TL;DR : L’essentiel
- Alors que le taux global de fraude à l’identité recule légèrement à 2 %, la complexité des attaques explose, avec une hausse vertigineuse de 180 % des fraudes sophistiquées en plusieurs étapes, rendant les défenses traditionnelles obsolètes.
- La fraude à l’identité liée aux moyens de paiement domine désormais avec un taux de 7 %, touchant 40 % des entreprises, tandis que les deepfakes connaissent de forts pics de croissance locaux, atteignant +760 % au Bahreïn et +237 % aux États-Unis.
- Une nouvelle menace technique émerge : la manipulation de la télémétrie, où les attaquants ne se contentent plus de l’usurpation d’identité classique, mais interceptent et modifient les signaux techniques pour tromper les systèmes de validation.
- L’adoption des méthodes de vérification « Non-Doc » (sans document physique) bondit de 338 %, signalant une tentative de l’industrie pour contourner les faux documents générés par IA, passés de 0 à 2 % en un an.
Le cycle 2025-2026 marque la fin de la cybercriminalité « brouillonne ». Nous assistons à une rationalisation industrielle des attaques où la quantité cède la place à une précision chirurgicale. Ce n’est plus une simple question de vol de données, mais une guerre d’ingénierie où l’intelligence artificielle et le sabotage technique redéfinissent les règles. Comme le souligne le dernier rapport de Sumsub, cette mutation structurelle transforme chaque tentative de fraude à l’identité en une opération complexe, capable de traverser les mailles des filets réglementaires les plus serrés.
Sophistication de la fraude à l’identité : Moins de volume, plus de dégâts
Les chiffres récents cachent une réalité contrastée. Si le taux global de fraude à l’identité baisse légèrement (de 3 % à 2 %), ne vous y trompez pas : la menace s’aggrave. Ce recul statistique s’explique simplement : les amateurs abandonnent. Les systèmes de sécurité modernes filtrent désormais facilement les attaques élémentaires. En revanche, les réseaux criminels organisés se sont adaptés. Ils lancent désormais des attaques complexes en plusieurs étapes (« multi-step attacks »), qui ont bondi de 180 %. Ce ne sont plus de simples tentatives isolées d’usurpation, mais des opérations coordonnées mêlant manipulation psychologique et technique.
Conséquence directe : les auteurs de fraude à l’identité changent de cible. Ils ne perdent plus de temps à essayer de contourner les contrôles d’identité à l’entrée ; ils visent directement l’argent. C’est pourquoi la fraude aux paiements grimpe à 7 %, dépassant pour la première fois la falsification de documents d’identité classiques. Comme l’analyse le Forum Économique Mondial, l’objectif n’est plus seulement d’accéder aux systèmes, mais de monétiser l’attaque instantanément.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
L’Angle mort technique : Sabotage de la télémétrie
Au-delà de la production de faux documents, une tendance bien plus insidieuse et techniquement avancée émerge sur la période : l’attaque directe des infrastructures de validation. Les rapports d’experts identifient désormais la « manipulation de la télémétrie » comme un vecteur critique de la fraude à l’identité, marquant un passage de la falsification de contenu (le visage ou le document) à la falsification du contexte (les signaux de données). Concrètement, les fraudeurs ne se contentent plus de présenter une fausse identité ; ils s’attaquent aux pipelines de données eux-mêmes.
Pour ce faire, ils déploient des fermes d’émulateurs sophistiquées, des machines virtuelles et des injections de scripts capables d’intercepter et d’altérer les données envoyées via les interfaces de programmation (API) et les kits de développement (SDK) des solutions de sécurité (voir le glossaire en fin d’article pour une définition détaillée de ces termes techniques). L’objectif est de masquer les empreintes numériques réelles des appareils (device fingerprinting) ou de simuler des environnements utilisateurs « propres » et légitimes. En neutralisant ainsi les signaux d’alerte comportementaux — comme la localisation réelle ou l’historique de l’appareil — ils rendent la fraude à l’identité techniquement invisible aux yeux des systèmes de détection classiques.
Agents autonomes et fracture géographique
L’IA générative agit désormais comme un multiplicateur de force industriel, faisant passer la part des documents synthétiques de 0 à 2 % en seulement douze mois. Ces documents ne sont plus de simples retouches, mais des créations ex nihilo à la cohérence visuelle parfaite. Cependant, l’impact de cette technologie révèle une fracture géographique majeure. Dans les marchés matures où la régulation est forte, comme l’Europe ou l’Amérique du Nord, la fraude à l’identité mute vers la haute technologie : les États-Unis subissent ainsi une hausse spectaculaire de 237 % des incidents liés aux deepfakes, ciblant des systèmes de vérification robustes.
À l’inverse, en Asie-Pacifique, la fraude grimpe de 16 % en s’appuyant sur des outils numériques avancés couplés à des réseaux humains massifs de « mules financières », un rôle pour lequel 25 % des répondants locaux confirment avoir été sollicités. Face à cette industrialisation de la menace, la réponse défensive opère elle aussi une mutation radicale. L’adoption de la vérification « Non-Doc » (sans document physique) a explosé de 338 %. Cette ruée vers la validation par bases de données gouvernementales plutôt que par l’analyse d’images signale une perte de confiance de l’industrie envers les preuves visuelles, devenues trop facilement falsifiables par l’IA, au profit de sources de données vérifiées.
Glossaire technique pour comprendre la menace
Manipulation de la télémétrie
C’est une technique de camouflage numérique. Au lieu de falsifier une identité visible (visage, nom), le fraudeur falsifie les données techniques invisibles envoyées par son appareil (géolocalisation, modèle de téléphone, adresse IP, mouvements de souris). En utilisant des émulateurs ou des scripts, il fait croire aux systèmes de sécurité qu’il est un utilisateur légitime sur un smartphone normal, alors qu’il s’agit souvent d’un bot ou d’une ferme à clics.
Vérification « Non-Doc »
C’est une validation d’identité sans scan de document physique. Plutôt que de demander une photo de carte d’identité (vulnérable aux deepfakes), le système interroge directement des registres officiels (bases de données gouvernementales, bancaires ou télécoms) pour confirmer l’existence des données de l’utilisateur. Cette méthode a bondi de 338 % car elle contourne le problème des faux visuels générés par l’IA.
API (Interface de Programmation d’Application)
C’est un « pont » numérique sécurisé qui permet à deux logiciels de se parler. Dans la lutte anti-fraude, l’API permet au site web d’une entreprise d’envoyer instantanément les données d’un client à une plateforme de vérification externe et de recevoir le verdict (« validé » ou « suspect ») en temps réel, sans intervention humaine.
SDK (Kit de Développement Logiciel)
C’est une « boîte à outils » de code fournie par le prestataire de sécurité, que les entreprises intègrent directement dans leur propre application mobile. C’est ce module qui prend le contrôle de la caméra pour s’assurer que le selfie est pris en direct (et non pré-enregistré) et qui collecte les données de télémétrie pour détecter les logiciels de trucage.
Serveurs, API, outils de veille.
DCOD est un projet indépendant sans revenu. L'infra a un coût. Participez aux frais.
