Des VPN aux applications de remplacement de visages : comment les failles dans la vérification de l'âge reflètent le problème plus large de la fraude

Le projet du gouvernement britannique d'interdire l'accès aux réseaux sociaux aux moins de 16 ans a remis la question de la vérification de l'âge au cœur de l'actualité.

Lorsque les dispositions relatives à la vérification de l'âge prévues par la loi sur la sécurité en ligne sont entrées en vigueur le 25 juillet 2025, l'objectif était clair et justifiable : mieux protéger les enfants contre les expériences néfastes sur Internet.

Mais ce déploiement a également mis en évidence un défi qui se trouve désormais au cœur de la confiance numérique : dès que des contrôles d'âge apparaissent, des moyens de les contourner ne tardent pas à voir le jour.

Proton VPN a signalé une hausse d'environ 1 400 % des inscriptions au Royaume-Uni dès l'entrée en vigueur de la réglementation ; NordVPN a quant à lui enregistré une hausse d’environ 1 000 %. Les données de l’Ofcom ont montré que l’utilisation quotidienne des VPN au Royaume-Uni avait plus que doublé pour atteindre 1,4 million d’utilisateurs avant de se stabiliser autour de 900 000, ce qui représente un niveau de référence nettement plus élevé.

L'utilisation de Tor a suivi une tendance similaire sur d'autres marchés où la vérification de l'âge est devenue une priorité politique ; les données australiennes, suite à la mise en place d'exigences en matière de vérification de l'âge sur les réseaux sociaux, en sont un exemple :

Pour être clair, ces règles sont efficaces : l’Ofcom a signalé une forte baisse du nombre de visites au Royaume-Uni sur les plus grands sites pour adultes après la mise en application de la loi, et les sondages montrent que la plupart des Britanniques soutiennent l’esprit de cette législation. Le problème n’est pas que la vérification de l’âge ne puisse pas fonctionner. C’est plutôt que, lorsque ces contrôles reposent sur des signaux que les utilisateurs peuvent masquer, la même mesure peut à la fois garantir le respect de la loi et favoriser son contournement.

Des lois similaires au Royaume-Uni, en Australie et dans plusieurs États américains ont mis en évidence le même problème fondamental.

La question n'est pas de savoir si les lois sur la vérification de l'âge devraient exister ; la question est de savoir si les approches actuelles en matière de vérification de l'âge mettent en évidence une faiblesse plus générale de la confiance dans le numérique.

Les VPN ne contournent pas la vérification, mais le mécanisme de déclenchement

La plupart des systèmes de vérification de l'âge s'appuient sur la géolocalisation de l'adresse IP pour déterminer s'il convient ou non de demander à l'utilisateur de procéder à une vérification. Si un site détecte une adresse IP britannique, il déclenche une vérification de l'âge. Si l'adresse IP semble provenir de l'extérieur de la juridiction réglementée, par exemple parce que l'utilisateur est connecté via un VPN, le processus de vérification ne se lance jamais.

Les VPN ne contournent pas les contrôles d'âge. Ils contournent la condition qui rend ces contrôles obligatoires.

Il ne s'agit pas d'un échec de la technologie de vérification d'identité. Cela nous rappelle que le déclencheur est tout aussi important que la vérification elle-même. Si un processus de vérification n'est jamais déclenché, ni la vérification biométrique renforcée, ni la vérification des documents, ni la détection de vitalité n'ont jamais l'occasion de remplir leur rôle.

Il existe ici un deuxième problème de conception : toutes les méthodes de vérification de l'âge n'offrent pas le même niveau de certitude. De nombreuses solutions mises en œuvre pour se conformer à la législation en matière de vérification de l'âge sont en réalité des outils d'estimation de l'âge, qui reposent sur des calculs probabilistes et peuvent ne pas offrir le niveau de certitude requis dans des contextes de conformité ou d'application de la loi à haut risque. Pour en savoir plus, consultez notre article de blog consacré à la vérification de l'âge par opposition à l'estimation de l'âge.

Le gouvernement britannique a mis en avant les chiffres de l’AVPA, qui indiquent 5 millions de vérifications d’âge supplémentaires par jour depuis le déploiement du système, ce qui prouve concrètement que, pour les utilisateurs concernés, le système fonctionne. Ce que ces chiffres ne permettent pas de refléter, ce sont toutes les personnes qui n’ont jamais fait l’objet d’une vérification, car l’utilisation d’un VPN les a placées hors du champ d’application du système.

Voilà en une phrase le nœud du problème : même la vérification la plus rigoureuse au monde ne peut protéger un flux qui ne démarre jamais.

