis (root/jailbreak) ;

  • l’app n’implémente pas d’attestation d’intégrité ;

  • les protections anti-tampering sont absentes.

4) Contournement du liveness (bypass)

Même avec un liveness, on voit des contournements :

  • rejouer une séquence vidéo répondant aux challenges ;

  • manipuler les challenges (timing, latence, ordre) ;

  • exploiter des modèles trop permissifs (faible exigence de preuve).

Impacts concrets pour banques et assurances

L’usurpation faciale KYC n’est pas un risque “théorique”. Les impacts typiques :

  • fraude à l’ouverture : comptes “mules”, crédit, moyens de paiement, fraude à la prime ;

  • ATO (Account Takeover) : réinitialisation d’accès via “selfie check”, changement RIB/IBAN ;

  • blanchiment : empilement de comptes et de transactions ;

  • risque réglementaire : défaut de conformité AML/KYC, contrôle insuffisant des tiers, défaut de traçabilité ;

  • risque réputationnel : perte de confiance liée au sentiment d’insécurité sur l’identité numérique.

Comment s’en protéger (approche précise et praticable)

1) PAD / Liveness robuste, testé, et adapté au threat model

  • Exiger une solution qui couvre les attaques présentation (photo/video replay) et qui a une méthodologie de test structurée.

  • Référentiel utile : ISO/IEC 30107-3 (cadre de test/reporting PAD).

  • Programmes industriels : la FIDO Alliance définit des exigences et procédures de tests biométriques incluant des métriques liées au PAD (FIDO Biometrics Requirements, 2023). 

2) Sécurité applicative et anti-tampering (mobile/desktop)

  • Device integrity (détection root/jailbreak, émulateurs)

  • attestation et contrôle d’intégrité

  • obfuscation, RASP, détection instrumentation/hooking

  • durcissement du pipeline caméra (limiter l’injection)

3) Contrôles croisés : “biométrie + documents + signaux”

Ne pas faire “tout reposer” sur le visage :

  • cohérence document/visage (face match + doc authenticity) ;

  • signaux device (réputation, empreinte, géolocalisation cohérente, SIM swap indicators, etc.) ;

  • signaux comportementaux (vitesse, hésitations, patterns anormaux) ;

  • scoring et mise en revue humaine sur les cas limites.

4) Gouvernance et tiers : contractualiser la preuve, pas la promesse

En pratique, beaucoup d’échecs viennent d’un “achat de solution” sans cadrage :

  • exigences de performance et de tests (scénarios, taux, conditions) ;

  • auditabilité ;

  • logs et traçabilité ;

  • gestion du cycle de vie (modèles qui dérivent, mises à jour) ;

  • plan de réponse fraude (quand on détecte une campagne).
    L’EBA insiste sur le pilotage des risques et la maîtrise des prestataires dans l’onboarding à distance.

5) Mesure d’impact : relier “attaque” à “perte”

Pour éviter le débat “c’est grave / pas grave”, il faut mesurer :

  • taux de tentatives détectées ;

  • taux de faux négatifs suspectés (chargebacks, défauts, incidents) ;

  • pertes évitées vs pertes subies ;

  • performance par segment (VIP, retail, pro) ;

  • temps de traitement et taux de friction.

Il s’agit d’une tentative de tromper un système de vérification d’identité utilisant la biométrie faciale (selfie, vidéo selfie, face match) afin de se faire passer pour un tiers. L’objectif est généralement l’ouverture frauduleuse de compte, la prise de contrôle d’un compte existant ou la validation d’opérations sensibles.

Le sujet n’est pas de “faire peur”, mais de professionnaliser la posture :

  • formaliser un threat model KYC (présentation, deepfake, injection, device compromis) ;

  • tester régulièrement (exercices, red teaming ciblé sur parcours KYC) ;

  • partager entre membres des signaux faibles (campagnes, TTP observées) ;

  • renforcer la coopération avec les acteurs utiles (prestataires, CERT, écosystème).
    ENISA rappelle l’importance d’une approche structurée de l’identification à distance, basée sur la gestion du risque et les pratiques de marché (ENISA, Remote ID Proofing, 2021).

NOS ACTUALITÉS