Pourquoi cela est important au-delà des restrictions d'âge

Lorsqu'une personne utilise un VPN ou Tor pour accéder à des contenus soumis à des restrictions, elle utilise des outils sur lesquels s'appuient les réseaux organisés de fraude pour :

• Masquer leur localisation lors de l'ouverture de comptes bancaires frauduleux
• Contourner les contrôles de géorepérage sur les plateformes d'échange de cryptomonnaies
• Contourner les sanctions en se faisant passer pour des clients issus de régions non soumises à des restrictions
• Procéder à la création en masse de comptes à partir d'un seul site physique
• Tester des identifiants volés sur plusieurs services sans déclencher de contrôles Velocity

L'intention est différente. Un adolescent qui tente d'accéder à une plateforme n'est pas comparable à un criminel qui ouvre des comptes « mules ». Mais le schéma sous-jacent est le même : masquer le signal, éviter le déclencheur, contourner le contrôle.

C’est ce chevauchement qui explique pourquoi les contrôles d’âge ont une importance qui va au-delà de la sécurité des enfants. Ils mettent en lumière, aux yeux du grand public, un problème de prévention de la fraude. Toutes les personnes qui téléchargent un VPN ne deviennent pas pour autant des fraudeurs. Bien sûr que non. Mais cela nous rappelle à quel point les gens ont facilement recours à des outils de contournement — VPN, proxys, fausses localisations — dès qu’un contrôle leur semble contraignant. Ces outils recoupent ceux sur lesquels s’appuient les opérations de fraude à grande échelle, même lorsque l’intention est totalement différente.

Des VPN aux échanges de visages : un large éventail de techniques de dissimulation d'identité

Si les VPN masquent votre localisation, les échanges de visages et les deepfakes masquent votre identité. Les VPN montrent ce qui se passe lorsque les utilisateurs parviennent à contourner le contrôle. Les échanges de visages montrent ce qui se passe lorsque les utilisateurs sont soumis au contrôle et tentent de se faire passer pour quelqu’un d’autre.

Un personnage fictif de jeu vidéo a réussi un contrôle d’âge réel. Lorsque Discord a mis en place la vérification d’âge par reconnaissance faciale, des utilisateurs ont découvert que le mode photo de Death Stranding leur permettait de manipuler le visage d’un personnage lors de l’étape consistant à « ouvrir et fermer la bouche » pour passer le contrôle (PC Gamer). La leçon à tirer de cette anecdote : les contrôles de présence en temps réel reposant sur des actions prévisibles et reproductibles peuvent être vulnérables à la relecture ou à l’imitation. Une présence authentique dépend d’un défi qui ne peut être ni anticipé ni réutilisé.

Cette même trajectoire va bien au-delà d'une simple solution de contournement liée au mode de jeu :

• Les données de veille sur les menaces d'iProov ont révélé une hausse de 1 151 % des attaques par injection sur iOS au cours du second semestre 2025.
• Deloitte prévoit que les pertes liées à la fraude commise à l'aide de l'IA générative aux États-Unis passeront de 12,3 milliards de dollars en 2023 à 40 milliards de dollars d'ici 2027.

Il ne s'agit pas de problèmes isolés. Ce sont différentes manifestations d'une même logique de fraude : dès lors qu'un service numérique doit se fier à un élément, les pirates tenteront de le falsifier. La localisation peut être masquée. Les appareils peuvent être manipulés. Les documents peuvent être falsifiés. Les visages peuvent être remplacés. Des flux vidéo peuvent être injectés.

C'est là tout l'éventail des formes d'évasion identitaire.

Le seul point d'ancrage fiable : une présence humaine authentique

Si tous ces indicateurs de confiance peuvent être falsifiés, que reste-t-il ?

La réponse, c'est une présence humaine authentique, vérifiée en direct, à cet instant précis.

Des technologies telles que « Dynamic Liveness » d’iProov permettent de vérifier la présence réelle d’une personne en répondant à une question d’une simplicité trompeuse : s’agit-il d’une personne réelle, de la bonne personne, présente à cet instant précis ? Une détection biométrique robuste de la présence réelle contribue à neutraliser les menaces telles que les enregistrements, les « deepfakes », les échanges de visages et les attaques par injection.

Dans la plupart des cas de vérification d’identité, qu’il s’agisse d’ouvrir un compte bancaire, d’accéder à des services publics ou de effectuer la procédure KYC sur des plateformes financières, le déclencheur ne dépend pas de l’emplacement du réseau. Que vous vous connectiez depuis Londres ou Lagos, derrière un VPN ou non, le système vous demande toujours de vérifier votre identité à l’aide d’informations d’identification valides, telles qu’une pièce d’identité délivrée par les autorités. Dans ces cas-là, la vérification biométrique de la présence en direct constitue un ancrage de confiance solide que ni les VPN ni Tor ne peuvent contourner.

La vérification de l'âge présente une particularité unique. Lorsque le critère de déclenchement repose entièrement sur la géolocalisation par adresse IP (« Êtes-vous situé dans une juridiction soumise à une réglementation ? »), les VPN et Tor contournent le système avant même qu’une véritable vérification de présence puisse commencer. Il ne s’agit pas d’un échec de la technologie biométrique ; cela nous rappelle simplement que le critère de déclenchement est tout aussi important que la vérification elle-même.

La voie à suivre

L'interdiction des réseaux sociaux pour les moins de 16 ans au Royaume-Uni constitue une étude de cas d'actualité, mais elle ne reflète pas toute la réalité. Il s'agit d'un exemple parmi d'autres d'une évolution bien plus large visant à vérifier l'âge, l'identité et les droits des utilisateurs en ligne.

Soyons clairs : les VPN et Tor remplissent des fonctions essentielles. Bloquer ces outils de manière généralisée serait à la fois techniquement irréalisable et discutable sur le plan éthique. Le problème ne réside pas dans l’existence même d’une infrastructure de protection de la vie privée, mais dans le recours à des mécanismes de contrôle que ces outils permettent de contourner.

Cela montre la direction que doit prendre la vérification de l’âge. Un contrôle trop fortement lié à une adresse IP, qui peut être falsifiée, risque de devenir le maillon faible ; le déclencheur doit donc se rapprocher de l’utilisateur, et non de sa localisation apparente. Cela implique des signaux d’âge au niveau de l’appareil et du système d’exploitation, des identifiants vérifiés et réutilisables, ainsi que des moyens respectueux de la vie privée permettant à une personne de prouver son âge ou son identité une seule fois, sans avoir à refaire un contrôle que la géographie peut contourner. C’est le même principe qui sous-tend la initiative de l’UE en faveur des portefeuilles d’identité numériques: une confiance fondée sur un identifiant vérifié, et non sur un signal réseau.

Dans les domaines où la vérification est déjà obligatoire et ne dépend pas de la localisation géographique — comme la banque, la vérification d’identité (KYC), les services publics, la récupération de compte et le télétravail —, la présence physique constitue aujourd’hui le point d’ancrage le plus solide. La vérification de l’âge ne fait que démontrer ce principe par la négation : la fiabilité d’un contrôle dépend entièrement du déclencheur qui le met en œuvre.

Pour fonctionner de manière optimale, les futurs systèmes doivent :

• Éloigner le déclencheur des signaux réseau facilement falsifiables
• Privilégiez une conception axée sur la confidentialité, avec des identifiants préservant la confidentialité, afin que la vérification ne devienne pas un piège à données.
• Fonder la vérification des profils à haut risque sur une présence humaine réelle
• Mettre en place des contrôles de sécurité à plusieurs niveaux afin que la neutralisation d'un signal n'entraîne pas la défaillance de l'ensemble du système
• Réduire au minimum les obstacles rencontrés par les utilisateurs afin de limiter leur incitation à contourner les mesures de sécurité
• Concevoir dès le départ en tenant compte des comportements hostiles

Partez du principe que le système sera testé. Non pas parce que tous les utilisateurs sont malveillants, mais parce que certains seront curieux, d'autres frustrés, d'autres encore suivront des tutoriels, et d'autres enfin seront des criminels.

Le défi majeur réside dans le fait que les services numériques doivent de plus en plus souvent instaurer un climat de confiance sans présence physique. Ils doivent vérifier si une personne a l'âge requis pour accéder à un service, si un client ou un télétravailleur est bien celui qu'il prétend être, si la personne qui ouvre un compte est réelle ou fictive, et si le visage affiché à l'écran est bien celui d'une personne en direct ou s'il s'agit d'une image générée par ordinateur.

Les failles en matière de vérification de l'âge reflètent le problème plus général de la fraude, car elles mettent toutes deux en évidence la même vulnérabilité : trop de systèmes numériques continuent de se fier à des signaux qui peuvent être falsifiés, contournés ou créés de toutes pièces.

L'avenir de la confiance numérique repose sur la capacité à prouver ce qui importe le plus : qu'une personne réelle est bel et bien présente, à ce moment précis, et habilitée à agir.

• La confiance numérique évolue rapidement. Pour en savoir plus sur la manière dont elle est mise à l'épreuve et reconstruite, abonnez-vous à Biometric Beat.
• Réservez ici une démonstration d'iProov avec conseil.